← Blog

Informes DMARC: RUA vs RUF, ¿qué diferencia?

Por Thomas · CISO virtual · 2026-07-14

Cuando publicas un registro DMARC, puedes pedir recibir informes sobre la autenticación de tus emails. Pero hay dos tipos de informes muy diferentes: los RUA (informes agregados) y los RUF (informes forenses). La confusión entre los dos es común, y elegir mal puede enviarte o bien demasiada poca información para diagnosticar, o bien demasiada — con riesgos de privacidad. Esta guía explica la diferencia, lo que contiene cada uno, y cómo configurarlos.

Los RUA: informes agregados, las estadísticas de vuelo

Los informes RUA (Reporting URI for Aggregate) los envían los ISP y los grandes proveedores de correo (Gmail, Yahoo, Outlook…) a la dirección de email que indiques. Recapitulan, para cada remitente, los resultados de autenticación observados sobre un periodo (a menudo 24h): cuántos mensajes han pasado SPF, DKIM, DMARC, desde qué IP, con qué resultado.

Son ficheros XML comprimidos, enviados diariamente por cada destinatario que elige enviarlos. Un informe RUA típico dice algo como: «347 mensajes desde la IP 40.107.1.25, con spf=pass, dkim=pass, dmarc=pass — y 12 mensajes desde 192.0.2.1 con spf=fail, dkim=fail, dmarc=fail

No contienen ningún contenido de mensaje: ni asunto, ni cuerpo, ni destinatario. Son únicamente metadatos estadísticos. Es por eso que los RUA son a la vez útiles (visión global) y conformes con el RGPD (sin datos personales de los destinatarios).

Los RUF: informes forenses, el detalle de un fallo

Los informes RUF (Reporting URI for Forensic) son de una naturaleza muy distinta. Enviados igualmente a una dirección que eliges, se desencadenan por un evento individual: un mensaje que ha fallado la autenticación. Cada informe RUF describe ese fallo en detalle, y según la implementación del destinatario, puede incluir cabeceras completas del mensaje, e incluso a veces un extracto del cuerpo.

Es mucho más granular — y mucho más sensible. Un informe RUF puede contener la dirección de email del remitente, el asunto, la IP de origen y otros metadatos del email que ha fallado. Es útil para diagnosticar un problema preciso (¿por qué este mensaje específico ha fallado?), pero plantea cuestiones serias de privacidad y conformidad con el RGPD — en particular si el email que ha fallado provenía de un usuario real (ver informes forenses y privacidad).

Otra realidad: la mayoría de los grandes proveedores (Google, Microsoft, Yahoo) ya no envían RUF. El soporte de los informes forenses es mucho menos universal que el de los RUA. En la práctica, recibes RUA de casi todo el mundo, y RUF solo de unos pocos actores.

Esta retirada no es casual: el contenido potencialmente identificable de un RUF choca de frente con las obligaciones de protección de datos que esos proveedores deben respetar, y muchos han preferido dejar de enviarlos antes que exponerse a reenviar datos personales de sus usuarios. La consecuencia práctica es clara: cuentes o no con recibir RUF, conviene diseñar tu estrategia de informes alrededor de los RUA, que son los que llegarán de forma constante y desde la inmensa mayoría de los destinatarios.

Configurar RUA y RUF en tu registro DMARC

Las dos direcciones se configuran en tu registro _dmarc:

_dmarc.ton-domaine.fr.  IN TXT
  "v=DMARC1; p=quarantine; rua=mailto:dmarc@ton-domaine.fr;
   ruf=mailto:ruf@ton-domaine.fr; fo=1"
  • rua=: la dirección donde quieres recibir los informes agregados. Puedes poner varias, separadas por comas.
  • ruf=: la dirección para los informes forenses. A menudo diferente, a veces ausente.
  • fo=: controla cuándo se genera un RUF. fo=0 (por defecto) = solo si todas las verificaciones fallan. fo=1 = en cuanto una verificación falla. fo=d = únicamente si DKIM falla. fo=s = únicamente si SPF falla. En la práctica, fo=1 da el máximo detalle, pero también el máximo volumen.

Si no quieres RUF (por elección de conformidad, o porque no los explotas), simplemente omite ruf= y fo=. El informe agregado (RUA) es el verdadero valor — el RUF es un complemento para diagnósticos específicos.

Lo que deberías hacer en la práctica

Para la gran mayoría de los despliegues, los RUA bastan ampliamente. Dan una visión completa de quién envía en tu nombre, con qué resultados, desde qué IP — exactamente lo que hace falta para progresar hacia p=reject. Analizarlos regularmente (o hacerlos analizar por una herramienta o por Thomas) te dice qué fuentes corregir, en qué orden, y cuándo estás listo para endurecer tu política.

Los RUF son útiles si debes diagnosticar un problema muy específico: un tipo de mensaje particular que falla, una fuente desconocida que envía en tu nombre. Pero ábrelos solo con conocimiento de su contenido potencialmente sensible, y sobre todo no los transmitas a terceros sin verificar lo que contienen.

