Saltar al contenido
OS Domains
Deliverability gestionada · DMARC + BIMI

DMARC gestionado: del monitor sin acción hasta enforcement con quarantine y reject

DMARC gestionado es un servicio que lleva tu dominio desde una política DMARC en p=none —que monitoriza pero no protege— hasta p=reject, donde el spoofing de tu dominio queda bloqueado, analizando los informes RUA y RUF y corrigiendo la alineación de SPF y DKIM por el camino. OS Domains opera este servicio para empresas hispanohablantes que publicaron DMARC pero se quedaron en monitoreo, con implementación gradual hasta enforcement en 4-6 meses, análisis humano de los reportes y residencia de datos en la UE bajo entidad austriaca.

DMARC se volvió obligación práctica en 2024 cuando Google y Yahoo pasaron a exigir DMARC publicado para cualquier remitente por encima de 5.000 mensajes diarios. Microsoft siguió en 2025 con regla similar para Outlook 365 corporativo. El resultado es que la mayoría de empresas hispanohablantes de tamaño medio publicó DMARC en p=none rápidamente para cumplir la obligación técnica, y se quedó ahí. El problema es que p=none no protege contra phishing usando el dominio de la empresa, no impide spoofing dirigido a cliente del banco o de la fintech, y no rinde beneficio de placement en los receivers que tratan DMARC enforcement como señal positiva de reputación. Llevamos al cliente desde p=none monitor hasta p=reject con quarantine intermedio durante 3 a 6 meses, con análisis semanal de reportes y plan de remediación documentado.

En breve

  • Implementación gradual de p=none a p=reject en 4-6 meses, con un plan de remediación documentado en lugar de un cambio de política a ciegas.
  • Análisis humano semanal de los informes RUA y, en los tiers altos, RUF forense, para identificar fuentes legítimas e intentos de spoofing antes de endurecer la política.
  • Tres tiers: Monitoring 199 €/mes (1 dominio), Enforcement 499 € (hasta 20 dominios, el más contratado) y Premium 1.499 € (dominios ilimitados, RUA/RUF diario).
  • BIMI configurado tras el enforcement de DMARC (VMC aparte; incluido en Premium) para mostrar el logo verificado en los buzones compatibles.
  • Residencia de datos en la UE bajo entidad austriaca y documentación lista para auditoría ISO 27001 y SOC 2.
Qué resuelve este producto

Para empresa hispanohablante que publicó DMARC pero no avanzó hasta enforcement

La adopción de DMARC en empresas hispanohablantes saltó del 30% al 70% entre 2023 y 2025 por la presión de Google, Yahoo y Microsoft. El número impresiona pero el detalle decepciona: la mayoría de los registros publicados están en p=none, que es modo monitor sin acción contra el spoofing real. p=none cumple el requisito mínimo de los receivers grandes pero no protege al dominio contra el uso por parte de phishers. Cuando una empresa publica p=none, los receivers reciben los reportes de mensajes legítimos no autenticados y de mensajes spoofeados, pero no rechazan ni cuarentean nada. El phisher que mande emails con tu dominio sigue llegando a los inboxes de tus clientes.

El paso de p=none a p=quarantine y de ahí a p=reject es donde DMARC empieza a proteger de verdad. El problema operacional es que ese paso requiere análisis cuidadoso. La empresa publica p=none, recibe reportes RUA semanales, descubre que tiene 17 fuentes de envío diferentes (algunas conocidas como ESPs contratados, otras desconocidas como herramientas de marketing departamental, otras directamente fraudulentas) y se paraliza ante la complejidad. La salida típica es quedarse en p=none indefinidamente, lo que cumple compliance pero no entrega protección real.

Llevamos al cliente desde p=none hasta p=reject con plan documentado. Mes 1: configuración DKIM y SPF para todas las fuentes legítimas identificadas. Mes 2 a 3: ajuste de alineamiento DMARC para asegurar que las fuentes legítimas pasan validación. Mes 4: paso a p=quarantine con percentage gradual (10%, luego 50%, luego 100%). Mes 5 a 6: paso a p=reject con percentage gradual. Todo documentado con reportes que el equipo de seguridad del cliente puede entregar al auditor para mostrar progresión hacia enforcement.

