En este artículo explicamos por qué, incluso con DMARC reject, pueden presentarse casos en los que correos falsos logran pasar los filtros y llegar al buzón del usuario. Esta situación suele generar confusión, ya que la expectativa de una política DMARC en reject es que todos los intentos de suplantación sean bloqueados automáticamente.
¿Qué es DMARC y cómo funciona en reject?
DMARC (Domain-based Message Authentication, Reporting and Conformance) es el protocolo que utiliza los resultados de SPF y DKIM para decidir si un correo electrónico debe ser aceptado o rechazado. Cuando un dominio se configura con DMARC en reject, significa que todo correo que no supere estas validaciones debe ser rechazado por el servidor receptor. Esto protege a la organización contra ataques de spoofing y phishing.
En condiciones normales, esta configuración es la más segura y asegura que mensajes enviados desde servidores no autorizados sean bloqueados. Sin embargo, la realidad es que hay casos documentados en los que, a pesar de tener DMARC reject, algunos mensajes fraudulentos llegan a destino.
¿Qué es un temperror en DMARC?
Al revisar los encabezados de estos correos vemos la causa: el estado temperror.
Un temperror es un error temporal de resolución DNS que ocurre cuando el servidor que recibe el correo no logra consultar correctamente el registro DMARC del dominio emisor.
De acuerdo con el RFC 7489 – DMARC, sección 6.6.3 (Policy Application), cuando ocurre un error de este tipo, el resultado de la validación se considera indeterminado. El RFC indica expresamente que los receptores no deben aplicar la política reject en este escenario, ya que el fallo puede deberse a una condición temporal y no a una configuración incorrecta.
En términos simples: aunque el dominio tenga DMARC en reject, si el receptor no logra consultar el registro, no puede aplicar la política.
Cómo maneja Microsoft 365 los temperror
Microsoft 365, al igual que otros grandes proveedores de correo, maneja los temperror bajo una política llamada fail-open. Esto significa que en lugar de bloquear directamente el correo, lo procesa utilizando sus propios filtros de spam y phishing.
-
En la mayoría de los casos, los correos sospechosos terminan en cuarentena o en la carpeta de correo no deseado.
-
Sin embargo, un número reducido de mensajes puede llegar a la bandeja de entrada, ya que no se aplicó la política reject y el motor antispam no los catalogó con suficiente riesgo.
Este comportamiento es deliberado y no se puede modificar en Microsoft 365. Está diseñado así para evitar falsos positivos: si un correo legítimo falla en la validación DMARC debido a un error de DNS transitorio, bloquearlo podría interrumpir la comunicación válida de un dominio.
Causas comunes de un temperror
Los temperror pueden deberse a varias causas:
-
Fallos momentáneos en los servidores DNS del dominio.
-
Latencia o saturación en la red de resolución.
-
Problemas de conectividad en los resolvers del proveedor receptor.
-
Incidentes transitorios en la infraestructura de validación de Microsoft u otros proveedores.
Es importante aclarar que un temperror no significa que DMARC esté mal configurado. Al contrario, indica que el dominio está correctamente protegido, pero que el validador no pudo consultar el registro en ese instante.
¿Qué significa esto para la seguridad del dominio?
Aunque pueda parecer que DMARC no está funcionando, la realidad es distinta. La configuración en reject sigue siendo la mejor protección contra suplantación de identidad. Los casos en que algunos correos pasan debido a un temperror son excepcionales y puntuales y no dependen del dominio ni del administrador, sino del proveedor receptor.
Lo importante es comprender que DMARC reject temperror es un escenario contemplado en el estándar y que no implica un fallo en la configuración.
Recomendaciones de Digital Corp
-
Mantener DMARC en reject como política estándar de protección.
-
Revisar periódicamente los reportes DMARC agregados (RUA) y forenses (RUF) para identificar intentos de suplantación.
-
Capacitar a los usuarios internos para que sepan reconocer correos sospechosos, especialmente aquellos que contienen adjuntos inusuales como archivos SVG con código embebido.
-
Si eres client de Digital Corp, reportar cualquier caso detectado para incluirlo en el monitoreo y análisis.
Conclusión
Los correos falsos que logran pasar pese a tener DMARC en reject no significan que la protección esté fallando. Son consecuencia de un temperror en la validación, que según el RFC 7489 se debe tratar como indeterminado y de la política de fail-open que aplica Microsoft 365. Aunque pueden generar preocupación, estos casos son poco frecuentes y no invalidan la protección robusta que entrega DMARC en reject.
En Digital Corp continuaremos monitoreando estos escenarios y acompañando a nuestros clientes para fortalecer su seguridad frente a intentos de suplantación.
