Monitoreo continuo · Migración a enforcement · BIMI managed

Monitoreo DMARC + BIMI. Vemos quién intenta suplantarte y cerramos la puerta sin romper tu correo legítimo.

La gente que vende DMARC suele dejarte en p=none, que es ver el problema sin resolverlo. Nuestro trabajo es llevarte de monitoreo a enforcement (p=quarantine, después p=reject) durante seis a dieciocho meses, sin bloquear correo legítimo de empleados, CRM, payroll ni vendor portals. Cuando llegamos a enforcement, sumamos BIMI para que tu logo verificado aparezca en Gmail, Yahoo y Apple Mail.

Dominios sin DMARC efectivo69.6%
Logran p=reject11.1%
VMC anual desde$749
Migración correcta9-18meses
El estado real del enforcement

Casi todos publican DMARC. Casi nadie lo enforza.

El último reporte EasyDMARC analiza 1.8 millones de dominios mundiales con tres snapshots tomados durante 2023, 2025 y principios de 2026, lo cual da granularidad suficiente para distinguir adopción nominal de implementación efectiva con enforcement real. Los hallazgos son contundentes y útiles para entender por qué publicar un registro DMARC no equivale a estar protegido. Cerca de la mitad del top 1.8M tiene record DMARC publicado. Solo el nueve por ciento combina enforcement (p=quarantine o p=reject) con reportes RUA configurados, que es la única configuración que realmente protege.

69.6%

de dominios mundiales sin protección DMARC efectiva (1.15M analizados, abril 2026)

19.4%

tienen cobertura parcial vía p=quarantine o rollout gradual

11.1%

tienen protección completa con p=reject al cien por ciento

9%

configuran enforcement + reportes RUA (la única combinación realmente protectora)

El gap entre Fortune 500 e Inc. 5000 explica el patrón. Las grandes corporaciones llegaron a 95% de adopción y más del 80% en enforcement. Las empresas mid-market siguen mayormente paradas en p=none, observando spoofing sin tomar decisiones. La diferencia operativa: Fortune 500 tiene equipos dedicados de email security; mid-market típicamente tiene un proveedor que publicó el record y se olvidó.

Los mailbox providers ya no están esperando. Google y Yahoo exigen DMARC para bulk senders desde febrero 2024. Microsoft (Outlook, Hotmail, Live) rechaza non-compliant desde mayo 2025. Gmail escaló de soft warnings a rechazo activo a nivel SMTP en noviembre 2025, lo cual significa que un correo bulk sin DMARC enforcement ya ni siquiera entra al sistema de filtros del receptor: rebota antes. Esa es la realidad operativa que determina deliverability hoy en Panamá tanto como en Boston.

Simulador interactivo

¿Qué pasa si alguien suplanta tu dominio ahora mismo?

El comportamiento depende de qué política DMARC tienes publicada. Tocá una política para ver el flujo de un ataque típico de spoofing y cuántos correos serían bloqueados al día con una base estimada de 50,000 envíos.

Spoofing simulator

Atacante intenta enviar correos haciéndose pasar por tudominio.com

Visualización en vivo
ATACANTE spoof.evil Servidor del atacante SERVIDOR RECEPTOR SPF check DKIM check DMARC: p=none Gmail / Yahoo / Apple INBOX Llega como legítimo Cliente abre el correo
Spoof correos llegando ~50,000/mes
Bloqueados por DMARC 0 (0%)
Llegando al inbox del cliente ~50,000/mes

Cifras estimadas para un dominio panameño de mediano volumen con base de 50K contactos. La tasa real de spoofing se mide en los reportes RUA durante el primer mes de monitoreo.

Migración real · 9 a 18 meses

Cuatro fases para llegar a p=reject sin bloquear correo legítimo.

Mover un dominio activo desde p=none directo a p=reject sin pasar por las fases intermedias bloquea correo legítimo de forma silenciosa hasta que el primer cliente llama enojado porque no recibió la factura mensual. Eso pasa siempre porque ningún equipo conoce el cien por ciento de los servicios que envían correo a nombre del dominio: el CRM, el payroll, los proveedores de RRHH, las herramientas de marketing, los formularios web, el sistema de tickets, el monitoring que manda alertas. Cada uno requiere SPF o DKIM correctamente alineados antes de subir el enforcement, y el inventario completo solo emerge cuando los reportes RUA empiezan a mostrar tráfico desde IPs que nadie reconoce.

