Fallos de alineamiento DMARC: diagnóstico y soluciones

Soluciona los fallos de alineamiento DMARC. Comprende la diferencia entre alineamiento relajado y estricto, diagnostica problemas de alineamiento SPF y DKIM, y restaura el cumplimiento DMARC.

15 de diciembre de 2025
10 min de lectura
Share:
Fallos de alineamiento DMARC: diagnóstico y soluciones

Introducción

SPF pasa. DKIM pasa. Pero DMARC sigue fallando. Esta situación frustrante ocurre cuando tus correos fallan el "alineamiento", un requisito crítico de DMARC que mucha gente no entiende bien.

Esta guía explica qué es el alineamiento DMARC, por qué falla y cómo solucionarlo.

Cómo funciona el alineamiento DMARC

¿Qué es el alineamiento?

El alineamiento DMARC significa que el dominio de la cabecera "From" visible coincide con el dominio que pasó la autenticación SPF o DKIM.

DMARC requiere que al menos uno de estos esté alineado:

  • Alineamiento SPF: el dominio "From" coincide con el dominio autenticado por SPF
  • Alineamiento DKIM: el dominio "From" coincide con el dominio de la firma DKIM

Punto clave: SPF y DKIM pueden pasar ambos, pero si ninguno está alineado con el dominio "From", DMARC falla.

Los tres dominios del email

Entender el alineamiento requiere conocer tres dominios diferentes:

1. Header From (el "From" visible)

  • Lo que ven los destinatarios: usuario@tudominio.com
  • Lo establece el cliente de correo o la aplicación
  • Esto es lo que debe estar alineado

2. Envelope From (Return-Path, MAIL FROM)

  • Lo usa SPF
  • A menudo es diferente del Header From
  • Invisible para los destinatarios

3. Dominio de firma DKIM

  • Dominio en la etiqueta d= de la firma DKIM
  • Puede diferir del Header From
  • Invisible para los destinatarios

Ejemplo mostrando los tres:

Header From: usuario@tudominio.com
Envelope From: bounce@serviciomail.com
DKIM d= tag: serviciomail.com

Resultado: Sin alineamiento → DMARC falla

Tipos de alineamiento

Alineamiento relajado (por defecto)

Los dominios organizativos deben coincidir:

  • tudominio.com se alinea con mail.tudominio.com
  • tudominio.com se alinea con sub.tudominio.com
  • tudominio.com NO se alinea con otrodominio.com

Etiqueta DMARC: adkim=r (DKIM) y aspf=r (SPF)

Ejemplo:

Header From: usuario@tudominio.com
DKIM d=mail.tudominio.com
→ Alineamiento relajado PASA ✅

Alineamiento estricto

Los dominios deben coincidir exactamente:

  • tudominio.com se alinea con tudominio.com
  • tudominio.com NO se alinea con mail.tudominio.com
  • tudominio.com NO se alinea con sub.tudominio.com

Etiqueta DMARC: adkim=s (DKIM) y aspf=s (SPF)

Ejemplo:

Header From: usuario@tudominio.com
DKIM d=mail.tudominio.com
→ Alineamiento estricto FALLA ❌

Recomendación: Usa alineamiento relajado salvo que tengas requisitos de seguridad específicos.

Situaciones habituales de fallo de alineamiento

Situación 1: Servicio de email de terceros no alineado

Problema: Usas un servicio de email que envía desde su propio dominio

Ejemplo:

Header From: soporte@tudominio.com
Envelope From: bounce@serviciomail.com
DKIM d=serviciomail.com

SPF: Pasa para serviciomail.com
DKIM: Pasa para serviciomail.com
Alineamiento DMARC: FALLA ❌ (ninguno se alinea con tudominio.com)

Solución: Configura el envío con dominio personalizado

La mayoría de servicios de email permiten enviar con dominio personalizado:

Para plataformas de marketing (Mailchimp, SendGrid, etc.):

  1. Añade y verifica tu dominio en los ajustes de la plataforma
  2. Configura el dominio personalizado de "From"
  3. Añade los registros DNS proporcionados (include SPF, registros DKIM)
  4. Habilita la autenticación de dominio

Para sistemas de soporte (Zendesk, Freshdesk):

  1. Configura la dirección de soporte personalizada
  2. Añade los registros DNS para la autenticación
  3. Habilita el reenvío de dominio

Para email transaccional (SendGrid, Mailgun, SES):

  1. Verifica la propiedad del dominio
  2. Añade el include SPF a tu dominio
  3. Configura la firma DKIM para tu dominio
  4. Establece tu dominio como "From" en las llamadas a la API

Situación 2: El reenvío de email rompe el alineamiento

Problema: Los correos reenviados fallan DMARC

Ejemplo:

Original:
  Header From: remitente@empresa.com
  DKIM: Pasa para empresa.com
  → Se entrega a usuario@gmail.com

Gmail reenvía a:
  usuario@trabajo.com

En trabajo.com:
  SPF: Comprueba los servidores de Gmail (no los de empresa.com) → FALLA
  DKIM: Normalmente se preserva → PASA
  DMARC: Si se requiere alineamiento SPF → FALLA

