Mimecast Logo
Obtenga una cotización
    Ciberresiliencia
    Todos los temas
    Email and Collaboration Threat Protection
    Insider Risk Management
    Security Awareness Training
    Data Compliance and Governance
    Threat Intelligence
    Brand Protection

    Requisitos DMARC de Google, Yahoo! y Microsoft - Actualización 2026

    Orientación sobre cómo proteger a su organización de la suplantación de identidad mediante la configuración de DMARC en Google Workspace y cumplir los requisitos de DMARC para tarjetas de crédito de PCI DSS.

    by Andrew Williams

    Key Points

    • A partir de febrero de 2024, los remitentes con más de 5.000 correos electrónicos diarios a cuentas de Google y Yahoo! debían tener una políticaDMARCactiva. En 2026, este requisito se aplicará de forma estricta, y los mensajes que no cumplan la normativa serán rechazados a nivel SMTP.
    • Los remitentes también deben establecer registros SPF y DKIM por dominio y garantizar la alineación, así como utilizar la autenticación ARC para los mensajes reenviados.
    • Las políticas DMARC pueden establecerse para rechazar, poner en cuarentena o simplemente entregar los mensajes de correo electrónico que no superen la autenticación; las políticas pueden establecerse por separado para todos los nombres de dominio de la organización; los informes proporcionan información sobre el uso -y el abuso potencial- de los dominios.
    • Los requisitos DMARC de PCI DSS v4.0 entrarán en vigor en 2026, lo que afectará a todas las organizaciones que manejen datos de tarjetas de crédito.

    Requisitos de envío de correo electrónico

    En febrero de 2024, Google y Yahoo! introdujeron nuevas normas de autenticación obligatorias para los remitentes de correo electrónico masivo, exigiéndoles que tuvieran activa una política deautenticación, notificación y conformidad de mensajes basada en dominios (DMARC). A principios de 2025, Microsoft siguió su ejemplo. Después, a finales de 2025, Gmail comenzó una aplicación estricta a nivel SMTP para los mensajes no conformes, incluyendo rechazos y aplazamientos de entrega.

    Esto significa que ahora, en 2026, no cumplir con los requisitos DMARC afecta significativamente:

    • Entregabilidad de las campañas de marketing
    • Fiabilidad del correo electrónico transaccional
    • CRM y flujos de trabajo de automatización del correo electrónico
    • Herramientas de envío de terceros (HubSpot, Salesforce, Mailchimp, etc.)

    Además, los remitentes deben establecer registros SPF y DKIM por dominio y utilizar la autenticación ARC para los mensajes reenviados.

    Los correos electrónicos que no superan la autenticación son rechazados o marcados como spam, lo que compromete la entrega de las comunicaciones de los clientes enviadas por organizaciones que no cumplen las normas de Google, Yahoo! y Microsoft. 

    ¿Qué motivó estos requisitos?

    Estos proveedores de correo electrónico pretendían reducir la capacidad de los atacantes para ocultarse entre los remitentes masivos que no suelen proteger sus sistemas de correo electrónico. Estaban decididos a conseguirlo centrándose en la validación del correo electrónico para reducir la posibilidad de que malos actores llegaran a las bandejas de entrada de sus clientes.

    Esto también tiene otras ventajas. Los dominios que cuentan con DMARC han mejorado su ubicación en la bandeja de entrada, lo que significa que es menos probable que los correos electrónicos se marquen como spam o se rechacen directamente.

    Información técnica para conocer las políticas DMARC y DMARC

    ¿Qué es un registro DMARC?

    Un registro DMARC indica a un servidor de correo electrónico receptor qué debe hacer si un mensaje de Gmail procedente del dominio de una organización no supera la autenticación.

    DMARC funciona con dos métodos de autenticación de correo electrónico: Sender Policy Framework (SPF) y Domain Keys Identified Mail (DKIM). SPF permite especificar qué direcciones IP del dominio de una organización están autorizadas a enviar correo electrónico. DKIM añade una firma digital a los mensajes salientes. El servidor receptor utiliza SPF para autenticar que el mensaje procede de una fuente de confianza y DKIM para verificar que el mensaje no ha sido alterado en el camino.