BIMI (Brand Indicators for Message Identification) es la siguiente capa, dependiente de DMARC en p=quarantine o p=reject. BIMI permite que el logo de la empresa aparezca en el inbox de Gmail, Yahoo y Apple Mail junto al mensaje. La autenticación visual reduce phishing porque cliente del banco que recibe email sin logo BIMI sabe que es sospechoso. Implementamos BIMI con VMC (Verified Mark Certificate) opcional, que es certificado adicional emitido por DigiCert o Entrust validando la propiedad legal del logo. Sin VMC, BIMI funciona para algunos receivers pero no para todos; con VMC, funciona en Gmail, Yahoo, Apple Mail y Fastmail.

Sobre los dominios bajo gestión vale clarificar el alcance. Empresa hispanohablante mediana típicamente tiene un dominio principal (ejemplo.com) más varios secundarios para subsidiarias (filial-mexico.com), productos (producto-x.com) y comunicaciones (no-reply.ejemplo.com). Cada uno de esos dominios necesita DMARC propio con análisis individual. Cubrimos hasta cinco dominios en tier Standard, hasta veinte en Pro, y dominios ilimitados en Enterprise. Los dominios extra del Standard se cotizan a €50 al mes adicionales por dominio.

El último escenario que vale aclarar es el caso del cliente que ya publicó DMARC sin asistencia y quiere que lo evaluemos antes de decidir continuar. Para ese caso, el producto Auditoría de deliverability (servicio one-time, no incluido en este producto recurrente) entrega un análisis del estado actual con recomendaciones. Si tras la auditoría el cliente quiere implementación gestionada continua, este producto entra en juego con el plan de remediación ya identificado. La auditoría se factura aparte y los costes pueden negociarse contra el primer trimestre del producto recurrente.

Sobre la situación específica del mercado hispanohablante en 2026 vale dar contexto adicional. Las empresas españolas con auditoría AEPD recurrente están bajo presión adicional desde la guía AEPD de 2024 sobre autenticación de email como medida técnica RGPD. Los bancos mexicanos bajo CNBV han recibido observaciones específicas de la Comisión Nacional Bancaria y de Valores sobre phishing dirigido a clientes finales que aprovecha autenticación débil del dominio bancario. Las fintech argentinas bajo BCRA tuvieron varios incidentes en 2024 donde el dominio del banco fue usado por phishers contra clientes del banco, con consecuencias regulatorias y reputacionales. La presión hacia DMARC enforcement viene tanto del lado regulatorio (cumplimiento documentado) como del lado de incidentes reales que hacen visible el coste de p=none.

Sobre el lado tributario, factura desde Viena en EUR con número de IVA intracomunitario austríaco. Para empresa española mecanismo de inversión del sujeto pasivo aplica (autorrepercutes IVA al 21% y deduces, neutro). Para empresa LATAM aplica la tributación de importación de servicios digitales conforme a tu jurisdicción. La carga total efectiva queda entre 16% y 30% sobre el valor de la factura según país. Mencionamos los números porque el coste efectivo para tu operación queda por encima del listado en EUR. Para clientes mayores algunas estructuras prefieren contratación vía filial europea, lo discutimos en la llamada sin prometer optimizaciones que no nos corresponden.

Sobre cuándo este producto NO encaja vale ser explícitos. Para empresa con un único dominio sin subsidiarias y volumen bajo de envío (menos de 5.000 emails al mes total), DMARC en p=none manualmente publicado por el equipo interno cubre el requisito mínimo y el coste del producto gestionado no se justifica. Encajamos cuando hay complejidad real: varios dominios bajo gestión con fuentes de envío múltiples, requisito regulatorio que exige documentación auditable de la implementación, presión competitiva por placement en receivers que tratan DMARC enforcement como señal positiva, o intento documentado de phishing usando el dominio que motiva remediación urgente. Para empresa pequeña con setup simple, recomendamos honestamente DIY con guías públicas de Gmail Postmaster Tools y dmarcian Lite.

Sobre el contexto regulatorio específico de DMARC enforcement en jurisdicciones hispanas durante 2025-2026. AEPD España publicó guía sobre autenticación de email como medida técnica RGPD apropiada en contexto de protección contra phishing dirigido a clientes finales, lo que pone DMARC enforcement en el radar de auditorías AEPD recurrentes. CNBV México emitió comunicación sobre suplantación de identidad en sector financiero después de varios incidentes 2024 donde clientes recibieron phishing usando dominios de bancos mexicanos, lo que motivó a varios bancos a acelerar su programa DMARC. BCRA Argentina y CFTC Chile siguieron patrón similar. La presión regulatoria sobre fintech y banca hispana hacia DMARC enforcement es factor diferencial vs jurisdicciones europeas no hispanas donde el avance es más gradual.