Fase 01
p=none
60 — 90 días

Monitoreo puro. Recibimos reportes RUA agregados de Gmail, Yahoo, Microsoft. Identificamos cada sender legítimo. Documentamos en spreadsheet con dueño técnico de cada uno.

Fase 02
p=quarantine pct=10
30 — 60 días

10% del tráfico no autenticado va a spam. Validamos que no se pierda nada legítimo crítico. Si un sender se rompe, lo arreglamos antes de subir el porcentaje.

Fase 03
p=quarantine pct=100
30 — 60 días

100% del tráfico no autenticado va a spam. Verificación final de que el alignment está estable arriba del 95%. Sin saltar este chequeo no se llega a reject limpio.

Fase 04
p=reject pct=100
Permanente

Bloqueo total. El servidor receptor descarta el correo malicioso antes de entregarlo. Monitoreo continuo para detectar nuevos senders legítimos que entren después.

Este es el record DNS real que se publica al final de la fase 04 para un dominio que también recibe BIMI:

DNS · _dmarc.tudominio.com (TXT) Producción
; --- DMARC en enforcement total ---
_dmarc.tudominio.com. 3600 IN TXT "v=DMARC1; p=reject; pct=100;
   rua=mailto:[email protected];
   ruf=mailto:[email protected];
   adkim=s; aspf=s; fo=1"

; --- BIMI con VMC para mostrar logo en Gmail ---
default._bimi.tudominio.com. 3600 IN TXT "v=BIMI1;
   l=https://tudominio.com/bimi/logo.svg;
   a=https://tudominio.com/bimi/cert.pem"

; --- SPF y DKIM apoyando el enforcement ---
tudominio.com. 3600 IN TXT "v=spf1 include:_spf.google.com
   include:_spf.mailgun.org ip4:200.46.X.0/24 -all"
BIMI · La capa visual

Cuando ya estás en enforcement, tu logo aparece en el inbox.

BIMI funciona solamente cuando DMARC está en enforcement (p=quarantine o p=reject). Es la recompensa visual al trabajo de migración: tu logo verificado aparece junto al sender en Gmail, Apple Mail, Yahoo, Fastmail, AOL. No aparece en Outlook ni Microsoft 365 todavía, porque Microsoft no se sumó al estándar.

El impacto medible es real. Estudios de Red Sift y Entrust documentan +90% de incremento en confianza del consumidor cuando ven el logo verificado, +4-6% open rate, +80% click-through rate, +44% brand recall. Para una operación panameña con base B2C en Gmail y B2B con Apple Mail, BIMI compensa el costo del certificado en pocos meses.

La elección del tipo de certificado no es trivial. Tres opciones, cada una con perfil distinto.

Self-asserted (sin certificado) CMC (recomendado mid-market) VMC (enterprise + trademark)
Costo anual $0 $749 — $1,688
Trademark requerido No
Gmail (logo) No muestra Sí muestra
Gmail blue checkmark No
Apple Mail (iCloud, iOS) No
Yahoo Mail · AOL · Fastmail
Outlook · Microsoft 365 No soporta No soporta
Tiempo provisioning 1 — 3 días (DNS solamente) 2 — 4 semanas
Ideal para Testing, dominios secundarios, Yahoo-heavy Enterprise con trademark vigente y base B2C masiva

Para empresas panameñas con base regional la recomendación default es CMC. La diferencia entre CMC y VMC es el blue checkmark de Gmail, valor real pero no decisivo para la mayoría de campañas. El ahorro de no necesitar trademark vigente compensa la pérdida del checkmark, especialmente si tu plan de trademark está en curso o no es prioridad. Para clientes con marca registrada y volumen B2C alto en Gmail, VMC tiene ROI claro porque el checkmark cambia métricas de engagement medibles.

Capacidades EMP · DMARC + BIMI

Las seis cosas que hacemos.