    Políticas DMARC de Google Workspace

    Un registro DMARC necesita especificar una política para la acción que el servidor receptor debe tomar si el correo electrónico entrante falla la autenticación SPF o DKIM. Existen tres opciones de política DMARC de Gmail:

    • Ninguno: Entrega el mensaje normalmente.
    • Cuarentena: Envía el mensaje a la carpeta de correo no deseado del destinatario o a cuarentena si se ha configurado una opción de cuarentena.
    • Rechazar: No entregar el mensaje. A menudo, el servidor receptor informará al remitente del fallo del mensaje.

    Google Workspace recomienda empezar con p=ninguno, revisar los informes y avanzar gradualmente hacia la cuarentena y el rechazo a medida que se identifican remitentes legítimos e ilegítimos. Los informes proporcionan visibilidad sobre qué servidores envían en su nombre y el porcentaje de mensajes que pasan o fallan.

    Pasos para configurar un registro DMARC de GoogleWorkspace1

    DMARC se configura como un registro DNS TXT en el host de dominio de una organización. El registro contiene banderas que especifican parámetros para el servidor receptor. Cada parámetro es un par etiqueta-valor. Por ejemplo, para establecer la política en rechazar, el par etiqueta-valor sería "p=rechazar". Siguiendo estos pasos conseguirá configurar y publicar el registro DMARC de la organización:

    1. Configure tanto SPF como DKIM y, a continuación, espere 48 horas antes de publicar el registro DMARC.

    2. Cree el registro DMARC como una línea de texto con pares etiqueta-valor separados por punto y coma. La tabla adjunta enumera ejemplos de etiquetas y posibles valores. Tenga en cuenta que estas etiquetas y valores pueden variar de un host a otro. Las etiquetas v y p son obligatorias y deben estar en primer lugar. El resto de etiquetas son opcionales.

    TAG

    VALORES

    vVersión. Debe ser DMARC1.
    pPolítica para los mensajes que no superan la autenticación. Los valores posibles son rechazar, poner en cuarentena o ninguno.
    spPolítica para subdominios. Los valores posibles son rechazar, poner en cuarentena o ninguno. Por defecto se aplica la misma política que en el dominio.
    pctEl porcentaje de mensajes no válidos sobre los que se debe actuar. El valor debe ser de 1 a 100, siendo 100 el valor por defecto.
    aspfLa política de alineación para el SPF. Puede ser s (estricto) o r (relajado). Relajado es la opción por defecto.
    adkimLa política de alineación para DKIM. Puede ser s (estricto) o r (relajado). Relajado es la opción por defecto.
    ruaLa dirección de correo electrónico (precedida de mailto:) a la que deben enviarse los informes DMARC.

    3. Desde la consola de gestión del host del dominio, localice el lugar donde se puede actualizar el registro DNS. Introduzca el nombre del registro DMARC TXT de la organización como "dmarc" seguido de un punto y del nombre de dominio de la organización. Algunos hosts añadirán automáticamente el nombre del dominio. Cargue el registro y guarde los cambios. Repita este proceso para cada dominio.

    Aplicación más estricta de la alineación

    A medida que las organizaciones adoptan más servicios de correo electrónico SaaS y de terceros, los problemas de alineación se han convertido en uno de los problemas DMARC más comunes. En 2026, los proveedores de buzones abanderan con más frecuencia:

    • Dominios "De" mal alineados
    • Terceros remitentes sin SPF/DKIM autorizados
    • Mensajes reenviados sin autenticación ARC

    Garantizar una alineación adecuada en todos los canales de correo electrónico, incluidas las plataformas de marketing, los sistemas de tickets, la automatización de CRM y las aplicaciones en la nube, es ahora esencial para mantener la entregabilidad.

    Requisitos adicionales inminentes para los pagos con tarjeta de crédito

    La industria de las tarjetas de crédito ha implementado requisitos DMARC propios. A partir de 2025, el Consejo de Estándares de Seguridad de la Industria de Tarjetas de Pago (PCI SSC) exige el uso de DMARC a cualquier empresa que gestione tarjetas de crédito y otros pagos, así como a los proveedores de servicios financieros. DMARC forma parte oficialmente de la más reciente norma de seguridad de datos PCI, versión 4 (PCI DSS v4.0).

