El email marketing puede ser una poderosa herramienta para tu negocio. Sin embargo, tus campañas no pueden ser eficaces si tus contactos no reciben tus mensajes correctamente. Si estás recibiendo un alto volumen de correos electrónicos devueltos, es posible que tengas que aprender a solucionar el error DMARC.

El DMARC es un proceso de autentificación del correo electrónico diseñado para ayudar a combatir el spam y los mensajes falsos. Por tanto, si ves la notificación «DMARC fail», significa que esta capa de la comprobación de seguridad no ha tenido éxito. Afortunadamente, hay medidas que puedes tomar para remediar el problema.

En este post, explicaremos qué es el DMARC, cómo funciona y algunas causas potenciales del fallo. Luego te guiaremos por tres métodos que puedes utilizar para resolverlo. ¡Vamos a entrar en materia!

Echa un Vistazo a Nuestro Videotutorial para Solucionar el Error DMARC Fail

Introducción al DMARC

Domain-Based Message Authentication, Reporting & Conformance (DMARC) es una forma de autenticación del correo electrónico que se adhiere a los estándares Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM). El DMARC ayuda a garantizar que la persona que envía mensajes desde tu dominio de correo electrónico es válida y no es un phisher u otro tipo de estafador.

En pocas palabras, el mensaje de error DMARC fail significa que tu correo electrónico no ha superado el proceso de autenticación DMARC. Este proceso es utilizado por la mayoría de los proveedores de servicios y software de email marketing.

Una política DMARC es un conjunto de reglas que dictan cómo los receptores deben manejar los correos electrónicos que fallan la autenticación DMARC. Las tres acciones posibles son:

  1. Rechazar: Los correos electrónicos son rechazados directamente y no se entregan al destinatario.
  2. Cuarentena: Los correos electrónicos se entregan en la carpeta de spam.
  3. Ninguno: No se realiza ninguna acción y el correo electrónico se entrega en la bandeja de entrada del destinatario.

Cuando un correo electrónico falla la autenticación DMARC, significa que la dirección del remitente no coincide con el supuesto dominio del remitente. Esto puede ocurrir por varios motivos, pero la causa más común es que el correo electrónico se haya enviado desde una dirección IP suplantada o falsificada.

Los correos electrónicos falsos son un problema importante porque pueden utilizarse para robar información confidencial o propagar malware. También pueden utilizarse para engañar a la gente y hacer que haga clic en enlaces maliciosos o abra archivos adjuntos que podrían dañar sus ordenadores.

Los correos electrónicos falsos también pueden producirse si alguien utiliza tu dirección de correo electrónico sin tu permiso. Esto puede ocurrir si tu dirección se ve comprometida en una violación de datos o si alguien simplemente adivina tu contraseña.

Posibles Causas de un Fallo DMARC

Hay algunas razones por las que un correo electrónico puede fallar la autenticación DMARC. Como hemos mencionado antes, la más común es que el correo electrónico se haya enviado desde una dirección falsa. Sin embargo, hay otras causas potenciales de fallo de DMARC, como:

  • Fallo de alineación DMARC: La dirección «De» del correo electrónico no coincide con el dominio que envía el correo electrónico, lo que puede ocurrir si utilizas un servicio de correo electrónico de terceros como Gmail, Outlook o el servicio de correo electrónico transaccional predeterminado de Kinsta para enviar correos electrónicos en nombre de tu dominio.
  • Modo de alineación DMARC incorrecto: Las direcciones «De» coinciden, pero el DMARC no está configurado correctamente.
  • Falta la firma DKIM: La firma DKIM es una firma digital que se utiliza para verificar que un correo electrónico se ha enviado desde el dominio del que dice proceder. Si falta o no es válida, puede dar lugar al mensaje de fallo de DMARC.

También es posible que el error se deba a la falta de registros TXT de DNS. Los registros TXT se utilizan para almacenar datos basados en texto en los Sistemas de Nombres de Dominio (DNS). Como hemos mencionado, la política DMARC utiliza dos registros TXT: SPF y DKIM.

Los registros DMARC se establecen en el registro TXT _dmarc.yourdomain.com, y requiere que se establezca SPF o DKIM -o mejor, ambos- y que pasen la verificación, incluida una alineación adecuada del dominio con el servidor remitente.

Cómo Saber si tu Correo Electrónico ha Fallado el DMARC

Hay dos formas principales de comprobar si tu correo electrónico ha fallado el DMARC.