Audit + setup DMARC inicial

Diagnóstico del DNS actual, publicación del record DMARC en p=none correctamente formado, configuración de buzones RUA y RUF, validación contra los principales mailbox providers en 48 horas.

Parsing y dashboard

Reportes RUA agregados parseados con parsedmarc + Elasticsearch, dashboard custom Grafana mostrando senders identificados, alignment rate por origen, volumen de spoofing detectado, tendencias mes a mes.

Migración managed a enforcement

Plan de cuatro fases (none → quarantine pct=10 → quarantine pct=100 → reject) con validación humana entre cada paso. Coordinación con tu equipo IT y los proveedores SaaS (CRM, payroll, marketing).

BIMI provisioning

Setup completo de BIMI con CMC o VMC según tu caso. Coordinación con DigiCert o Entrust. Preparación del SVG Tiny PS conforme spec. Hosting del PEM. Publicación del record DNS BIMI.

Alertas y respuesta a incidentes

Alertas automáticas en Slack, Telegram o WhatsApp Business cuando aparece nuevo sender no autorizado, cuando el alignment rate baja, cuando hay picos de spoofing detectado, o cuando el certificado VMC se acerca a expiración.

Reporting humano mensual

Reporte mensual escrito por humano explicando qué pasó con tu autenticación: nuevos senders detectados, gaps remediados, próximos pasos. No es un PDF auto-generado: alguien lee tus dashboards y te explica qué importa.

Pricing transparente

Tres tiers según dominios y BIMI.

El audit técnico inicial es gratuito. Calibramos el tier después de revisar tu DNS actual y entender cuántos dominios reales operas (subdominios cuentan).

Light

1 dominio · monitoreo + reportes.

$390 setup
  • + $190 USD/mes managed
  • 1 dominio principal monitoreado
  • Parsing reportes RUA
  • Dashboard básico Grafana
  • Reporte mensual escrito
  • Alertas configuración rota
  • Sin BIMI incluido
Solicitar Light

Enterprise

Dominios ilimitados · VMC managed.

$2,400+ setup
  • + $890+ USD/mes managed
  • Dominios y subdominios ilimitados
  • VMC managed para hasta 3 marcas
  • Apple Business Connect coordination
  • Stack completo dedicado al cliente
  • Soporte 24/7 · SLA 1h
  • Auditoría trimestral de configuración
Hablar Enterprise
Las dudas reales

Lo que pregunta el CTO en la primera reunión.

"Ya tengo SPF y DKIM publicados. ¿Realmente necesito DMARC?"

SPF y DKIM autentican al sender. DMARC es la capa que les dice a los receptores qué hacer cuando esos checks fallan. Sin DMARC, el receptor toma decisiones genéricas (típicamente delivery con warning). Con DMARC en enforcement, el receptor descarta o marca según tú decidas. Hay un punto extra clave para bulk senders: desde febrero 2024 Google y Yahoo exigen DMARC para emisores de más de 5,000 correos por día. Sin DMARC enforcement ya hay impacto medible en deliverability, no es solo prevención de phishing.

"Si paso a p=reject voy a bloquear correo legítimo de mis empleados o vendor portals."

Eso es exactamente el riesgo si saltas fases. Por eso la migración correcta toma 9 a 18 meses. Empiezas en p=none con monitoreo durante 60-90 días para identificar todos los senders legítimos del dominio (CRM, payroll, herramientas de marketing, ATS, vendor portals, monitoring). Cada uno requiere SPF o DKIM correctamente alineados. Cuando alcanzas 95-98% de alignment estable durante 30 días, mové a p=quarantine con pct=10. Después pct=50, después pct=100. Solo después de quarantine 100% estable durante 30 días pasas a reject. Cualquier proveedor que no respete este timeline rompe correo legítimo. Esa es la línea entre vendor que sabe y vendor que improvisa.

"Ya hace dos años tengo p=none y nunca pasó nada visible. ¿Realmente importa avanzar?"

p=none es ver el problema sin resolverlo. Los reportes RUA muestran cuántos correos suplantan tu dominio cada mes (típicamente entre 200 y 50,000 para dominios panameños de mediano volumen). Esos correos llegan al inbox de tus clientes, proveedores y empleados como si vinieran de tú. Phishing exitoso desde tu dominio puede generar fraude financiero atribuible reputacionalmente a tu empresa. Hay otra razón operativa: si mandas más de 5K correos diarios desde el dominio, p=none ya impacta deliverability con Google y Yahoo desde febrero 2024.