El buen reflejo al empezar: configura un rua= hacia un buzón dedicado (o una plataforma DMARC), deja que los informes lleguen unos días, y léelos. El diagnóstico de quién envía en tu nombre está ahí casi entero. No necesitas RUF para dar este primer paso, ni para la mayoría de los que vienen después: la foto que dibujan los RUA basta para tomar cada decisión de endurecimiento con criterio, hasta llegar a p=reject.

Quién envía informes RUA

Los grandes actores envían RUA de manera fiable: Gmail, Outlook/Microsoft, Yahoo, Apple Mail, AOL, ProtonMail, y muchos otros. No es exhaustivo — solo los actores que han implementado el protocolo envían informes — pero en la práctica, los informes recibidos cubren la gran mayoría del tráfico de email mundial. Si envías emails en volumen, tendrás rápidamente suficientes datos para diagnosticar.

Nota: los RUA solo cubren el tráfico hacia los buzones de los proveedores que los envían. Si envías a servidores autoalojados o a pequeños proveedores, esos resultados no aparecen en tus informes.

Preguntas frecuentes

¿Debo configurar ruf=? No. Los RUA bastan para la práctica totalidad de los casos. Configura ruf= solo si tienes una necesidad de diagnóstico forense preciso y has evaluado las implicaciones de privacidad.

¿Cuánto tiempo antes de recibir informes? De unas horas a 24h tras la publicación de tu registro DMARC. Los primeros informes llegan a menudo a la mañana siguiente. Cubren el periodo anterior.

¿Llegan los informes de todos los destinatarios? No. Solo de los actores que han implementado el protocolo. Gmail y Microsoft envían informes muy fiables; muchos pequeños servidores no envían ninguno.

¿Exponen los RUA datos personales? No: los informes agregados contienen estadísticas e IP, pero no el contenido de los mensajes ni las direcciones de los destinatarios. Los RUF, por su parte, sí pueden contenerlos — es por eso que hay que manejarlos con precaución.

¿Puedo recibir los informes en una dirección externa? Sí, pero hace falta que el dominio de la dirección de recepción esté autorizado mediante un registro TXT en _dmarc.dominio-externo.fr (para evitar que cualquiera pueda enviar sus informes a cualquier buzón). Si la dirección está en tu propio dominio, es automático.

Cómo los informes te ayudan a progresar hacia p=reject

El valor principal de los informes DMARC no es confirmar que tus emails pasan — es mostrarte cómo hacerlos pasar. Un informe RUA es en realidad un mapa de tus flujos de envío: cada bloque <record> es una fuente, y el resultado de autenticación de esa fuente te dice exactamente lo que hay que corregir. El proceso es iterativo por naturaleza.

Al principio, con p=none, recibes informes sin que nada esté bloqueado. Es la fase de observación: descubres qué IP envían en tu nombre, cuáles pasan, cuáles fallan, y cuáles ni siquiera reconocías. Corriges las fuentes legítimas una por una — activando DKIM, alineando SPF, excluyendo las fuentes desconocidas — y vigilas los informes para confirmar que cada corrección ha surtido efecto.

Una vez que tus informes muestran que la gran mayoría de tus fuentes legítimas pasan (típicamente >95%), pasas a p=quarantine. La misma lógica se aplica: vigila los informes, verifica que ninguna fuente legítima esté impactada, afina. Luego subes a p=reject. En cada etapa, los informes RUA son tu instrumento de medida: te dicen dónde estás, no solo si pasa o si rompe.

La sutileza: un informe que muestra dmarc=fail sobre una IP no es forzosamente un problema. Si es una IP que no reconoces, quizá es falsificación (alguien intenta usurpar tu dominio) — y tu p=reject se lo impedirá. Si es una IP que reconoces como una fuente legítima mal configurada, es algo que hay que corregir. Distinguir los dos es lo esencial del trabajo de interpretación que los informes hacen posible.

Identificar las fuentes en tus informes

Un informe bruto te da una IP. Un informe bien explotado te dice a quién pertenece esa IP. Es esa conversión — IP → servicio de envío identificado — lo que transforma un informe en un plan de acción. Las herramientas DMARC hacen este trabajo automáticamente (ver las herramientas para analizar los informes), pero también puedes hacerlo manualmente para unas pocas IP clave mediante herramientas de resolución inversa.

Las IP recurrentes con dkim=pass, spf=pass, dmarc=pass son tus fuentes bien configuradas — no las toques. Las IP recurrentes con fallos sobre una fuente que reconoces son tus prioridades de corrección. Las IP desconocidas con dmarc=fail son o bien falsificación (ninguna acción por tu parte, deja que p=reject haga su trabajo), o bien una fuente legítima que habías olvidado (a corregir o a confirmar como apagada).

Deja que Thomas lea tus informes por ti

Recibir informes RUA es una cosa; explotarlos es otra. Thomas, tu CISO virtual, lee tus informes por ti, te dice qué fuentes pasan, cuáles fallan, por qué, y en qué orden corregirlas. Transforma un XML bruto en un plan de acción claro hacia p=reject.

Analiza tu dominio gratis → o crea una cuenta para informes DMARC descodificados automáticamente.

¿Listo para aplicar DMARC?

Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.

Alcanzar p=reject — gratis

Guías relacionadas

Sobre el autor

ThomasThomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.