Comprobación de las Cabeceras del Correo Electrónico

Las cabeceras del correo electrónico son las piezas de información que se añaden a un correo electrónico cuando se envía. Incluyen cosas como la dirección IP del remitente, la fecha y la hora en que se envió el correo electrónico y otra información.

Utilizando Gmail como ejemplo, para ver las cabeceras de los correos electrónicos, puedes hacer clic en los tres puntos verticales junto a Responder en la esquina superior derecha de un correo electrónico. A continuación, selecciona Mostrar original:

Selecciona la opción "Mostrar original" en Gmail
La opción «Mostrar original» en Gmail

En la ventana que se abre, puedes ver información sobre el mensaje original, incluyendo si era un DMARC «aprobado» o «no aprobado»:

Visualización de la cabecera original de un mensaje de error DMARC
Visualización de la cabecera original de un mensaje de error DMARC

En el ejemplo anterior, la autenticación del correo electrónico ha sido aprobada. Sin embargo, si ves DMARC Authentication-Results: fail, significa que el correo electrónico no ha superado el proceso de autenticación.

Si utilizas Outlook, puedes ver las cabeceras haciendo clic en Ver Detalles del Mensaje en la esquina superior derecha de un correo electrónico. De nuevo, desplázate hasta el final para ver si hay un mensaje de fallo de autenticación.

Utilizar las Herramientas de Análisis e Informes de DMARC

Para facilitar este proceso, puedes utilizar la herramienta Messageheader de Google Admin Toolbox:

Puedes utilizar la herramienta Messageheader de Google Admin Toolbox
La herramienta Messageheader de Google Admin Toolbox

Sólo tienes que introducir las cabeceras del correo electrónico en el cuadro de texto y luego hacer clic en Analizar la Cabecera de Arriba. Comprobará la autenticación SPF, DKIM y DMARC.

Alternativamente, puedes comprobar si hay fallos de DMARC utilizando el análisis del informe DMARC de tu servicio de correo electrónico. Se enviará un informe cuando un correo electrónico falle la autenticación DMARC y contendrá información como el remitente, el destinatario y el motivo del fallo.

Estos datos pueden utilizarse para solucionar problemas y mejorar la capacidad de entrega de tu correo electrónico. Normalmente, los informes se envían una vez al día a una bandeja de entrada que configuraste cuando definiste tu registro DMARC.

Puedes obtener un informe de fallos DMARC añadiendo un registro TXT a tu configuración DNS. Para obtener una orientación más detallada sobre la generación de los registros DNS necesarios, te recomendamos que consultes con tu proveedor específico.

Por ejemplo, ActiveCampaign ofrece una herramienta de verificación de DNS DMARC :

Página de inicio de la herramienta de verificación DMARC DNS de ActiveCampaign
La herramienta de verificación DMARC DNS de ActiveCampaign

Una vez que hayas añadido correctamente el registro, los receptores de correo electrónico comenzarán a enviar los informes de error a la dirección que hayas especificado. Entonces podrás utilizarlos para solucionar los problemas de entrega.

Cómo Solucionar el Error DMARC (3 Métodos)

Ahora que entiendes mejor qué es un fallo DMARC y qué puede causarlo, vamos a explorar las soluciones. Aquí tienes tres métodos para arreglar un error DMARC.

1. Habilitar la Autenticación SPF y DKIM

Es importante configurar el SPF y el DKIM antes del DMARC para evitar problemas de entrega del correo electrónico. A menos que especifiques una firma DKIM para tu dominio, tu proveedor de servicios de correo electrónico suele asignar una por defecto a los correos electrónicos salientes, como «d=dominio.gappssmtp.com» para Gmail.

Esto significa que tus correos electrónicos no coincidirán con el dominio en las cabeceras «De» de tus correos. Para asegurarte de que tus registros DKIM y SPF se alinean correctamente con las entradas de tu proveedor de DNS, puedes añadir el siguiente registro TXT a tu configuración de DNS:

SPF: "v=spf1 include:_spf.google.com ~all"
DKIM: "v=DKIM1; k=rsa; p=[public key]"

Una vez que hayas añadido estos registros, puedes configurar DMARC añadiendo el siguiente registro TXT a tu configuración DNS:

DMARC: "v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected]"

Deberás sustituir «example.com » por tu nombre de dominio real. De nuevo, puedes consultar con tu proveedor de DNS para saber dónde encontrar y editar estos registros.

Si utilizas Kinsta DNS, puedes añadir registros DNS a través de tu panel de control MyKinsta. Nuestro panel de control personalizado te permite acceder a una amplia gama de funciones y soluciones para gestionar y solucionar problemas, incluida nuestra herramienta de supervisión del rendimiento de las aplicaciones (APM).