"Hay servicios DMARC gratuitos. ¿Para qué pagar managed?"

Los dashboards gratuitos sirven. Lo que cuesta no es el dashboard, es el trabajo humano mensual: leer XML reports, identificar senders nuevos, coordinar fixes con el equipo IT del cliente final, decidir cuándo subir el pct, comunicar gaps a la dirección no técnica. Para 1 dominio con stack simple los gratuitos pueden ser suficientes. Para 3+ dominios con SaaS heterogéneo (típico empresa mediana panameña) la operación humana mensual supera el costo del servicio managed. La diferencia operativa real: nosotros leemos los reportes, tú no.

"Mi empresa es panameña B2B, mis clientes usan Outlook. ¿De qué me sirve BIMI?"

Respuesta honesta: BIMI no aporta visualmente para Outlook ni Microsoft 365 hoy, esos productos no soportan el estándar. Donde sí aporta: Gmail, Apple Mail (iCloud, iPhone, iPad, Mac), Yahoo Mail, AOL, Fastmail. Para B2C panameño Gmail domina (tres de cada cuatro cuentas personales). Para B2B con clientes internacionales que usan Apple Mail, BIMI es signal de marca verificada. Para empresas con base mayoritariamente Outlook, recomendamos honestamente no invertir en BIMI todavía y mantener foco en DMARC enforcement, que sí aporta deliverability transversal.

"¿Pueden monitorear dominios fuera de Panamá?"

Sí. El servicio es agnóstico de jurisdicción del dominio. Operamos DMARC + BIMI para clientes con dominios .com, .com.pa, .net, .org, .co.cr, .mx, regionales LatAm y europeos. La operación se realiza desde Panamá con horario GMT-5 que cubre LatAm y USA. Para clientes europeos coordinamos en horario de overlap (mañana panameña, tarde europea). El procesamiento de reportes DMARC contiene metadata de envío sin datos personales sensibles del recipient, lo cual lo mantiene fuera del scope estricto de Ley 81 o GDPR para transferencia internacional.

Preguntas frecuentes

Lo que termina de salir en la reunión técnica.

¿Por qué necesito DMARC si ya tengo SPF y DKIM?

SPF y DKIM autentican que el correo viene de un servidor autorizado y que el contenido no fue modificado. DMARC es la capa que une los dos y le dice al servidor receptor qué hacer si fallan: nada (p=none), mandar a spam (p=quarantine) o rechazar (p=reject). Sin DMARC los receptores ven los fallos pero no tienen instrucciones tuyas, así que toman decisiones genéricas.

Lo que importa para bulk senders: desde febrero 2024 Google y Yahoo exigen DMARC para senders de bulk. Microsoft desde mayo 2025. Gmail rechaza activamente desde noviembre 2025. Sin DMARC ya no es elegible para inbox masivo.

¿Qué pasa si paso a p=reject y bloqueo correo legítimo de mis empleados o proveedores?

Eso es exactamente el riesgo y por eso la migración toma 9 a 18 meses correctamente. La metodología es:

  • Empiezas en p=none recibiendo reportes RUA durante 60-90 días para identificar todos los senders legítimos
  • Cada sender requiere SPF o DKIM correctamente alineados
  • Cuando llegas a 95-98% de alignment durante 30 días sostenidos, mové a p=quarantine con pct=10, después pct=50, después pct=100
  • Solo después de quarantine 100% estable durante otros 30 días pasas a p=reject

Cualquier proveedor que no respete este timeline va a romper correo legítimo.

¿Cuánto cuesta realmente implementar BIMI con VMC?

Tres componentes de costo:

  • Certificado anual: VMC entre $749 y $1,688 USD según CA. CMC entre $650 y $1,100 sin trademark requerido
  • Registro de marca si no la tienes: USPTO $250-$350 por clase, Panamá DIGERPI $200-$400
  • Provisioning técnico: SVG Tiny PS, hosting PEM, alineación con DMARC enforcement

Para una sola marca con trademark vigente y DMARC ya en quarantine, costo total año 1 ronda los $1,200-$2,000 todo incluido. Para CMC sin trademark, $700-$1,100.