Sobre las observaciones específicas del proceso de inventario de fuentes que es la fase 1 del engagement. La empresa típica con varios departamentos descubre durante el inventario fuentes que el equipo central de TI no sabía: Marketing usando MailerLite o ActiveCampaign sin coordinación con TI, Ventas usando Outreach.io con sub-cuentas individuales por SDR sin gobernanza, RR.HH. usando un proveedor SaaS de notificaciones (BambooHR, Workday, etc.) que envía emails desde el dominio corporativo, Atención al Cliente usando una herramienta de help desk (Zendesk, Freshdesk) con configuración de email saliente, Finanzas con sistema ERP enviando facturas vía SMTP propio del servidor del ERP. El inventario inicial típicamente identifica 8-15 fuentes activas en empresa mediana, de las cuales 3-5 eran conocidas y el resto fueron sorpresa. La gestión de las fuentes desconocidas es trabajo significativo durante los primeros dos meses del engagement.

Sobre la diferencia específica entre DMARC enforcement parcial y total que vale clarificar. Enforcement parcial (p=quarantine con pct=10 a pct=50) protege contra spoofing en proporción al pct: con pct=10, el 10% de los mensajes no autenticados van a cuarentena. Enforcement total (p=reject con pct=100) rechaza todos los mensajes no autenticados antes de entrega. La progresión gradual entre uno y otro (pct=10 → pct=50 → pct=100 → cambio de quarantine a reject → pct=10 → pct=50 → pct=100) tarda típicamente 3-4 meses con monitoreo continuo. Algunos clientes piden saltarse fases para llegar a enforcement más rápido; lo desaconsejamos porque el riesgo de perder emails legítimos por fuentes no identificadas durante el inventario es real.

Sobre el caso específico de cliente que ya hizo intentos previos de DMARC enforcement con resultado mixto y necesita re-engineering del setup. Patrón común: cliente intentó pasar a p=quarantine internamente, descubrió fuentes legítimas no identificadas que rompieron al cambiar la política, volvió a p=none por presión de soporte interno, y quedó indefinidamente en limbo sin avance. La auditoría inicial nuestra evalúa el estado actual del setup, identifica las fuentes legítimas que rompieron en el intento previo (típicamente herramientas SaaS de departamento que el equipo de TI no tenía inventariadas), configura alineamiento para ellas, y reinicia el path hacia enforcement con confianza de que las fuentes legítimas pasarán validación. La diferencia con intento DIY: tenemos visibilidad sistemática sobre fuentes que deberían estar configuradas y experiencia con patrones de fallo que el equipo interno típicamente desconoce.

Sobre el escenario específico de implementación con BIMI VMC para cliente que prioriza branding visual en email. BIMI con VMC verificado entrega valor mensurable: el logo de la empresa aparece en el inbox de Gmail, Yahoo, Apple Mail junto al mensaje, lo que diferencia visualmente vs los emails sin logo (típicamente phishing o senders no verificados). Para empresa con marca relevante (banco con clientes finales que reciben muchos phishing dirigidos al dominio del banco, e-commerce con marca conocida que sufre suplantación), BIMI con VMC reduce las llamadas al servicio al cliente sobre emails sospechosos y mejora la conversión de emails legítimos por reconocimiento visual inmediato. El proceso requiere: DMARC en p=quarantine o p=reject (que cubrimos), SVG del logo Tiny Profile compliant (típicamente trabajo de diseñador del cliente con guía nuestra), VMC emitido por DigiCert o Entrust (€600-€1.200 anuales), publicación BIMI en DNS. Coordinamos el proceso completo.

Sobre el patrón específico de cliente con setup multi-marca corporativa que necesita gestión consolidada de DMARC para portafolio completo. Empresa con varias marcas comerciales (típico holding con submarcas, cada una con su propio dominio comercial principal) requiere configuración DMARC individual por marca con coordinación central. Tier Pro nuestro cubre hasta 20 dominios bajo gestión consolidada con configuración separada por dominio, lo que sirve a empresa con 5-10 marcas comerciales. Para holdings más grandes, tier Enterprise entrega gestión ilimitada con dashboard de portafolio que permite vista cruzada de progreso de enforcement por cada marca y reportes ejecutivos consolidados para C-level.

