Los informes forenses le muestran exactamente
qué correos fallaron - y por qué
Los informes forenses DMARC (RUF) proporcionan detalles por mensaje sobre correos individuales que fallaron la autenticación DMARC - la IP del remitente, los encabezados del correo, la línea de asunto y el mecanismo específico que falló. Son su primera línea de investigación cuando se detecta suplantación.
¿Qué es un informe
forense DMARC?
Un informe forense DMARC (también llamado informe de fallo) es una notificación por mensaje enviada por un servidor de correo receptor cuando un correo individual falla la autenticación DMARC. A diferencia de los informes agregados que resumen volúmenes, los informes forenses le dan los detalles reales de cada mensaje fallido.
Los informes forenses se configuran mediante la etiqueta ruf= en su registro DMARC. No todos los receptores envían informes forenses - en particular, Gmail no envía informes RUF debido a preocupaciones de privacidad, según la documentación de DMARC de Google.
Microsoft (Outlook/365) y Yahoo se encuentran entre los principales receptores que sí envían informes forenses. Combinados con datos agregados, proporcionan una imagen completa de la salud de autenticación de correo de su dominio.
Qué puede investigar con los informes forenses
Los informes forenses son su herramienta de investigación cuando los informes agregados señalan actividad sospechosa. Cada informe de fallo le da la evidencia para determinar qué sucedió y tomar acción.
Intentos de suplantación
Identifique atacantes que se hacen pasar por sus ejecutivos, departamento de facturación o equipo de soporte. Los informes forenses muestran la dirección From exacta utilizada, la IP de origen real y la discrepancia del Return-Path.
Remitentes externos mal configurados
Descubra servicios legítimos (plataformas de marketing, CRMs, sistemas de tickets) que envían como su dominio sin la configuración adecuada de SPF/DKIM. Corríjalos antes de endurecer la política.
Fallos de reenvío
El reenvío de correo (listas de distribución, redirecciones .edu, autoenvíos) rompe la alineación SPF. Los informes forenses revelan qué rutas de reenvío causan fallos para que pueda incluirlas en la lista blanca o implementar ARC.
Detección de Shadow IT
Encuentre herramientas SaaS no autorizadas que envían correo como su dominio sin aprobación de TI: cuentas de prueba olvidadas, experimentos de marketing o servicios configurados por empleados.
Informes agregados vs forenses
Ambos tipos de informes sirven para propósitos diferentes. Los informes agregados proporcionan la visión general; los informes forenses proporcionan la evidencia. Necesita ambos para una aplicación efectiva de DMARC.
Consideraciones de privacidad
para informes forenses
Los informes forenses pueden contener información de identificación personal (PII) - líneas de asunto, direcciones de correo de destinatarios y encabezados completos del mensaje. Por eso algunos receptores optan por no enviarlos, y por eso requieren un manejo cuidadoso.
- Gmail no envía informes forenses debido a políticas de privacidad
- Microsoft envía informes forenses pero puede redactar algunos campos
- Yahoo envía informes forenses con diferentes niveles de detalle
- Algunos receptores empresariales envían datos forenses completos
- DMARC Report procesa datos forenses de forma segura con retención configurable
La etiqueta fo= - controlando cuándo se generan informes
La etiqueta fo= en su registro DMARC indica a los receptores qué tipos de fallo deben generar un informe forense. Cada opción le da diferente granularidad.
fo=0 Predeterminado Genera un informe forense solo cuando AMBOS SPF y DKIM fallan en producir una aprobación alineada. Es la configuración más conservadora y produce menos informes.
fo=1 Cualquier fallo Genera un informe forense cuando CUALQUIERA de SPF o DKIM falla en producir una aprobación alineada. Recomendado - le da visibilidad sobre fallos parciales que fo=0 omitiría.
fo=d Fallo DKIM Genera un informe cuando cualquier firma DKIM falla en la evaluación, independientemente de la alineación. Útil para depurar rotación de claves DKIM o problemas de selectores.
fo=s Fallo SPF Genera un informe cuando la evaluación SPF falla por cualquier razón, independientemente de la alineación. Útil para identificar vacíos en la configuración SPF o cambios en rangos de IP.
Configuración recomendada: Use fo=1 para capturar la mayor variedad de fallos. Durante la fase de monitoreo (p=none), esto le da máxima visibilidad sobre problemas de autenticación antes de endurecer su política. Genere su registro con nuestro Generador de registros DMARC.
Preguntas frecuentes
¿Gmail envía informes forenses DMARC?
No. Google nunca ha enviado informes forenses RUF debido a preocupaciones de privacidad sobre la inclusión de encabezados de correo y líneas de asunto en las notificaciones de fallo. Recibirá informes forenses de Microsoft (Outlook/365), Yahoo y algunos receptores empresariales, pero no de Gmail. Use los informes agregados para datos de remitentes de Gmail.
¿Los informes forenses son un riesgo de privacidad?
Los informes forenses pueden contener PII incluyendo líneas de asunto, direcciones de destinatarios y encabezados completos de correo. Algunos receptores redactan campos sensibles o declinan enviar informes forenses por completo. DMARC Report procesa datos forenses de forma segura con políticas de retención de datos configurables. Las organizaciones sujetas al RGPD o CCPA deben revisar sus procedimientos de manejo de datos forenses.
¿Qué significa fo=1 en un registro DMARC?
La opción fo=1 indica a los receptores que envíen un informe forense cuando CUALQUIER mecanismo de autenticación falla (SPF o DKIM). El valor predeterminado fo=0 solo se activa cuando AMBOS SPF y DKIM fallan. Recomendamos fo=1 para máxima visibilidad durante la fase de monitoreo.
¿Cómo habilito los informes forenses?
Agregue la etiqueta ruf= a su registro DMARC junto con fo=1 para máxima cobertura. Ejemplo: v=DMARC1; p=none; rua=mailto:rua@ejemplo.com; ruf=mailto:ruf@ejemplo.com; fo=1. Use nuestro Generador de registros DMARC para crear el registro.
Obtenga visibilidad completa sobre fallos de autenticación
DMARC Report procesa informes agregados y forenses en un solo panel - clasificando amenazas e identificando remitentes no autorizados automáticamente.
Prueba gratuitaLo que dicen los usuarios sobre nuestra detección de amenazas
Rated 4.8/5 on G2 · 469 verified reviews
Verified User in Information Technology and Services
"Best security tool for your own domains"
The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.
Ryan C.
Director
"Control Centre for Email Security"
I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.
eddy g.
Director
"A great solution to a common email problem."
I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.