Guía de Migración DMARC

Al migrar plataformas DMARC, es importante que comprenda la configuración actual aplicada por la plataforma DMARC existente. Una migración bien planificada asegura que su correo electrónico continúe fluyendo sin problemas mientras fortalece la autenticación y los informes. Esta guía lo lleva a través de cada fase del cambio de proveedores DMARC (y las configuraciones asociadas a nivel de DNS).

Visión General

Esta guía cubre lo siguiente:

Planificación e inventario
Evaluación y preparación
Configuración paralela
Secuenciación de actualizaciones DNS
Pruebas y monitoreo
Ejecución de la transición
Revisión post-migración

Seguir este proceso asegura el alineamiento con las mejores prácticas y le permite aprovechar consejos de automatización para garantizar cero tiempo de inactividad, mantener la entregabilidad y maximizar los informes y la aplicación.

1. Planificación e Inventario

Esta primera fase asegura que tenga una comprensión completa de cada una de las áreas relevantes de la configuración actual.

Inventario de Dominios y Registros

Catalogue cada dominio involucrado. Para cada dominio, recopile los siguientes registros DNS actuales:

Registro DNS	Tipo de Registro Esperado	Cómo Identificar
DMARC	TXT o CNAME	Contiene `_dmarc` en el nombre de host
SPF	TXT	Comienza con `v=spf1` en la sección de valor
DKIM	TXT o CNAME	Contiene `_domainkey` en el nombre de host
BIMI	TXT	Comienza con `v=BIMI1` en la sección de valor
MTA-STS	TXT	Contiene `_mta-sts` en el nombre de host
TLS-RPT	TXT	Contiene `_tls-rpt` en el nombre de host

Documente la aplicación DMARC existente (p=none/quarantine/reject) y las direcciones de informes (rua/ruf). Un inventario completo desde el principio es crítico – "cree un inventario de las configuraciones en su servicio de protección existente primero" antes de hacer cambios.

Para entornos grandes, use scripts o herramientas de exportación DNS para automatizar esta recopilación de datos.

Identificar Fuentes de Envío

Liste todos los remitentes de correo (servidores locales, servicios en la nube, plataformas de marketing, etc.) y sus includes SPF actuales o claves DKIM para cada dominio
Verifique cualquier subdominio o delegaciones a terceros
Valide su inventario usando informes DMARC existentes o registros de correo saliente

Revisar Flujos de Informes Actuales

Note dónde se envían los informes agregados/de fallo DMARC y los informes TLS-RPT (direcciones de correo)
Planifique mantener la visibilidad transitando estos a la nueva plataforma DMARC Manager
Los registros DMARC pueden listar múltiples URIs de informes (separados por comas) para enviar datos simultáneamente a sistemas antiguos y nuevos

Establecer Rendimiento Base

Antes de los cambios, registre métricas actuales de correo (tasas de rebote, quejas de spam, entregabilidad) y niveles de cumplimiento DMARC. Esto le permite verificar mejoras post-migración y asegurar que no haya regresiones.

2. Evaluación y Preparación

La fase de evaluación y preparación asegura que esté preparado para revertir si fuera necesario. Para entornos más pequeños, puede que no sea necesario todo lo siguiente, use su discreción.

Respaldo de Registros DNS Existentes

Exporte o guarde sus archivos de zona
Conserve copias de todos los registros actuales para DMARC, SPF, selectores DKIM, MTA-STS, TLS-RPT, etc.

Catalogar Nuevas Entradas DNS Objetivo

Abra DMARC Manager y capture las nuevas configuraciones objetivo para cada dominio. Asegúrese de tener los nuevos registros requeridos de DMARC manager para cada dominio (si está cubierto en la plataforma heredada):

DMARC
SPF
DKIM
MTA-STS
TLS-RPT
BIMI

Ejemplo: Un ejemplo de dónde encontrar las instrucciones de configuración para DMARC. Las otras configuraciones se pueden encontrar simplemente cambiando a la pestaña de configuración de estándares relevante.