Tengo p=none hace dos años y nunca pasó nada. ¿Realmente importa migrar a enforcement?

p=none es ver el problema sin resolverlo. Los reportes RUA muestran cuántos correos suplantan tu dominio cada mes (típicamente entre 200 y 50,000 para dominios de mediano volumen panameños). Esos correos llegan al inbox de tus clientes, proveedores y empleados como si vinieran de tú.

Phishing exitoso desde tu dominio puede generar fraude financiero atribuible reputacionalmente a tu empresa. Hay un segundo factor relevante: desde febrero 2024 Google y Yahoo no aceptan bulk senders sin DMARC enforcement. Si mandas más de 5,000 correos por día desde el dominio, p=none ya te impacta deliverability.

Mi empresa es panameña, ¿de qué me sirve BIMI si la mayoría de mis clientes usan Outlook?

Respuesta honesta: BIMI no aporta visualmente para Outlook ni Microsoft 365 hoy, esos productos no soportan BIMI. Donde sí aporta: Gmail, Apple Mail (iCloud, iPhone, iPad, Mac), Yahoo Mail, AOL, Fastmail.

Para B2C panameño Gmail domina (tres de cada cuatro cuentas personales). Para B2B con clientes internacionales que usan Apple Mail, BIMI es signal de marca verificada. Para empresas regionales con base mixta, recomendamos hacer BIMI con CMC ($650-$1,100/año) en lugar de VMC ($749-$1,688/año) por mejor ratio costo-impacto.

¿Puedo hacer DMARC monitoring yo solo con servicios gratuitos?

Técnicamente sí. Postmark Free DMARC, dmarcian Free, Valimail Monitor (free para baja volumen), MXToolbox Free tier. Lo que cuesta no es el dashboard, es el trabajo humano de leer los reportes XML semanalmente, identificar senders no autorizados, coordinar fixes con el equipo de IT del cliente final, tomar decisiones de cuándo subir el pct, y comunicar gaps a la dirección no técnica.

Para 1 dominio con stack simple los servicios gratuitos pueden ser suficientes. Para 3+ dominios con SaaS heterogéneo la operación humana mensual supera el costo del servicio managed.

¿Manejan dominios fuera de Panamá?

Sí. El servicio es agnóstico de jurisdicción del dominio. Operamos DMARC + BIMI para clientes con dominios .com, .com.pa, .net, .org, .co.cr, .mx, regionales LatAm y europeos. La operación se realiza desde Panamá con horario GMT-5 que cubre LatAm y USA. Para clientes europeos coordinamos en horario de overlap (mañana panameña, tarde europea).

Compliance: el procesamiento de reportes DMARC contiene metadata de envío sin datos personales sensibles del recipient, lo cual lo mantiene fuera del scope estricto de Ley 81 o GDPR para transferencia internacional.

¿Qué herramientas usan en el backend?

Stack open source primario, complementado con servicios comerciales para casos específicos:

  • parsing y aggregation RUA: parsedmarc + Elasticsearch + Grafana auto-hosted en infraestructura panameña
  • forensic reports RUF: scripts Python custom que detectan patrones de spoofing
  • BIMI provisioning: DigiCert o Entrust según preferencia del cliente
  • EasyDMARC, dmarcian o Valimail: integramos sus dashboards si el cliente ya tiene relación

La elección del stack se discute en el descubrimiento técnico.

Audit DMARC gratuito de tu dominio. Cuarenta y ocho horas.

Antes de proponer cualquier tier hacemos audit técnico de tu DNS actual: estado del record DMARC publicado (si existe), políticas SPF y DKIM alineadas, presencia o ausencia de BIMI, suplantación detectable en logs públicos, riesgo de impacto en deliverability con reglas Google/Yahoo. Reporte en cuarenta y ocho horas. Si después decides no migrar, te quedas con el reporte detallado.

Audit técnico · 48 horas · Sin compromiso · Confidencial