Cómo leer informes DMARC en XML (con ejemplos)

Aprende a leer y entender los informes XML agregados de DMARC. Ejemplos anotados con metadatos del informe, política, resultados de autenticación y cómo detectar problemas.

2 de marzo de 2026
7 min de lectura
Share:

Cómo leer informes DMARC en XML (con ejemplos)

Los informes DMARC en XML pueden resultar intimidantes si nunca has visto uno. Estos informes agregados llegan como adjuntos de email en formato XML comprimido y contienen datos críticos sobre quién está enviando correo en nombre de tu dominio. Esta guía desglosa cada sección de un informe DMARC con ejemplos reales para que entiendas exactamente qué te están diciendo.

Por qué recibes informes DMARC

Cuando publicas un registro DMARC con la etiqueta rua (como rua=mailto:dmarc@tudominio.com), le estás diciendo a los proveedores de email: "Envíame informes sobre los emails que dicen provenir de mi dominio."

Estos informes agregados (RUA) los envían diariamente proveedores como Google, Yahoo, Microsoft y otros. Cada informe cubre un período de 24 horas y resume:

  • Cada dirección IP que envió email usando tu dominio
  • Cuántos mensajes envió cada IP
  • Si esos mensajes pasaron o fallaron SPF, DKIM y DMARC
  • Qué política se aplicó a los mensajes que fallaron

Estos datos son esenciales para entender tu ecosistema de email antes de endurecer tu política DMARC. Comprueba tu configuración DMARC actual con nuestro DMARC Checker.

Anatomía de un informe DMARC en XML

Vamos a recorrer un informe real, sección por sección.

Estructura completa del informe

<?xml version="1.0" encoding="UTF-8"?>
<feedback>
  <report_metadata>...</report_metadata>
  <policy_published>...</policy_published>
  <record>...</record>
  <record>...</record>
</feedback>

Todo informe DMARC tiene tres secciones principales:

  1. <report_metadata> — Quién generó el informe y cuándo
  2. <policy_published> — Tu política DMARC tal como la ve el proveedor
  3. <record> — Uno o más registros, cada uno representando una IP de envío

Sección 1: Metadatos del informe

<report_metadata>
  <org_name>google.com</org_name>
  <email>noreply-dmarc-support@google.com</email>
  <report_id>17238456789012345678</report_id>
  <date_range>
    <begin>1709251200</begin>
    <end>1709337600</end>
  </date_range>
</report_metadata>
Campo Significado
org_name El proveedor de email que generó el informe (Google, Yahoo, Microsoft, etc.)
email Email de contacto de la organización que genera el informe
report_id Identificador único de este informe
date_range Marcas de tiempo Unix del período cubierto (normalmente 24 horas)

Las marcas de tiempo del date_range te indican exactamente qué día cubre este informe. En este ejemplo, cubre desde el 1 de marzo de 2024 a las 00:00 UTC hasta el 2 de marzo de 2024 a las 00:00 UTC.

Sección 2: Política publicada

<policy_published>
  <domain>tudominio.com</domain>
  <adkim>r</adkim>
  <aspf>r</aspf>
  <p>none</p>
  <sp>none</sp>
  <pct>100</pct>
</policy_published>

Esta sección refleja tu política DMARC tal como la ve el proveedor:

Campo Significado
domain Tu dominio
adkim Modo de alineación DKIM: r = relajado, s = estricto
aspf Modo de alineación SPF: r = relajado, s = estricto
p Tu política DMARC: none, quarantine o reject
sp Política de subdominios (hereda de p si no se establece)
pct Porcentaje de mensajes a los que se aplica la política

Si algo parece incorrecto aquí (como p=none cuando ya configuraste p=reject), podría significar que tu registro DNS aún no se ha propagado o hay un problema de caché. Verifica tu registro en tiempo real con el DMARC Checker.

Sección 3: Registros (la parte importante)

Cada bloque <record> representa un grupo de emails desde una IP de origen específica:

<record>
  <row>
    <source_ip>209.85.220.41</source_ip>
    <count>1524</count>
    <policy_evaluated>
      <disposition>none</disposition>
      <dkim>pass</dkim>
      <spf>pass</spf>
    </policy_evaluated>
  </row>
  <identifiers>
    <header_from>tudominio.com</header_from>
  </identifiers>
  <auth_results>
    <dkim>
      <domain>tudominio.com</domain>
      <result>pass</result>
      <selector>google</selector>
    </dkim>
    <spf>
      <domain>tudominio.com</domain>
      <result>pass</result>
    </spf>
  </auth_results>
</record>

Aquí es donde están los datos accionables. Vamos a desglosarlo:

La sección <row>:

Campo Significado
source_ip La dirección IP que envió estos emails
count Cuántos mensajes envió esta IP durante el período del informe
disposition Qué hizo el proveedor: none (entregado), quarantine (spam), reject (bloqueado)
dkim Evaluación DMARC de DKIM: pass o fail
spf Evaluación DMARC de SPF: pass o fail

La sección <auth_results>:

Campo Significado
dkim > domain El dominio que firmó el email con DKIM
dkim > result Resultado bruto de la verificación DKIM (pass, fail, none)
dkim > selector Qué selector DKIM se usó
spf > domain El dominio verificado para SPF (remitente del sobre)
spf > result Resultado bruto de la verificación SPF (pass, fail, softfail, none)

Cómo identificar remitentes legítimos vs no autorizados

Al analizar los registros, mira cada source_ip y pregúntate: "¿Reconozco a este remitente?"