Después de seleccionar tu sitio, puedes hacer clic en el elemento de menú Kinsta DNS:

Añadir un registro DNS en MyKinsta
Añadir un registro DNS en MyKinsta

Aquí puedes buscar un registro TXT en la columna Tipo . Si necesitas añadir un registro SPF TXT, puedes hacerlo utilizando MailChannels. Ten en cuenta que no tenemos registros separados para DKIM (sólo registros TXT CNAME).

2. Cambiar tu Política DMARC

Si recuerdas, hay tres posibles acciones resultantes de un correo electrónico que falla el DMARC: rechazar, poner en cuarentena o ninguna. Si el registro de la política (p) se cambia a «ninguno», el correo electrónico se entregará a la bandeja de entrada del destinatario aunque falle el DMARC. En los otros dos casos, terminará en la carpeta de spam del destinatario o te será devuelto.

Por tanto, la siguiente solución sería modificar tu registro de política DMARC a «p=none». Puedes hacerlo añadiendo el siguiente registro TXT a tu configuración DNS:

DMARC: "v=DMARC1; p=none; sp=quarantine; rua=mailto:[email protected]"

De nuevo, recuerda sustituir la URL del marcador de posición por tu  nombre de dominio. Hay que tener en cuenta que la política «none» no es la opción más segura, por lo que quizá sólo quieras considerar su uso como solución temporal.

3. Autentificar tu Dominio

Si envías correos electrónicos transaccionales  y de marketing utilizando un proveedor de servicios de terceros, como Mailchimp, tendrás que editar tus registros DNS para permitir que el proveedor envíe correos electrónicos desde tu dominio. Apuntando tus entradas DNS a tu proveedor de DNS se autentificarán y autorizarán los servidores especificados.

Para empezar, primero tendrás que verificar tu dominio. Además, la autenticación sólo puede tener éxito con un tercero si el dominio te pertenece a ti (o a tu empresa) y no a un servicio público como Google.

Una vez localizados los registros de tu dominio, puedes copiar y pegar la información de Mailchimp (o del proveedor que estés utilizando) en los registros CNAME de tu dominio. Consulta con tu software de correo electrónico o proveedor de servicios para obtener una orientación detallada, ya que la información que necesitarás y las instrucciones específicas pueden ser diferentes.

Puedes acceder a los registros de tu dominio accediendo al panel de control de tu registrador de dominios. Puede ser cPanel o Plesk. Si eres usuario de Kinsta, puedes acceder a tu panel de control de MyKinsta y luego navegar hasta Kinsta DNS:

Registros DNS en MyKinsta
Registros DNS en MyKinsta

Una vez que tengas esta información, puedes volver a Mailchimp y seguir sus instrucciones para añadir registros CNAME y autentificar tu dominio. Después de que el proveedor de servicios de correo electrónico confirme que los registros son correctos, deberías recibir un correo electrónico de éxito o de confirmación.

Otras Formas de Mejorar tus Prácticas de Envío de Correo

Si no hay nada que parezca estar mal con DMARC, SPF o DKIM, puede haber otras razones por las que tus correos electrónicos se envían al spam. Afortunadamente, hay estrategias adicionales que puedes utilizar para asegurarte de que tus correos electrónicos se entregan correctamente y mejorar tus prácticas generales de envío de correo.

Esto incluye:

Si sigues teniendo problemas con los fallos de DMARC, especialmente para determinados destinatarios, puedes intentar ponerte en contacto con esos usuarios directamente. Puedes pedirles simplemente que añadan tus direcciones de correo electrónico a sus listas de permitidos.

Resumen

Con tantos ciberataques y estafas de phishing que invaden Internet, es esencial adherirse a ciertas prácticas recomendadas de seguridad. DMARC es una norma de autenticación del correo electrónico que ayuda a proteger a los destinatarios del phishing y otras estafas basadas en el correo electrónico, pero no es una solución perfecta.

Si te encuentras repetidamente con el mensaje de error DMARC, no hay necesidad de entrar en pánico. Hay varios métodos que puedes utilizar para resolverlo y prevenirlo. Activar la autenticación SPF y SKIM y cambiar tu política DMARC puede ayudar a mejorar la entregabilidad de tu correo electrónico y mantener tus mensajes fuera de las carpetas de spam.

¿Quieres cambiar a un alojamiento que te ayude a gestionar y controlar mejor tu sitio web y tus campañas de correo electrónico? ¡Consulta nuestros planes de alojamiento Kinsta y las migraciones gratuitas de WordPress para obtener más información!