Última actualización: julio de 2026

En resumen: La etiqueta fo= (Failure Reporting Options) en un registro DMARC controla las condiciones exactas en las que un servidor receptor genera y envía un informe de fallos forenses (a través de ruf=). Te permite elegir entre recibir alertas únicamente cuando falla toda la autenticación o en cuanto falla cualquier mecanismo individual (SPF o DKIM).

Cuando activas los informes de fallos detallados publicando una dirección ruf=, los servidores de correo receptores necesitan reglas claras para saber cuándo enviarte esos diagnósticos individuales. Tanto si deseas supervisar anomalías leves como si prefieres recibir alertas solo cuando se rechaza un correo por completo, lo defines mediante la etiqueta fo=.

Las opciones de la etiqueta fo= bajo el RFC 7489

Según el RFC 7489, la etiqueta fo= acepta una lista de valores separados por dos puntos elegidos entre cuatro indicadores básicos: 0, 1, d y s. Si no se especifica en la cadena TXT publicada, DMARC asume por defecto el valor 0.

Según el RFC 7489, el protocolo define: fo: Failure reporting options (plain-text colon-separated list; OPTIONAL; default is "0".)

A continuación explicamos el comportamiento de cada una de las cuatro opciones de activación:

1. Fallo completo (fo=0 — valor por defecto)

Si el registro omite la etiqueta fo= o declara explícitamente fo=0, los servidores receptores generan un informe de fallos únicamente cuando el mensaje no supera ni la evaluación SPF ni la evaluación DKIM. Según el RFC 7489: 0: Generate a DMARC failure report if all underlying authentication mechanisms fail to produce an aligned "pass" result.

En este modo, si un correo llega con una firma DKIM rota pero supera la alineación de SPF, DMARC considera el mensaje autenticado y no se envía ningún informe de fallos.

2. Fallo de cualquier mecanismo (fo=1 — recomendado para diagnósticos)

La opción fo=1 es la configuración de diagnóstico preferida por los equipos de seguridad. Según el RFC 7489: 1: Generate a DMARC failure report if any underlying authentication mechanism produced something other than an aligned "pass" result.

Con fo=1, se envía un informe forense en cuanto falla un solo mecanismo. Por ejemplo, si la alineación SPF es correcta pero la firma DKIM falta o es incorrecta, recibes una alerta de inmediato. Es la opción ideal para detectar servidores que olvidan firmar los correos antes de que afecte a la entregabilidad global.

3. Fallos de evaluación DKIM (fo=d)

La opción fo=d se centra exclusivamente en errores de firma criptográfica: d: Generate a DKIM failure report if the message had a signature que failed evaluation, regardless of its alignment.

Alerta al equipo de seguridad siempre que una firma DKIM sea inválida, ya sea por una clave pública revocada, por corrupción del cuerpo del mensaje durante el tránsito o por un selector mal configurado.

4. Fallos de evaluación SPF (fo=s)

La opción fo=s se enfoca únicamente en evaluaciones de direcciones IP: s: Generate an SPF failure report if the message failed SPF evaluation, regardless of its alignment.

Envía un informe siempre que un servidor no supera la verificación SPF subyacente, lo que permite identificar rápidamente direcciones IP que faltan en el registro SPF o problemas de reenvío de correo.

Un registro DMARC completo que combina informes forenses con fo=1 se ve así:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com; ruf=mailto:dmarc-failures@example.com; fo=1

Verificar tu configuración

Para comprobar cómo se analizan tus opciones de informes de fallos y verificar que la sintaxis global de tu registro DMARC cumple con los requisitos del RFC, prueba tu dominio con el escáner gratuito MXAudit.

Para consultar guías técnicas completas sobre la gestión de informes y configuraciones por proveedor, explora la guía central de DMARC y tutoriales como configurar DMARC en IONOS.

Más información