    El requisito DMARC pretende ayudar a las organizaciones a operar de forma más segura en un panorama económico que ha visto cómo las violaciones de datos y los robos de tarjetas de crédito siguen aumentando en número y coste, según estadísticas recientes sobre ciberseguridad. También se espera que acelere la adopción de DMARC, ya que el incumplimiento de la norma PCI DSS podría acarrear multas y sanciones de hasta la pérdida del derecho de una empresa a gestionar pagos. Por otro lado, la mayoría de las empresas -especialmente las pequeñas y medianas empresas (PYMES)- tienen dificultades para adoptar la norma de autenticación del correo electrónico porque las herramientas DMARC han demostrado ser complicadas de implantar. Para ayudar a resolver esta necesidad, Mimecast ha creado una solución de seguridad todo en uno para Google Workspace. 

    Gobernanza DMARC multidominio

    Para complicar aún más las cosas, las organizaciones operan cada vez más con docenas -a veces cientos- de dominios registrados. Como resultado, la gobernanza DMARC ahora se extiende más allá de la configuración en:

    • Seguimiento continuo
    • Gestión del ciclo de vida de los dominios inactivos o no utilizados
    • Detección de remitentes no autorizados
    • Estandarizar la alineación entre equipos distribuidos

    El cambio hacia una supervisión multidominio ha hecho que las herramientas centralizadas sean esenciales para mantener el control.

    Obtenga ayuda de Mimecast

    Si el proceso DMARC de Google Workspace o la implementación de DMARC para cumplir los próximos requisitos PCI DSS le parecen un poco desalentadores, la buena noticia es que los proveedores de servicios de seguridad como Mimecast ofrecen herramientas DMARC basadas en la nube. Dichas herramientas simplifican la implementación de DMARC, por ejemplo, proporcionando asistentes de configuración para crear registros DMARC para todos los dominios. Otras herramientas validan los registros DMARC y crean informes y gráficos fáciles de usar para analizar los mensajes en los que falló la autenticación, así como informes forenses para encontrar el origen de los mensajes de correo electrónico maliciosos.

    A medida que la suplantación de marcas en línea siga creciendo, sitios como Google, Yahoo! y Microsoft seguirán aplicando normas más estrictas para los remitentes, especialmente para aquellos que envían miles de correos electrónicos al día. Mimecast está preparada para ayudar con DMARC Analyzer y la experiencia necesaria para cumplir las directrices DMARC existentes y las nuevas.

    El DMARC Analyzer de Mimecast, una solución SaaS, permite a los clientes gestionar fácilmente proyectos de implantación complejos y proporciona una visibilidad y gobernanza de 360°. Proporciona una aplicación rápida y sencilla mediante herramientas intuitivas de autoservicio, incluida la gestión integrada de proyectos, lo que permite una aplicación de bajo riesgo.

    La solución DMARC Analyzer de Mimecast protege a las marcas proporcionándoles las herramientas necesarias para detener la suplantación de identidad y el uso indebido de los dominios de su propiedad. Diseñada para ayudar a reducir el tiempo y los recursos necesarios para cumplir con éxito la normativa DMARC, la solución de autoservicio de Mimecast proporciona los informes y análisis necesarios para obtener una visibilidad completa de todos los canales de correo electrónico. El uso de DMARC para detener la suplantación directa de dominio protege contra el abuso de marca y las estafas que empañan la reputación y causan pérdidas directas a una organización, así como a sus clientes y socios. 

    Además de la capacidad de autoservicio dentro de DMARC Analyzer, Mimecast ofrece Servicios Gestionados para guiar proactivamente a las organizaciones a través de cada etapa del despliegue y mantenimiento de DMARC, asegurando fuertes beneficios de la gama completa de capacidades DMARC. Muchas organizaciones se enfrentan a retos a la hora de implantar DMARC por su cuenta, lo cual es comprensible debido a la complejidad de la solución, por lo que Mimecast ha desarrollado una solución integral de servicios gestionados para ayudar a dichas organizaciones.

    Obtenga una prueba gratuita del Analizador DMARC de Mimecast aquí.

     

     

    **Este blog ha sido actualizado a partir de una versión anterior.

    1 Consulte las instrucciones DMARC de Google

    Related Articles

    Brand Protection
    DMARC Basics: What It Is and How It Works  
    Ready to secure the human layer? REQUEST A DEMO

    Suscríbase a Cyber Resilience Insights para leer más artículos como éste

    Reciba las últimas noticias y análisis del sector de la ciberseguridad directamente en su bandeja de entrada

    Inscríbase con éxito

    Gracias por inscribirse para recibir actualizaciones de nuestro blog

    ¡Estaremos en contacto!

    Back to Top