← Blog

El DNS Tree Walk de DMARCbis: el fin de la Public Suffix List

Por Thomas · CISO virtual · 2026-06-30

Detrás de DMARC se esconde una pregunta discreta pero fundamental: cuando un mensaje llega de mail.ma-banque.fr, ¿a qué «dominio organizativo» pertenece? La respuesta determina qué política aplicar y si la alineación se satisface. Hasta DMARCbis, DMARC respondía gracias a una lista externa, la Public Suffix List. DMARCbis la reemplaza por un mecanismo nativo del DNS: el DNS Tree Walk. Esta guía explica qué es el dominio organizativo, por qué la PSL planteaba problemas, cómo funciona el Tree Walk, y lo que cambia en concreto. Para el panorama, mira DMARCbis explicado de forma sencilla.

¿Qué es el «dominio organizativo»?

Un nombre como news.marketing.ma-banque.fr tiene varios niveles. Para DMARC, hay que saber cuál es el dominio organizativo, a grandes rasgos el dominio «pagado y poseído» por la organización, aquí ma-banque.fr. Es ese nivel el que porta el registro DMARC de referencia y sirve de base para la alineación «relaxed». Sin una definición fiable del dominio organizativo, DMARC no sabe remontar de news.marketing.ma-banque.fr hasta la política de ma-banque.fr.

La dificultad es que la frontera no es evidente. Para exemple.fr, el dominio organizativo es exemple.fr. Pero para exemple.co.uk, es exemple.co.uk (y no co.uk, que es un sufijo público). ¿Cómo sabe una máquina que .co.uk es un sufijo y no .uk a secas?

El problema de la Public Suffix List

La respuesta histórica: la Public Suffix List (PSL), una lista mantenida por la comunidad (originalmente para Mozilla) que enumera todos los sufijos bajo los cuales el público puede registrar dominios (.fr, .co.uk, .com, .gouv.fr, etc.). DMARC se servía de ella para encontrar la frontera.

Funcionaba, pero con defectos molestos:

  • Una dependencia externa. La PSL es un fichero de terceros, actualizado a mano. Cada implementación DMARC debía incorporarla y mantenerla al día. Una lista caducada = decisiones de alineación erróneas.
  • Incoherencias. Según la actualidad de la PSL incorporada, dos destinatarios podían calcular un dominio organizativo diferente para el mismo nombre.
  • Una lógica fuera del DNS. El DNS es la fuente de verdad de los dominios… pero esta decisión clave se apoyaba en un fichero al lado del DNS.

Cómo funciona el DNS Tree Walk

DMARCbis reemplaza la PSL por un enfoque nativo: consultar directamente el DNS, nivel por nivel. Es el DNS Tree Walk (recorrido del árbol DNS).

El principio, simplificado: para encontrar el dominio organizativo de un nombre, se remonta el árbol de etiquetas buscando el registro DMARC (_dmarc) en cada nivel, hasta un máximo de ocho consultas. El primer nivel que porta una política DMARC pertinente define el dominio organizativo. El límite de ocho consultas es una salvaguarda antiabuso (para evitar que un nombre kilométrico desencadene una avalancha de consultas), exactamente en el espíritu del límite de las diez resoluciones de SPF.

El resultado: la determinación del dominio organizativo se vuelve determinista y autosuficiente. Ya no hay lista externa, ya no hay divergencia de actualidad, solo el DNS, que todo el mundo consulta de la misma manera.

Lo que cambia para ti

Buena noticia, como a menudo con DMARCbis: del lado de la publicación, casi nada. No tienes ninguna etiqueta que añadir para «activar» el Tree Walk: es un cambio en la forma en que los destinatarios evalúan tu dominio, no en lo que publicas. Dos implicaciones prácticas, de todos modos:

  • Una atribución más previsible, sobre todo para las organizaciones con arborescencias complejas (subdominios en cascada, marcas múltiples). Menos sorpresas donde un subdominio queda mal vinculado.
  • La interacción con np. El Tree Walk es también lo que permite juzgar que un subdominio es «inexistente» (no resuelve a ningún nivel), y por tanto aplicarle la etiqueta np. Las dos novedades se complementan.

¿Y la etiqueta psd en todo esto?

DMARCbis introduce también psd, un marcador para los dominios de sufijo público en sí (los operadores de registros, por ejemplo un .gouv.fr). Ayuda al Tree Walk a saber dónde detenerse en casos particulares, típicamente, marcar que un nivel es un sufijo público y no un dominio organizativo. Para la abrumadora mayoría de las organizaciones, psd no te concierne directamente: interesa sobre todo a los administradores de TLD y de dominios públicos. Lo que te concierne es que ese marcador hace el Tree Walk fiable hasta la cima del árbol.

Un detalle que cuenta para el cumplimiento

Reemplazar una lista mantenida a mano por una resolución DNS nativa no es solo una elegancia técnica: es también un argumento de auditabilidad. Una decisión de alineación fundada en el DNS público es reproducible y explicable: cualquiera puede rejugar el Tree Walk y obtener el mismo resultado. Para las organizaciones que deben documentar sus controles (ver los bancos), es una base más sana que una dependencia de un fichero de terceros.