Remitentes legítimos que verás habitualmente

Rango de IPs Servicio
209.85.x.x Google Workspace
40.92–40.107.x.x Microsoft 365
198.2.x.x / 198.21.x.x Mailchimp
168.245.x.x SendGrid
69.171.x.x Notificaciones de Facebook

Señales de alarma para remitentes no autorizados

  • IPs desconocidas enviando altos volúmenes con dkim=fail y spf=fail
  • IPs de países inesperados o proveedores de hosting desconocidos
  • Registros donde header_from es tu dominio pero auth_results muestran un dominio completamente diferente
  • Valores de count altos desde IPs que no reconoces

Cómo detectar problemas comunes

Problema 1: SPF pasa pero DKIM falla

<policy_evaluated>
  <dkim>fail</dkim>
  <spf>pass</spf>
</policy_evaluated>

Esto normalmente significa que el servicio de envío está autorizado en tu registro SPF pero no tiene configurada la firma DKIM para tu dominio. Comprueba tu configuración DKIM con el DKIM Checker.

Problema 2: Fallos por reenvío

<auth_results>
  <spf>
    <domain>dominio-reenviador.com</domain>
    <result>pass</result>
  </spf>
</auth_results>
<policy_evaluated>
  <spf>fail</spf>
</policy_evaluated>

Cuando SPF pasa en auth_results pero falla en policy_evaluated, se trata de un fallo de alineación. Esto ocurre frecuentemente con el reenvío de emails: la IP del servidor que reenvía no está en tu registro SPF, y el dominio del remitente del sobre no coincide con tu header_from.

DKIM sobrevive al reenvío, así que tener DKIM correctamente configurado protege contra esto. Comprueba tu configuración completa con el Email Compliance Checker.

Problema 3: Servicio legítimo fallando ambas verificaciones

<source_ip>168.245.100.52</source_ip>
<count>340</count>
<policy_evaluated>
  <dkim>fail</dkim>
  <spf>fail</spf>
</policy_evaluated>

Si reconoces la IP (en este caso, SendGrid) pero ambas verificaciones fallan, el servicio necesita configurarse correctamente:

  1. Añade el servicio a tu registro SPF → SPF Generator
  2. Configura la firma DKIM en el panel del servicio → Guía de configuración DKIM
  3. Verifica que la alineación sea correcta → DMARC Checker

Por qué leer informes manualmente no escala

Un solo dominio puede recibir decenas de informes al día de distintos proveedores. Cada informe puede contener cientos de registros. Multiplica eso por el número de dominios que gestionas, y la revisión manual se vuelve imposible.

Problemas habituales con el análisis manual de informes:

  • Los informes llegan como adjuntos XML comprimidos con gzip que hay que extraer y abrir
  • Las direcciones IP necesitan ser resueltas inversamente para identificar el servicio de envío
  • Necesitas hacer seguimiento de tendencias para detectar nuevos remitentes no autorizados
  • Los distintos proveedores usan formatos de informe ligeramente diferentes
  • No hay forma integrada de agregar datos de múltiples informes

Automatiza el análisis de informes con DMARC Examiner

DMARC Examiner resuelve todos estos problemas procesando automáticamente tus informes DMARC. Parsea el XML, identifica los servicios de envío por IP, visualiza tendencias y te alerta cuando aparecen remitentes no autorizados o aumentan los fallos de autenticación.

En lugar de leer archivos XML, obtienes un panel claro que muestra exactamente qué está pasando con tu autenticación de email, junto con recomendaciones accionables para corregir problemas.

Empieza a monitorizar gratis →

Artículos relacionados:

Tags:dmarcreportsxmlruagetting started

¿Listo para mejorar la entregabilidad de tus emails?

Empieza a monitorizar tus reportes DMARC y obtén información sobre tu configuración de autenticación.

Comenzar Prueba Gratuita

Artículos Relacionados

Políticas DMARC explicadas: None vs Quarantine vs Reject
getting started

Políticas DMARC explicadas: None vs Quarantine vs Reject

Entiende las tres políticas DMARC (p=none, p=quarantine, p=reject) y aprende cuándo usar cada una para conseguir la mejor seguridad y entregabilidad de email.

15 de diciembre de 2025
11 min de lectura
SPF, DKIM y DMARC: La guía completa de autenticación de email
getting started

SPF, DKIM y DMARC: La guía completa de autenticación de email

Domina la autenticación de correo electrónico con esta guía completa sobre SPF, DKIM y DMARC. Aprende cómo funcionan juntos estos protocolos para proteger la entrega de tus emails.

15 de diciembre de 2025
14 min de lectura
Qué es DMARC: Guía sencilla para personas no técnicas
getting started

Qué es DMARC: Guía sencilla para personas no técnicas

Aprende qué es DMARC y por qué es importante para la seguridad de tu correo electrónico. Explicado en un lenguaje claro y sin tecnicismos.

15 de diciembre de 2024
3 min de lectura