Roles de Interesados

Asigne responsabilidades. Defina quién actualiza DNS, quién configura el nuevo DMARC Manager, quién monitorea los informes y quién maneja la reversión si algo falla. Por ejemplo, operaciones de TI podría manejar cambios DNS, mientras que los equipos de seguridad revisan informes. Roles claros y canales de comunicación son clave.

Evaluación de Riesgos y Programación

Identifique riesgos (por ejemplo, configuración incorrecta temporal causando rebotes) y planifique mitigación
Considere migrar durante ventanas de bajo tráfico o en fases por grupo de dominio
Para gran cantidad de dominios, realice la migración por lotes (por ejemplo, 100 dominios a la vez) para limitar el impacto

Preparar el Nuevo Entorno

Haga que su equipo se familiarice con la interfaz/API de la nueva plataforma
Recopile cualquier información necesaria (nuevas claves públicas DKIM, valores include SPF, direcciones de informes, endpoints MTA-STS)
Asegúrese de tener acceso a DNS para los registros del nuevo DMARC Manager
Note cualquier entrada DNS CNAME o TXT requerida

Reducir TTLs DNS

Unos días antes de los cambios, reduzca los TTLs en registros clave (DMARC, SPF, DKIM, MTA-STS, TLS-RPT) a algo bajo (por ejemplo, 300–3600 segundos)
Esto minimiza retrasos de propagación durante la transición
Recuerde restaurar TTLs más altos después de la estabilización

Delegación de Roles y Documentación

Documente cada cambio planificado y prepare guías paso a paso
Para cada dominio (o plantilla de dominios), note las ediciones DNS exactas y secuencia
Mantenga registros de cambios listos para auditoría para poder demostrar cumplimiento y qué cambió cuándo

3. Configuración Paralela

Mientras la plataforma DMARC antigua permanece activa, configure el nuevo DMARC Manager en paralelo para que ambos sistemas reciban o validen correo simultáneamente. Esta fase de "escritura dual" evita tiempo de inactividad o puntos ciegos, y se aplica a todas las entradas DNS relevantes.

Agregar Dominios al Nuevo DMARC Manager

Agregue todos los nuevos dominios en el DMARC Manager
Verifique la propiedad DNS según sea requerido (por ejemplo, vía DNS TXT o correo)

Configuración DMARC

Configure la política DMARC inicial del dominio recién agregado a la política actual publicada
Agregue las direcciones de informes de la plataforma DMARC antigua en DMARC Manager
Configure bajo 'Editar Configuración' en la Interfaz de Dominios:
- Agregue dirección RUA en la sección de Informes Agregados
- Agregue dirección RUF en la sección de Informes de Fallo

Configuración SPF

Actualice el registro TXT SPF de cada dominio en DMARC Manager al registro SPF actualmente publicado
Asegúrese que todos los includes aparezcan en DMARC Manager
Verifique que la etiqueta 'all' esté configurada a la misma política (típicamente ~all)
No elimine los includes SPF antiguos en la plataforma DMARC heredada aún

Configuración DKIM

Agregue las claves DKIM a la gestión de claves DKIM del nuevo DMARC Manager
No elimine los registros DKIM antiguos aún

Configuración BIMI

Copie los archivos de certificado al DMARC manager
Copie el archivo de imagen al DMARC manager (use SVG exacto)
No elimine los registros BIMI antiguos aún

Configuración MTA-STS

Si usa MTA-STS, asegúrese que la política MTA-STS del nuevo DMARC Manager refleje la antigua.

4. Secuenciación de Actualización de Registros

La secuenciación adecuada de cambios DNS minimiza el riesgo. Siga este orden:

Reducir TTLs (hecho en Preparación)
Reemplace SPF existente con nuevo SPF:
- Siga instrucciones de DMARC Manager
- Verifique sintaxis y límites de búsqueda
- Espere propagación DNS (minutos a una hora)
Publique nuevas entradas de gestión de claves DKIM:
- Agregue nuevos registros NS de gestión DKIM
- Mantenga registros DKIM antiguos activos para reversión
Reemplace registro DMARC existente:
- Use registro DMARC Manager
- Verifique sintaxis (un TXT/CNAME DMARC por dominio)
Reemplace registro BIMI existente:
- Elimine registro BIMI antiguo
- Agregue nuevos registros NS BIMI
Actualice Registro DNS MTA-STS
Actualice TXT DNS TLS-RPT
Pausa de validación (24–48 horas)
Ajuste de aplicación opcional

