El DNS Tree Walk de DMARCbis: el fin de la Public Suffix List
Por Thomas · CISO virtual · 2026-06-30
Detrás de DMARC se esconde una pregunta discreta pero fundamental: cuando un mensaje llega de mail.ma-banque.fr, ¿a qué «dominio organizativo» pertenece? La respuesta determina qué política aplicar y si la alineación se satisface. Hasta DMARCbis, DMARC respondía gracias a una lista externa, la Public Suffix List. DMARCbis la reemplaza por un mecanismo nativo del DNS: el DNS Tree Walk. Esta guía explica qué es el dominio organizativo, por qué la PSL planteaba problemas, cómo funciona el Tree Walk, y lo que cambia en concreto. Para el panorama, mira DMARCbis explicado de forma sencilla.
¿Qué es el «dominio organizativo»?
Un nombre como news.marketing.ma-banque.fr tiene varios niveles. Para DMARC, hay que saber cuál es el dominio organizativo, a grandes rasgos el dominio «pagado y poseído» por la organización, aquí ma-banque.fr. Es ese nivel el que porta el registro DMARC de referencia y sirve de base para la alineación «relaxed». Sin una definición fiable del dominio organizativo, DMARC no sabe remontar de news.marketing.ma-banque.fr hasta la política de ma-banque.fr.
La dificultad es que la frontera no es evidente. Para exemple.fr, el dominio organizativo es exemple.fr. Pero para exemple.co.uk, es exemple.co.uk (y no co.uk, que es un sufijo público). ¿Cómo sabe una máquina que .co.uk es un sufijo y no .uk a secas?
El problema de la Public Suffix List
La respuesta histórica: la Public Suffix List (PSL), una lista mantenida por la comunidad (originalmente para Mozilla) que enumera todos los sufijos bajo los cuales el público puede registrar dominios (.fr, .co.uk, .com, .gouv.fr, etc.). DMARC se servía de ella para encontrar la frontera.
Funcionaba, pero con defectos molestos:
- Una dependencia externa. La PSL es un fichero de terceros, actualizado a mano. Cada implementación DMARC debía incorporarla y mantenerla al día. Una lista caducada = decisiones de alineación erróneas.
- Incoherencias. Según la actualidad de la PSL incorporada, dos destinatarios podían calcular un dominio organizativo diferente para el mismo nombre.
- Una lógica fuera del DNS. El DNS es la fuente de verdad de los dominios… pero esta decisión clave se apoyaba en un fichero al lado del DNS.
Cómo funciona el DNS Tree Walk
DMARCbis reemplaza la PSL por un enfoque nativo: consultar directamente el DNS, nivel por nivel. Es el DNS Tree Walk (recorrido del árbol DNS).
El principio, simplificado: para encontrar el dominio organizativo de un nombre, se remonta el árbol de etiquetas buscando el registro DMARC (_dmarc) en cada nivel, hasta un máximo de ocho consultas. El primer nivel que porta una política DMARC pertinente define el dominio organizativo. El límite de ocho consultas es una salvaguarda antiabuso (para evitar que un nombre kilométrico desencadene una avalancha de consultas), exactamente en el espíritu del límite de las diez resoluciones de SPF.
El resultado: la determinación del dominio organizativo se vuelve determinista y autosuficiente. Ya no hay lista externa, ya no hay divergencia de actualidad, solo el DNS, que todo el mundo consulta de la misma manera.
Lo que cambia para ti
Buena noticia, como a menudo con DMARCbis: del lado de la publicación, casi nada. No tienes ninguna etiqueta que añadir para «activar» el Tree Walk: es un cambio en la forma en que los destinatarios evalúan tu dominio, no en lo que publicas. Dos implicaciones prácticas, de todos modos:
- Una atribución más previsible, sobre todo para las organizaciones con arborescencias complejas (subdominios en cascada, marcas múltiples). Menos sorpresas donde un subdominio queda mal vinculado.
- La interacción con
np. El Tree Walk es también lo que permite juzgar que un subdominio es «inexistente» (no resuelve a ningún nivel), y por tanto aplicarle la etiquetanp. Las dos novedades se complementan.
¿Y la etiqueta psd en todo esto?
DMARCbis introduce también psd, un marcador para los dominios de sufijo público en sí (los operadores de registros, por ejemplo un .gouv.fr). Ayuda al Tree Walk a saber dónde detenerse en casos particulares, típicamente, marcar que un nivel es un sufijo público y no un dominio organizativo. Para la abrumadora mayoría de las organizaciones, psd no te concierne directamente: interesa sobre todo a los administradores de TLD y de dominios públicos. Lo que te concierne es que ese marcador hace el Tree Walk fiable hasta la cima del árbol.
Un detalle que cuenta para el cumplimiento
Reemplazar una lista mantenida a mano por una resolución DNS nativa no es solo una elegancia técnica: es también un argumento de auditabilidad. Una decisión de alineación fundada en el DNS público es reproducible y explicable: cualquiera puede rejugar el Tree Walk y obtener el mismo resultado. Para las organizaciones que deben documentar sus controles (ver los bancos), es una base más sana que una dependencia de un fichero de terceros.
Un Tree Walk, paso a paso
Tomemos un ejemplo concreto para hacer el mecanismo tangible. Un mensaje llega con From: alerte@notifications.paiements.ma-banque.fr. El destinatario quiere encontrar el dominio organizativo. Este es, simplificado, el desarrollo:
- Busca un registro
_dmarc.notifications.paiements.ma-banque.fr— nada. - Remonta un peldaño:
_dmarc.paiements.ma-banque.fr— nada. - Remonta de nuevo:
_dmarc.ma-banque.fr— encontrado:v=DMARC1; p=reject; np=reject; ….
