Última actualización: julio de 2026

En resumen: Las etiquetas opcionales adkim= y aspf= dictan el rigor con el que Domain-based Message Authentication, Reporting, and Conformance (DMARC) aplica la alineación de identificadores (Identifier Alignment). Determinan si los dominios SPF y DKIM subyacentes deben coincidir exactamente con el dominio visible de la cabecera From (strict) o si se permiten subdominios (relaxed).

Para que un mensaje supere la evaluación DMARC, no basta con que SPF y DKIM sean técnicamente válidos para cualquier dominio aleatorio. DMARC requiere que al menos un mecanismo de autenticación válido coincida con la dirección del remitente mostrada al destinatario (Header-From). Esta vinculación se conoce como alineación de identificadores.

Al configurar las etiquetas adkim= (alineación DKIM) y aspf= (alineación SPF), los administradores definen la flexibilidad exacta permitida al comparar estas cadenas de dominio.

Requisitos del protocolo bajo el RFC 7489

Ambas etiquetas de alineación aceptan dos valores operativos: r para el modo relajado (relaxed) y s para el modo estricto. Si se omiten en el registro DNS publicado, DMARC aplica automáticamente la alineación relajada (r).

Según el RFC 7489, para la alineación DKIM: adkim: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed DKIM Identifier Alignment mode is required by the Domain Owner.

Y del mismo modo para la alineación SPF: aspf: (plain-text; OPTIONAL; default is "r".) Indicates whether strict or relaxed SPF Identifier Alignment mode is required by the Domain Owner.

Un registro de política DMARC que aplica una alineación estricta en ambos mecanismos se ve así:

v=DMARC1; p=reject; adkim=s; aspf=s; rua=mailto:dmarc-reports@example.com

Alineación relajada (r): coincidencia organizativa flexible

En el modo relajado (r), DMARC permite relaciones de subdominios organizativos:

  • Si la dirección visible en la cabecera Header-From es user@example.com, el dominio especificado en la firma DKIM (d=) o en el Return-Path del sobre (Mail-From) puede ser un subdominio como mail.example.com o bounce.example.com.
  • Aunque las cadenas no coincidan carácter por carácter, DMARC considera la alineación exitosa porque ambos pertenecen al mismo dominio raíz organizativo.

El modo relajado es el estándar recomendado para la gran mayoría de las organizaciones, ya que las plataformas externas (proveedores de correo transaccional, sistemas CRM o mesas de ayuda) enrutan casi todo su correo mediante subdominios dedicados de rebote o firma.

Alineación estricta (s): coincidencia exacta de cadenas

En el modo estricto (s), DMARC exige una coincidencia exacta de dominio carácter por carácter:

  • Si un correo muestra user@example.com en la cabecera From, la etiqueta DKIM d= debe ser exactamente example.com y el Return-Path SPF debe terminar precisamente en @example.com.
  • Si una plataforma externa firma el mensaje utilizando mail.example.com, la alineación estricta falla de inmediato, incluso si la firma criptográfica en sí es válida.

La alineación estricta se suele desplegar únicamente en entornos empresariales B2B de alta seguridad, organizaciones gubernamentales e instituciones financieras donde los administradores deben evitar que subdominios comprometidos autentiquen tráfico en nombre del dominio raíz.

Verificar tu configuración

Para comprobar si tu registro DMARC actual aplica una alineación relajada o estricta en todas tus herramientas de envío externas, audita tu dominio con el escáner gratuito MXAudit.

Para explorar conceptos técnicos completos y guías de configuración por proveedor, visita la guía central de DMARC y tutoriales como configurar DMARC en IONOS.

Más información