📩 Informe de DMARC de Google
Tras configurar un registro DMARC en el registro DNS de nuestro dominio como vimos en este post
🛡️ ¿Qué es DMARC y por qué es importante para proteger tu dominio? 📧,
es habitual recibir correos electrónicos desde la dirección [email protected]. Estos correos suelen incluir archivos adjuntos con extensión .zip,
lo cual puede generar dudas sobre su legitimidad. Pero no hay de qué preocuparse: ✅ es completamente normal y seguro.
🗂️ ¿Qué contienen estos archivos .zip?
Los .zip que envía Google contienen informes agregados DMARC, útiles para saber si los correos enviados desde un dominio están pasando las validaciones SPF y DKIM.
🧠 Estos informes ayudan a identificar:
- Intentos de suplantación de identidad (spoofing)
- Problemas de autenticación
- Correos legítimos que pueden estar siendo bloqueados
El nombre del archivo suele tener esta estructura:
1
google.com!tudominio.es!<ID>.zip
📌 Esto indica:
- google.com → proveedor que generó el informe
- tudominio.es → dominio analizado
<ID>→ identificador único del informe
🔐 ¿Es seguro abrirlo?
¡Sí! Siempre que:
- El remitente sea exactamente
[email protected] - El archivo esté adjunto directamente, sin enlaces raros
- Se haya publicado un registro DMARC con el campo
rua(para informes agregados)
Dentro del .zip hay un archivo .xml con los resultados. Para visualizarlo fácilmente:
🛠️ Herramientas recomendadas:
📊 Ejemplo real de un informe
Este es un ejemplo de contenido .xml recibido tras configurar DMARC para tudominio.es:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
<feedback>
<report_metadata>
<org_name>google.com</org_name>
<email>[email protected]</email>
<report_id>13634760113354352809</report_id>
<date_range>
<begin>1744243200</begin>
<end>1744329599</end>
</date_range>
</report_metadata>
<policy_published>
<domain>tudominio.es</domain>
<adkim>r</adkim>
<aspf>r</aspf>
<p>quarantine</p>
<sp>quarantine</sp>
<pct>100</pct>
<np>quarantine</np>
</policy_published>
<record>
<row>
<source_ip>80.98.171.206</source_ip>
<count>1</count>
<policy_evaluated>
<disposition>none</disposition>
<dkim>pass</dkim>
<spf>pass</spf>
</policy_evaluated>
</row>
<identifiers>
<header_from>tudominio.es</header_from>
</identifiers>
<auth_results>
<dkim>
<domain>tudominio.es</domain>
<result>pass</result>
<selector>default</selector>
</dkim>
<spf>
<domain>tudominio.es</domain>
<result>pass</result>
</spf>
</auth_results>
</record>
</feedback>
🔍 ¿Qué significa este informe?
- ✉️ 1 correo fue enviado desde la IP
80.98.171.206 - ✅ SPF y DKIM pasaron correctamente
- 📥 DMARC se aplicó pero el correo fue considerado legítimo (
disposition: none) - 📄 Se usó la configuración DKIM
defaulty SPF desde el dominiotudominio.es
🛡️ Política DMARC vigente
El dominio tudominio.es tiene publicada esta política:
| Campo | Valor |
|---|---|
| p | quarantine |
| sp | quarantine |
| pct | 100 |
| adkim | r (relajado) |
| aspf | r (relajado) |
| np | quarantine |
👉 Esto significa que se aplicará cuarentena a los mensajes que no cumplan SPF/DKIM.
🧾 En resumen…
📬 Recibir archivos .zip desde [email protected] es completamente normal si se ha configurado correctamente un registro DMARC con informes agregados.
Estos informes permiten:
- Detectar envíos legítimos y sospechosos
- Verificar que la autenticación de correos funciona
- Evitar que otros usen un dominio sin permiso
💡 Para dominios con mucho tráfico de correo, es recomendable automatizar la visualización de estos reportes con herramientas o servicios especializados.
Sólo hay que preocuparse si en el informe aparece algo como:
- spf: fail
- dkim: fail
- disposition: quarantine o reject.
- IPs sospechosas que no reconoces.
- Muchos intentos fallidos.