Un Tree Walk, paso a paso

Tomemos un ejemplo concreto para hacer el mecanismo tangible. Un mensaje llega con From: alerte@notifications.paiements.ma-banque.fr. El destinatario quiere encontrar el dominio organizativo. Este es, simplificado, el desarrollo:

  1. Busca un registro _dmarc.notifications.paiements.ma-banque.fr — nada.
  2. Remonta un peldaño: _dmarc.paiements.ma-banque.fr — nada.
  3. Remonta de nuevo: _dmarc.ma-banque.frencontrado: v=DMARC1; p=reject; np=reject; ….

El dominio organizativo es, por tanto, ma-banque.fr, y es su política la que se aplica. Todo ello en tres consultas, muy por debajo del techo de ocho. Si, al remontar, no se hubiera encontrado ningún registro hasta el sufijo público (.fr), el destinatario habría concluido que el dominio no está protegido por DMARC. Y si notifications.paiements.ma-banque.fr no hubiera resuelto a ningún nivel, es la etiqueta np del dominio organizativo la que se habría aplicado.

PSL vs Tree Walk: el comparativo

Public Suffix List DNS Tree Walk
Fuente Fichero externo mantenido a mano El DNS mismo
Actualidad Depende de la actualización de cada implementación Siempre al día (resolución en directo)
Coherencia Puede variar de un destinatario a otro Determinista, idéntica para todos
Coste Incorporar y mantener al día una lista Hasta 8 consultas DNS (cacheadas)
Auditabilidad Opaca (depende de una versión de lista) Reproducible por cualquiera

El Tree Walk tiene un coste —algunas consultas DNS adicionales— pero están cacheadas y limitadas a ocho. A cambio, se gana una atribución fiable, idéntica en todas partes, y que ya no depende de un fichero de terceros.

Preguntas frecuentes sobre el Tree Walk

¿Debo «activar» el Tree Walk? No. Es un cambio del lado del destinatario, en la forma en que evalúa tu dominio. No publicas ninguna etiqueta para ello; no tienes nada que hacer.

¿Ralentiza el Tree Walk la recepción de los correos? En la práctica, no. Las ocho consultas máximo están cacheadas por los resolvers, y la mayoría de los casos se resuelven en dos o tres consultas. El impacto es insignificante frente al resto del procesamiento de un mensaje.

¿Qué pasa con los dominios de un solo nivel (exemple.fr)? El Tree Walk encuentra el registro DMARC desde el primer o el segundo nivel. Cuanto más plana es la arborescencia, más rápido es; la mayoría de los dominios están en este caso.

¿Y si dos niveles tienen cada uno un registro DMARC? El Tree Walk se detiene en el primero encontrado al remontar, que se convierte en el dominio organizativo de referencia. Por eso un subdominio puede tener su propia política a la vez que se inscribe bajo la de su padre.

Casos particulares y buenas prácticas

Algunas situaciones merecen una palabra. Las arborescencias muy profundas (cuatro o cinco niveles de subdominios) siguen cubiertas: el Tree Walk remonta hasta ocho niveles, muy por encima de las necesidades reales. Los dominios con marcas múltiples (un grupo que explota marque-a.com, marque-b.com) conservan cada uno su propio dominio organizativo; el Tree Walk los trata independientemente, como debe ser. Las redirecciones y CNAME no cambian nada: lo que cuenta es la presencia de un registro _dmarc a un nivel, no la naturaleza de los demás registros.

Buena práctica: publica tu política DMARC a nivel del dominio organizativo, no solo en un subdominio aislado. Es ese nivel el que el Tree Walk va a encontrar para el conjunto de tus subdominios, y es él quien porta la protección «por defecto» de todo tu espacio de nombres. Un subdominio puede luego tener su propia política más específica si hace falta, pero la base se coloca en la raíz organizativa.

Ten por último presente que el Tree Walk es invisible para ti: nunca lo «configuras». Tu única palanca sigue siendo el registro que publicas. Si quieres verificar cómo se interpreta tu dominio, un analizador DMARC gratuito te muestra la política efectiva vista del lado del destinatario.

En resumen

El DNS Tree Walk reemplaza la Public Suffix List para determinar el dominio organizativo de un nombre: DMARCbis consulta el DNS de nivel en nivel (ocho consultas máximo) en lugar de depender de una lista externa. Resultado: una atribución determinista, idéntica para todos, auditable, y siempre al día. No tienes nada que publicar para ello; es un cambio del lado del destinatario.

Deja que Thomas gestione los detalles del protocolo

Dominio organizativo, Tree Walk, psd: son los engranajes internos de DMARCbis, esos que nunca deberías tener que manipular a mano. Thomas, tu CISO virtual, razona sobre la arborescencia real de tu dominio, genera la política coherente en cada nivel (raíz, subdominios reales, inexistentes), y te dice exactamente qué publicar.

Analiza tu dominio gratis → o crea una cuenta. Para el contexto completo, mira este nuevo estándar explicado de forma sencilla y la etiqueta np.

¿Listo para aplicar DMARC?

Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.

Alcanzar p=reject — gratis

Guías relacionadas

Sobre el autor

ThomasThomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.