Sobre la observación específica del valor diferencial cuando coordinamos con varios sub-procesadores ESP del cliente. Empresa con arquitectura mixta (transaccional vía un ESP, marketing vía otro, cold email vía tercero) requiere coordinación con cada proveedor para configuración DKIM con autoridad correcta y SPF que no exceda el límite de 10 lookups del estándar. Para algunos ESPs la configuración avanzada de DKIM requiere ticket de soporte del lado del proveedor; en esos casos abrimos el ticket con poder del cliente y seguimos hasta resolución. La coordinación profesional entre ESPs evita que el equipo del cliente tenga que perseguir tickets simultáneamente con varios proveedores.

Sobre el patrón específico durante 2025-2026 cuando el cliente llega tras incidente público de phishing donde su dominio fue usado masivamente. Patrón observable: banco hispano con incidente público (medios cubren el caso, clientes reportan emails fraudulentos, redes sociales viralizan capturas), presión combinada de regulador, equipo legal interno, comunicación corporativa, exige enforcement DMARC urgente. El plazo regulatorio típico es 30-60 días desde el incidente para mostrar remediación documentada. Plan acelerado de implementación llega a p=reject en 2 meses en lugar de 4-6 estándar, con coste premium por la aceleración pero plazo cumplido. La documentación de remediación firmada por ingeniero responsable forma parte del entregable estándar para la respuesta regulatoria.

Sobre la observación específica del valor diferencial cuando el cliente requiere certificación de proceso firmada. Para clientes con auditoría externa que pide certificación específica del proceso DMARC implementado, más allá del resultado), entregamos certificación firmada por ingeniero responsable detallando: metodología aplicada, fuentes identificadas durante el inventario, configuración técnica de cada paso de la implementación, métricas observadas durante cada fase, fecha de paso a cada nivel de enforcement con justificación. Esta certificación es entregable adicional sin coste extra para tier Pro y Enterprise.

Escenarios donde encajamos

¿En qué ocho situaciones DMARC gestionado marca la diferencia?

Abajo, los perfiles donde el producto entrega valor mensurable.

Escenario 01

Empresa hispanohablante con DMARC en p=none por más de 6 meses sin avance

La empresa publicó DMARC para cumplir el requisito de Google/Yahoo, los reportes RUA llegan pero nadie los analiza, el equipo de TI no tiene tiempo. Tomamos los reportes acumulados, identificamos las fuentes de envío, configuramos alineamiento DMARC para las legítimas, y trazamos el plan hasta enforcement. Saca a la empresa de la inercia.

Escenario 02

Banco, fintech o empresa regulada con uso por phishers del dominio

El dominio de la empresa aparece en campañas de phishing dirigidas a clientes (típico patrón en bancos hispanos donde el dominio se usa para mandar emails fraudulentos a clientes finales). Sin DMARC en enforcement, los emails phishing llegan al inbox. Con p=reject, el receiver los rechaza antes de entrega.

Escenario 03

Empresa preparando lanzamiento de BIMI con VMC para mejorar reconocimiento de marca

El equipo de marketing quiere que el logo aparezca en Gmail y Apple Mail junto al mensaje. Para eso DMARC debe estar en p=quarantine o p=reject (BIMI lo exige). Implementamos DMARC enforcement como prerrequisito y luego configuramos BIMI con VMC.

Escenario 04

Empresa con varios dominios y subsidiarias que necesita gestión consolidada

Empresa con 10 plus dominios entre principal, secundarios, marcas y comunicaciones. Cada dominio necesita DMARC propio con análisis individual. La gestión consolidada con un solo proveedor reduce overhead operacional sustancialmente respecto a tratar con varios proveedores separados.

Escenario 05

Empresa preparando auditoría ISO 27001 o SOC 2 que exige autenticación de email

Auditorías de seguridad modernas piden evidencia de autenticación de email (SPF, DKIM, DMARC en enforcement) como control técnico básico. Nuestro proceso entrega documentación auditable de la implementación y reportes mensuales que pueden formar parte de la evidencia para el auditor.