Por qué ocurre:

Cuando un email se reenvía:

  • El Envelope From cambia al dominio del reenviador
  • SPF comprueba los servidores del reenviador (no los originales)
  • DKIM normalmente sobrevive (salvo que se modifique el contenido)

Solución: Usa SRS (Sender Rewriting Scheme)

Para administradores de servidor:

  • Implementa SRS en los servidores de reenvío
  • Reescribe el remitente del sobre para mantener SPF
  • Preserva el cumplimiento DMARC

Para usuarios:

  • Usa las funciones nativas de reenvío (Gmail, Outlook)
  • Evita archivos .forward simples
  • Acepta que algunos correos reenviados pueden fallar con políticas estrictas

Alternativa: Configura una dirección de recogida en lugar de reenvío

  • Usa POP3/IMAP para consultar múltiples cuentas
  • Consolidación desde el cliente de correo
  • Evita los problemas de reenvío por completo

Situación 3: Envío desde subdominio sin configuración adecuada

Problema: Envías desde un subdominio pero DMARC está en el dominio raíz

Ejemplo:

Header From: pedidos@tienda.tudominio.com
SPF/DKIM: Autenticado para tienda.tudominio.com
DMARC: Solo en tudominio.com (no en tienda.tudominio.com)

Resultado: No hay política DMARC para el subdominio

Solución:

Opción 1: Añade DMARC al subdominio

_dmarc.tienda.tudominio.com TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@tudominio.com"

Opción 2: Usa la política de subdominio en el DMARC raíz

_dmarc.tudominio.com TXT "v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@tudominio.com"
  • p=reject: Política para el dominio raíz
  • sp=quarantine: Política para todos los subdominios

Opción 3: Usa alineamiento relajado

Si los subdominios comparten el mismo dominio organizativo, el alineamiento relajado funciona:

v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:dmarc@tudominio.com

Situación 4: Las listas de correo rompen el alineamiento

Problema: El software de la lista modifica la cabecera "From"

Ejemplo:

Email original:
  From: usuario@empresa.com

Tras el procesamiento de la lista de correo:
  From: usuario@empresa.com via NombreLista <lista@listamail.com>

DMARC: "From" ahora incluye el dominio de la lista → el alineamiento puede fallar

Por qué ocurre:

Las listas de correo suelen:

  • Reescribir la cabecera "From"
  • Añadir el nombre de la lista al remitente
  • Cambiar el remitente del sobre al servidor de la lista

Solución:

Para administradores de listas:

Opción 1: Reescritura compatible con DMARC

  • Reescribe "From" a la dirección de la lista
  • Añade al remitente original en "Reply-To"
From: lista@listamail.com
Reply-To: usuario@empresa.com

Opción 2: No modificar la cabecera "From"

  • Mantén el "From" original intacto
  • Añade la información de la lista solo en el pie de página

Para suscriptores de listas:

  • Acepta que algunos correos de listas pueden fallar con políticas estrictas
  • Usa alineamiento DMARC relajado
  • Añade a lista de confianza las listas de correo conocidas

Situación 5: Uso de alias de email

Problema: Envías desde un alias que no coincide con el dominio autenticado

Ejemplo:

Dominio autenticado: empresa.com
Envías como: equipo@marca.com (alias)

SPF/DKIM: Pasan para empresa.com
Header From: equipo@marca.com
DMARC: Alineamiento FALLA (marca.com ≠ empresa.com)

Solución:

Opción 1: Autentica el dominio del alias

  • Añade SPF, DKIM y DMARC para marca.com
  • Configura el servicio de email para firmar con marca.com

Opción 2: Usa un subdominio del dominio principal

Opción 3: Envía desde el dominio principal

Diagnosticar fallos de alineamiento

Revisa las cabeceras del email

Envía un correo de prueba, mira las cabeceras originales y busca:

Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=bounce.serviciomail.com;
       dkim=pass header.i=@serviciomail.com header.s=mail;
       dmarc=fail (p=QUARANTINE dis=none) header.from=tudominio.com

Indicadores clave:

  • smtp.mailfrom=: Envelope From (dominio SPF)
  • header.i=: Dominio de firma DKIM
  • header.from=: From visible (debe alinearse con uno de los anteriores)

Usa los informes DMARC

Los informes agregados DMARC muestran detalles de alineamiento:

Busca:

<row>
  <source_ip>192.0.2.1</source_ip>
  <count>100</count>
  <policy_evaluated>
    <disposition>quarantine</disposition>
    <dkim>fail</dkim>
    <spf>fail</spf>
  </policy_evaluated>
</row>
<auth_results>
  <dkim>
    <domain>serviciomail.com</domain>
    <result>pass</result>
  </dkim>
  <spf>
    <domain>serviciomail.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
<identifiers>
  <header_from>tudominio.com</header_from>
</identifiers>

Esto muestra:

