cómo funciona DMARC
¿Cómo funciona DMARC con Gmail y Office 365 en 2020?
Hemos comprobado cómo afecta la autenticación del correo electrónico a la entrega
en Gmail y Office 365, los proveedores de correo electrónico empresarial más populares.
Los resultados se pueden dividir en dos grupos:
-
Entrega de correos electrónicos
(cómo afectan SPF, DKIM y DMARC a la entrega de los mensajes enviados)
Gmail: los correos electrónicos siempre se aceptan; parece que la autenticación no se tiene en cuenta en absoluto
Office 365: por lo general, responde a SPF y DKIM. La única forma de obtener resultados consistentes y llegar a la bandeja de entrada es asociarlos con DMARC
-
Protección contra la suplantación de identidad
(cómo SPF, DKIM y DMARC protegen la dirección de correo electrónico del remitente contra la suplantación de identidad*)
* = hacer que el mensaje parezca provenir de alguien distinto del remitente real
Gmail: al combinar DMARC y SPF (calificadores «fail» o «softfail»), los remitentes suplantados se filtran a la carpeta de spam o se rechazan (dependiendo de la configuración de DMARC)
Office 365: SPF (calificadores «fail» o «softfail») es suficiente para enviar los remitentes falsos a la carpeta de correo no deseado
Se resumen de la siguiente manera:
| entrega de correos electrónicos | protección contra la suplantación de identidad | |
|---|---|---|
| Gmail | Siempre se acepta; la autenticación no se tiene en cuenta en absoluto. | DMARC + SPF (falloofallo leve) |
| Office 365 | dmarc + spf válido o dmarc + dkim válido | spf (falloofallo leve) |
A continuación se muestra la lista completa de las pruebas que se han realizado.
| Gmail | Office 365 | |
|---|---|---|
| spf Pass - dkim none | bandeja de entrada | bandeja de entrada |
| Error de SPF - DKIM no detectado | bandeja de entrada | basura |
| spf SoftFail - dkim none | bandeja de entrada | basura |
| spf Neutral - dkim none | bandeja de entrada | bandeja de entrada |
| SPF: ninguno - DKIM: ninguno | bandeja de entrada | basura |
| Contraseña SPF - Contraseña DKIM | bandeja de entrada | basura* |
| SPF fallido - DKIM correcto | bandeja de entrada | basura |
| spf SoftFail - dkim aprobado | bandeja de entrada | basura* |
| spf Neutral - dkim pass | bandeja de entrada | basura* |
| SPF: ninguno - DKIM: aprobado | bandeja de entrada | basura* |
| spf Pass - dkim no válido | bandeja de entrada | basura |
| Error de SPF: DKIM no válido | bandeja de entrada | basura |
| spf SoftFail - dkim no válido | bandeja de entrada | basura |
| spf Neutral - dkim no válido | bandeja de entrada | basura |
| SPF: sin especificar - DKIM: no válido | bandeja de entrada | basura |
| spf: aprobado - dkim: no válido - dmarc: rechazado | bandeja de entrada | bandeja de entrada |
| Error de SPF - DKIM no válido - Rechazo de DMARC | dsn=5.0.0, stat=Servicio no disponible | basura |
| spf SoftFail - dkim no válido - dmarc rechazado | dsn=5.0.0, stat=Servicio no disponible | basura |
| spf: neutro - dkim: no válido - dmarc: rechazado | bandeja de entrada | bandeja de entrada |
| SPF: sin especificar - DKIM: no válido - DMARC: rechazado | dsn=5.0.0, stat=Servicio no disponible | basura |
| spf: Aprobado - dkim: Aprobado - dmarc: Rechazado | bandeja de entrada | bandeja de entrada |
| SPF fallido - DKIM correcto - DMARC rechazado | bandeja de entrada | bandeja de entrada |
| spf SoftFail - dkim aprobado - dmarc rechazado | bandeja de entrada | bandeja de entrada |
| spf: Neutral - dkim: aprobado - dmarc: rechazado | bandeja de entrada | bandeja de entrada |
| SPF: ninguno - DKIM: aprobado - DMARC: rechazado | bandeja de entrada | bandeja de entrada |
| spf: Aprobado - dkim: Diferencia - dmarc: Rechazado | bandeja de entrada | bandeja de entrada |
| SPF fallido - DKIM diferente - DMARC rechazado | dsn=5.0.0, stat=Servicio no disponible | basura |
| spf SoftFail - dkim diff - dmarc reject | dsn=5.0.0, stat=Servicio no disponible | basura |
| spf: Neutral - dkim: diferencia - dmarc: rechazado | bandeja de entrada | bandeja de entrada |
| SPF: ninguno - DKIM: discrepancia - DMARC: rechazado | dsn=5.0.0, stat=Servicio no disponible | basura |
Notas:
- la dirección del remitente (remitente visible) y la dirección del sobre (ruta de retorno) pertenecen al mismo dominio
- «dkim pass»: el dominio de firma DKIM es el mismo que el de la dirección del remitente
- «dkim diff»: el dominio de firma DKIM es diferente al de la dirección del remitente
- Los asteriscos del segundo grupo indican que los resultados no han sido constantes a lo largo del tiempo