El dominio organizativo es, por tanto, ma-banque.fr, y es su política la que se aplica. Todo ello en tres consultas, muy por debajo del techo de ocho. Si, al remontar, no se hubiera encontrado ningún registro hasta el sufijo público (.fr), el destinatario habría concluido que el dominio no está protegido por DMARC. Y si notifications.paiements.ma-banque.fr no hubiera resuelto a ningún nivel, es la etiqueta np del dominio organizativo la que se habría aplicado.
PSL vs Tree Walk: el comparativo
| Public Suffix List | DNS Tree Walk | |
|---|---|---|
| Fuente | Fichero externo mantenido a mano | El DNS mismo |
| Actualidad | Depende de la actualización de cada implementación | Siempre al día (resolución en directo) |
| Coherencia | Puede variar de un destinatario a otro | Determinista, idéntica para todos |
| Coste | Incorporar y mantener al día una lista | Hasta 8 consultas DNS (cacheadas) |
| Auditabilidad | Opaca (depende de una versión de lista) | Reproducible por cualquiera |
El Tree Walk tiene un coste —algunas consultas DNS adicionales— pero están cacheadas y limitadas a ocho. A cambio, se gana una atribución fiable, idéntica en todas partes, y que ya no depende de un fichero de terceros.
Preguntas frecuentes sobre el Tree Walk
¿Debo «activar» el Tree Walk? No. Es un cambio del lado del destinatario, en la forma en que evalúa tu dominio. No publicas ninguna etiqueta para ello; no tienes nada que hacer.
¿Ralentiza el Tree Walk la recepción de los correos? En la práctica, no. Las ocho consultas máximo están cacheadas por los resolvers, y la mayoría de los casos se resuelven en dos o tres consultas. El impacto es insignificante frente al resto del procesamiento de un mensaje.
¿Qué pasa con los dominios de un solo nivel (exemple.fr)? El Tree Walk encuentra el registro DMARC desde el primer o el segundo nivel. Cuanto más plana es la arborescencia, más rápido es; la mayoría de los dominios están en este caso.
¿Y si dos niveles tienen cada uno un registro DMARC? El Tree Walk se detiene en el primero encontrado al remontar, que se convierte en el dominio organizativo de referencia. Por eso un subdominio puede tener su propia política a la vez que se inscribe bajo la de su padre.
Casos particulares y buenas prácticas
Algunas situaciones merecen una palabra. Las arborescencias muy profundas (cuatro o cinco niveles de subdominios) siguen cubiertas: el Tree Walk remonta hasta ocho niveles, muy por encima de las necesidades reales. Los dominios con marcas múltiples (un grupo que explota marque-a.com, marque-b.com) conservan cada uno su propio dominio organizativo; el Tree Walk los trata independientemente, como debe ser. Las redirecciones y CNAME no cambian nada: lo que cuenta es la presencia de un registro _dmarc a un nivel, no la naturaleza de los demás registros.
Buena práctica: publica tu política DMARC a nivel del dominio organizativo, no solo en un subdominio aislado. Es ese nivel el que el Tree Walk va a encontrar para el conjunto de tus subdominios, y es él quien porta la protección «por defecto» de todo tu espacio de nombres. Un subdominio puede luego tener su propia política más específica si hace falta, pero la base se coloca en la raíz organizativa.
Ten por último presente que el Tree Walk es invisible para ti: nunca lo «configuras». Tu única palanca sigue siendo el registro que publicas. Si quieres verificar cómo se interpreta tu dominio, un analizador DMARC gratuito te muestra la política efectiva vista del lado del destinatario.
En resumen
El DNS Tree Walk reemplaza la Public Suffix List para determinar el dominio organizativo de un nombre: DMARCbis consulta el DNS de nivel en nivel (ocho consultas máximo) en lugar de depender de una lista externa. Resultado: una atribución determinista, idéntica para todos, auditable, y siempre al día. No tienes nada que publicar para ello; es un cambio del lado del destinatario.
Deja que Thomas gestione los detalles del protocolo
Dominio organizativo, Tree Walk, psd: son los engranajes internos de DMARCbis, esos que nunca deberías tener que manipular a mano. Thomas, tu CISO virtual, razona sobre la arborescencia real de tu dominio, genera la política coherente en cada nivel (raíz, subdominios reales, inexistentes), y te dice exactamente qué publicar.
Analiza tu dominio gratis → o crea una cuenta. Para el contexto completo, mira este nuevo estándar explicado de forma sencilla y la etiqueta np.
¿Listo para aplicar DMARC?
Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.
Alcanzar p=reject — gratisGuías relacionadas
- ¿Hay que migrar a DMARCbis? La checklist sin estrés
DMARCbis reemplaza a la RFC 7489, pero sigue siendo retrocompatible. Lo que debes (y lo que no debes) cambiar en tu registro, en qué orden, y cómo verificar que todo va bien.
- El fin de la etiqueta pct: el modo de prueba t= de DMARCbis
DMARCbis suprime la etiqueta pct y la reemplaza por un modo de prueba binario, la etiqueta t=. Por qué desaparece pct, cómo funciona t=y, y cómo desplegar DMARC por fases hoy.
- La etiqueta np de DMARC: bloquear los subdominios que no existen
DMARCbis añade la etiqueta np para los subdominios inexistentes: una brecha de suplantación que sp no cubría. Qué hace, en qué se diferencia de sp y cómo configurarla.
Sobre el autor
Thomas — Thomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.