  • DKIM pasó para serviciomail.com
  • SPF pasó para serviciomail.com
  • La cabecera "From" era tudominio.com
  • Ninguno estaba alineado → DMARC falló

Obtén análisis automatizado: Informes DMARC →

Usa herramientas de diagnóstico

Nuestro Domain Score: Comprobar alineamiento del dominio →

Comprobación manual de cabeceras:

  1. Envía un correo de prueba a Gmail
  2. Muestra el mensaje original
  3. Busca "Authentication-Results"
  4. Revisa los detalles de alineamiento

Cómo corregir problemas de alineamiento

Paso 1: Identifica la fuente

A partir de los informes DMARC o las cabeceras, identifica:

  • Qué correos están fallando
  • Qué dominio "From" usan
  • Con qué dominio se autenticaron SPF/DKIM

Paso 2: Verifica la configuración

Para el dominio autenticado:

  • SPF incluye el servicio de envío
  • DKIM está configurado para tu dominio
  • El dominio "From" coincide con tu dominio

Paso 3: Elige la estrategia de corrección

Si usas un servicio de terceros: → Configura el envío con dominio personalizado

Si reenvías correos: → Implementa SRS o usa reenvío nativo

Si usas un subdominio: → Añade DMARC al subdominio o usa la etiqueta sp=

Si usas alias: → Autentica el dominio del alias por separado

Paso 4: Actualiza la política DMARC

Usa alineamiento relajado:

v=DMARC1; p=quarantine; adkim=r; aspf=r; rua=mailto:dmarc@tudominio.com
  • adkim=r: Alineamiento DKIM relajado
  • aspf=r: Alineamiento SPF relajado

O estricto (si tienes control total):

v=DMARC1; p=quarantine; adkim=s; aspf=s; rua=mailto:dmarc@tudominio.com

Paso 5: Prueba a fondo

  1. Envía correos de prueba desde cada fuente
  2. Verifica que las cabeceras muestran alineamiento correcto
  3. Comprueba los informes DMARC después de 24-48 horas
  4. Monitoriza fallos inesperados

Buenas prácticas de alineamiento

Usa alineamiento relajado

  • Más permisivo
  • Gestiona subdominios
  • Lo habitual en la mayoría de organizaciones

Configura correctamente los remitentes de terceros

  • Añade tu dominio en su plataforma
  • Completa la verificación de dominio
  • Prueba antes del uso en producción

Monitoriza los informes DMARC

Documenta tus fuentes de correo

  • Lista todos los servicios que envían desde tu dominio
  • Anota la configuración de autenticación
  • Actualiza al añadir nuevos servicios

Prueba antes de aplicar políticas restrictivas

  • Empieza con p=none (monitorización)
  • Revisa los informes durante 2-4 semanas
  • Corrige los problemas de alineamiento
  • Después pasa a p=quarantine o p=reject

Resumen

Los fallos de alineamiento DMARC ocurren cuando:

El dominio visible del "From" no coincide con el dominio autenticado por SPF o DKIM.

Causas más habituales:

  1. Servicios de terceros enviando desde su propio dominio
  2. Reenvío de correo
  3. Problemas de configuración con subdominios
  4. Dominios de alias no autenticados

Solución rápida:

  1. Identifica qué correos fallan el alineamiento
  2. Configura el envío con dominio personalizado en el servicio de email
  3. Usa alineamiento relajado: adkim=r; aspf=r
  4. Prueba y monitoriza

Tiempo estimado:

  • Diagnóstico: 15 minutos
  • Configurar envío personalizado: 30 minutos
  • Propagación DNS: 30-60 minutos
  • Verificación: 24-48 horas de monitorización

Siguientes pasos

  1. Comprueba el estado de alineamiento: Verificador de DMARC →
  2. Revisa los informes DMARC: Activa el análisis →
  3. Verifica la autenticación completa: Domain Score →

Artículos relacionados:

Tags:dmarcalignmenttroubleshooting

¿Listo para mejorar la entregabilidad de tus emails?

Empieza a monitorizar tus reportes DMARC y obtén información sobre tu configuración de autenticación.

Comenzar Prueba Gratuita

Artículos Relacionados

troubleshooting

¿Tus correos van a spam aunque DMARC esté en None? Esto es lo que pasa

Descubre por qué tus correos caen en spam a pesar de tener DMARC en none. Diagnostica problemas de SPF, DKIM, reputación de IP y contenido con soluciones paso a paso.

2 de marzo de 2026
8 min de lectura
Registro DMARC no encontrado: cómo solucionar este error
troubleshooting

Registro DMARC no encontrado: cómo solucionar este error

Guía rápida para solucionar el error DMARC record not found. Conoce las causas más habituales y las soluciones paso a paso para que tu registro DMARC funcione correctamente.

15 de diciembre de 2025
7 min de lectura
troubleshooting

Selector DKIM no encontrado: causas y cómo solucionarlo

Soluciona el error DKIM selector not found. Aprende qué son los selectores, cómo encontrar el correcto para tu proveedor y cómo verificar tus registros DNS de DKIM.

2 de marzo de 2026
6 min de lectura