Escenario 06

SaaS hispanohablante con cliente europeo exigiendo DMARC enforcement en procurement

Cliente final europeo del SaaS pide en procurement evidencia de DMARC en p=quarantine o p=reject como criterio de selección de proveedor. Sin enforcement el SaaS pierde el deal. La implementación gestionada con plan documentado cierra esa exigencia en plazo predecible para no perder el cierre comercial.

Escenario 07

E-commerce hispano con suplantación de identidad afectando conversión

E-commerce con dominio usado por phishers para enviar falsos emails de "tu pedido fue cancelado, reingresa la tarjeta aquí" a los clientes. Las quejas llegan al servicio al cliente. La conversión cae porque los clientes desconfían de los emails legítimos del e-commerce. DMARC en p=reject elimina la suplantación inmediatamente.

Escenario 08

Operación corporativa con muchas herramientas departamentales mandando email

Empresa donde marketing usa una herramienta, ventas usa otra, RR.HH. usa una tercera, soporte usa una cuarta, y nadie tiene inventario completo. Cada departamento agregó su propia herramienta sin coordinación con TI. La auditoría inicial inventaría las fuentes; la implementación gradual va alineando cada una.

Escenario 09

Empresa post-incidente de spoofing buscando enforcement urgente

Empresa que sufrió incidente reciente de spoofing donde phisher usó el dominio para campaña de phishing dirigida a clientes finales. La presión interna y externa exige paso urgente a p=reject. El plan acelerado de implementación llega a enforcement en 2-3 meses en lugar de 4-6 estándar, con coste adicional por la aceleración.

Cómo funciona el proceso técnico

Implementación gradual con análisis continuo

El proceso es sistemático, no improvisado. Cada paso tiene criterios técnicos claros para avanzar al siguiente.

Mes 1: Inventario de fuentes y configuración SPF/DKIM

Inventario completo de todas las fuentes de envío legítimas (ESPs contratados, herramientas de marketing, sistemas internos, sub-procesadores). Configuración de SPF y DKIM para cada fuente. Validación de alineamiento DMARC. Publicación inicial DMARC en p=none con destinos RUA y RUF apuntando a nuestra plataforma de análisis. El inventario inicial típicamente revela fuentes que el equipo de TI no sabía que existían: herramientas SaaS contratadas por departamentos sin coordinación central, sistemas legacy que mandan email vía SMTP no autenticado, sub-procesadores del ESP principal que no aparecen en la documentación contractual.

Mes 2 a 3: Análisis de reportes y refinamiento

Análisis semanal de reportes RUA (agregados con conteos por fuente) y RUF (forensic con detalle de mensajes individuales que fallaron alineamiento). Identificación de fuentes legítimas no configuradas todavía. Configuración de alineamiento para ellas. Identificación de fuentes ilegítimas (spoofing) y documentación de patrones. Reporte mensual al cliente con progreso documentado, hallazgos y plan revisado para los siguientes meses. La fase 2-3 es donde aparece la mayoría de la fricción operacional: fuentes legítimas que no soportan DKIM moderno, herramientas SaaS con configuración SPF que requiere cambio del ESP del proveedor, sistemas legacy donde el reemplazo es trabajo de meses.

Mes 4: Paso a p=quarantine con percentage gradual

Cuando 95% plus de los emails legítimos pasan alineamiento, paso a p=quarantine con pct=10 (10% de mensajes no autenticados van a cuarentena). Monitoreo de impacto: ¿cae deliverability de fuentes legítimas? Si no, sube a pct=50, luego pct=100. Si cae, identificación de fuente faltante y vuelta a p=none temporal hasta resolverla. Esta fase requiere coordinación cercana con cliente porque cualquier fuente legítima no identificada antes empieza a tener problemas de placement, lo que dispara tickets de soporte que la empresa cliente debe manejar.

Mes 5 a 6: Paso a p=reject con percentage gradual

Mismo proceso que p=quarantine pero con p=reject (rechazo total de mensajes no autenticados). pct=10, monitoreo, pct=50, monitoreo, pct=100. Cuando llega a pct=100 con cero quejas legítimas, el dominio está en enforcement total. Mantenimiento posterior: análisis mensual continuo, identificación de nuevas fuentes legítimas que aparezcan (típico cuando empresa adopta nuevas herramientas SaaS), gestión de incidents puntuales.