Pasos de Verificación

En cada paso, verifique la autenticación de correo:

SPF: Verifique autenticación usando herramientas o correos de prueba
DKIM: Envíe mensajes de prueba y valide encabezados
DMARC: Confirme informes divididos entre proveedores

5. Pruebas y Monitoreo

Informes DMARC

Confirme que ambos servicios reciben informes
Compare informes de muestra
Verifique fuentes de correo legítimas

Pruebas de Autenticación

Envíe correos de prueba desde cada fuente
Verifique SPF=pass y DKIM=pass
Investigue cualquier fallo

Verificación MTA-STS

Use verificadores MTA-STS en línea
Pruebe correo de dominio externo
Revise consola admin de Google Workspace (si aplica)

Revisión TLS-RPT

Revise informes después de algunos días
Aborde cualquier problema
Confirme que nuevo proveedor recibe informes

Monitoreo de Entregabilidad

Observe tasas de rebote
Monitoree informes de spam
Rastree quejas de usuarios

6. Ejecución de la Transición

Una vez verificado, realice la transición final:

Elimine claves DKIM antiguas (después de 48–72 horas)
Limpie includes SPF

Finalice registro DMARC:

v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100

Actualice configuración MTA-STS
Elimine URI TLS-RPT antigua
Retire proveedor antiguo

Nota: Realice eliminaciones durante ventanas de mantenimiento con planes de respaldo listos.

7. Revisión Post-Migración

Lista de Verificación de Validación

[ ] Todos los dominios reportan a DMARC Manager
[ ] Solo permanecen registros DMARC Manager
[ ] Verifique con dig o interfaz de gestión DNS

Revisión de Rendimiento

Monitoree tasas de rechazo de correo
Verifique cumplimiento DMARC
Compare métricas pre/post migración

Documentación

Compile registros de auditoría
Documente cambios DNS
Registre fechas de transición
Guarde mensajes de confirmación

Mejora de Política

Planifique aumentos de aplicación
Muévase hacia p=reject
Revisiones SPF regulares

Conclusión

Al inventariar meticulosamente, preparar y ejecutar sistemas en paralelo, asegura cero tiempo de inactividad durante la transición. Los informes multi-receptor mantienen la entregabilidad y visibilidad ininterrumpidas. Finalmente, la limpieza de registros antiguos y el endurecimiento de políticas completa la migración, dejándolo con autenticación de correo más fuerte y monitoreo integral bajo DMARC Manager.

Guía de Migración DMARC ​

Visión General ​

1. Planificación e Inventario ​

Inventario de Dominios y Registros ​

Identificar Fuentes de Envío ​

Revisar Flujos de Informes Actuales ​

Establecer Rendimiento Base ​

2. Evaluación y Preparación ​

Respaldo de Registros DNS Existentes ​

Catalogar Nuevas Entradas DNS Objetivo ​

Roles de Interesados ​

Evaluación de Riesgos y Programación ​

Preparar el Nuevo Entorno ​

Reducir TTLs DNS ​

Delegación de Roles y Documentación ​

3. Configuración Paralela ​

Agregar Dominios al Nuevo DMARC Manager ​

Configuración DMARC ​

Configuración SPF ​

Configuración DKIM ​

Configuración BIMI ​

Configuración MTA-STS ​

4. Secuenciación de Actualización de Registros ​

Pasos de Verificación ​

5. Pruebas y Monitoreo ​

Informes DMARC ​

Pruebas de Autenticación ​

Verificación MTA-STS ​

Revisión TLS-RPT ​

Monitoreo de Entregabilidad ​

6. Ejecución de la Transición ​

7. Revisión Post-Migración ​

Lista de Verificación de Validación ​

Revisión de Rendimiento ​

Documentación ​

Mejora de Política ​

Conclusión ​