Última actualización: julio de 2026
En resumen: Las etiquetas opcionales
adkim=yaspf=dictan el rigor con el que Domain-based Message Authentication, Reporting, and Conformance (DMARC) aplica la alineación de identificadores (Identifier Alignment). Determinan si los dominios SPF y DKIM subyacentes deben coincidir exactamente con el dominio visible de la cabeceraFrom(strict) o si se permiten subdominios (relaxed).
Para que un mensaje supere la evaluación DMARC, no basta con que SPF y DKIM sean técnicamente válidos para cualquier dominio aleatorio. DMARC requiere que al menos un mecanismo de autenticación válido coincida con la dirección del remitente mostrada al destinatario (Header-From). Esta vinculación se conoce como alineación de identificadores.
Al configurar las etiquetas adkim= (alineación DKIM) y aspf= (alineación SPF), los administradores definen la flexibilidad exacta permitida al comparar estas cadenas de dominio.
Requisitos del protocolo bajo el RFC 7489
Ambas etiquetas de alineación aceptan dos valores operativos: r para el modo relajado (relaxed) y s para el modo estricto. Si se omiten en el registro DNS publicado, DMARC aplica automáticamente la alineación relajada (r).
Según el RFC 7489, para la alineación DKIM:
adkim: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed DKIM Identifier Alignment mode is required by the Domain Owner.
Y del mismo modo para la alineación SPF:
aspf: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed SPF Identifier Alignment mode is required by the Domain Owner.
Un registro de política DMARC que aplica una alineación estricta en ambos mecanismos se ve así:
v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc-reports@example.com
Alineación relajada (r): coincidencia organizativa flexible
En el modo relajado (r), DMARC permite relaciones de subdominios organizativos:
- Si la dirección visible en la cabecera
Header-Fromesuser@example.com, el dominio especificado en la firma DKIM (d=) o en el Return-Path del sobre (Mail-From) puede ser un subdominio comomail.example.comobounce.example.com. - Aunque las cadenas no coincidan carácter por carácter, DMARC considera la alineación exitosa porque ambos pertenecen al mismo dominio raíz organizativo.
El modo relajado es el estándar recomendado para la gran mayoría de las organizaciones, ya que las plataformas externas (proveedores de correo transaccional, sistemas CRM o mesas de ayuda) enrutan casi todo su correo mediante subdominios dedicados de rebote o firma.
Alineación estricta (s): coincidencia exacta de cadenas
En el modo estricto (s), DMARC exige una coincidencia exacta de dominio carácter por carácter:
- Si un correo muestra
user@example.comen la cabeceraFrom, la etiqueta DKIMd=debe ser exactamenteexample.comy el Return-Path SPF debe terminar precisamente en@example.com. - Si una plataforma externa firma el mensaje utilizando
mail.example.com, la alineación estricta falla de inmediato, incluso si la firma criptográfica en sí es válida.
La alineación estricta se suele desplegar únicamente en entornos empresariales B2B de alta seguridad, organizaciones gubernamentales e instituciones financieras donde los administradores deben evitar que subdominios comprometidos autentiquen tráfico en nombre del dominio raíz.
Verificar tu configuración
Para comprobar si tu registro DMARC actual aplica una alineación relajada o estricta en todas tus herramientas de envío externas, audita tu dominio con el escáner gratuito MXAudit.
Para explorar conceptos técnicos completos y guías de configuración por proveedor, visita la guía central de DMARC y tutoriales como configurar DMARC en IONOS.
Más información
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC) (consultado el 17 de julio de 2026)