BIMI con VMC opcional

Para clientes que quieren BIMI, configuración paralela una vez DMARC está en p=quarantine o p=reject. SVG del logo (Tiny Profile compliant), publicación de registro BIMI en DNS, opcional emisión de VMC vía DigiCert o Entrust (€600 a €1.200 anuales según proveedor, no incluido en mensualidad de DMARC). Validación de aparición del logo en Gmail consumer, Gmail Workspace, Yahoo Mail, Apple Mail, Fastmail. La cobertura BIMI no es total: receivers como Outlook 365 corporativo todavía no soportan BIMI a 2026, lo que limita el impacto visual al 60-70% del inbox total para audiencia internacional.

Coordinación con sub-procesadores ESP del cliente

Empresas con varios ESPs en uso (transaccional vía un ESP, marketing vía otro, cold email vía tercero) requieren coordinación con cada uno para configurar DKIM con autoridad correcta y SPF que no exceda el límite de 10 lookups del estándar. Coordinamos directamente con SendGrid, Mailgun, Brevo, Mailjet, AWS SES, los ESPs hispanos relevantes (Acumbamail, Doppler, Mailrelay). Para algunos ESPs la configuración avanzada de DKIM requiere ticket de soporte del lado del proveedor; en esos casos abrimos el ticket con poder del cliente y seguimos hasta resolución.

Mantenimiento continuo y reportes mensuales

Después del enforcement inicial, mantenimiento continuo con análisis mensual de reportes RUA/RUF, identificación de nuevas fuentes legítimas a configurar, alertas ante incidents (intento de spoofing detectado en RUF, caída de alineamiento de una fuente conocida), reporte mensual ejecutivo al cliente con métricas y acciones tomadas. El servicio recurrente cubre el mantenimiento sin coste adicional dentro del tier contratado.

Documentación auditable continua para procurement y compliance

Cada mes se entrega reporte ejecutivo firmado por el ingeniero responsable, exportable en PDF y útil para procurement del cliente final, auditoría regulatoria, o reportes ejecutivos internos. Para clientes en sectores regulados (banco bajo CNMV o CNBV, healthtech bajo AEMPS o COFEPRIS, sector público bajo procesos específicos), personalizamos el formato del reporte para cubrir los controles del marco regulatorio aplicable. La documentación cubre los requisitos de evidencia que el auditor pide para los controles técnicos sobre autenticación de email.

Planes y precios

Tres tiers según número de dominios y profundidad de análisis

El pricing escala con número de dominios bajo gestión y profundidad de los reportes. El compromiso mínimo es de seis meses dado el plazo del proceso de implementación gradual.

Monitoring

Para empresa con 1 dominio principal en p=none necesitando llevarlo a enforcement.

€199 / mes

Ideal para

PYMES con un dominio crítico, primer proyecto de DMARC sin experiencia previa.

  • 1 dominio bajo gestión
  • Configuración inicial completa SPF/DKIM/DMARC
  • Reportes RUA semanales analizados
  • Plan de remediación documentado
  • Implementación gradual hasta p=reject en 4-6 meses
  • Soporte por email en horario laboral
  • Reporte mensual ejecutivo
Empezar
Más elegido

Enforcement

El tier que la mayoría de empresas medianas contrata.

€499 / mes

Ideal para

Empresa con 5 a 20 dominios, varios sub-dominios, fuentes de envío múltiples.

  • Hasta 20 dominios bajo gestión
  • Análisis semanal de RUA y RUF (forensic)
  • Identificación detallada de spoofing intentos
  • BIMI configurado (VMC se compra aparte)
  • Soporte 24/5 con SLA respuesta
  • Reporte mensual + reporte trimestral ejecutivo
  • Coordinación con sub-procesadores ESP del cliente
  • Onboarding con ingeniero asignado
Empezar

Premium

Para corporación con dominios ilimitados y requisitos compliance estrictos.

€1.499 / mes

Ideal para

Banco, fintech, healthtech o corporación con auditoría regulatoria recurrente.

  • Dominios ilimitados
  • Análisis diario de RUA/RUF
  • BIMI con VMC incluido en setup
  • Reportes auditables certificados
  • Soporte 24/7 con Slack Connect
  • Account manager dedicado
  • Coordinación directa con receivers (Gmail Postmaster, Microsoft)
  • Documentación para auditoría ISO 27001/SOC 2
  • Cláusulas contractuales custom
Hablar

Precios mensuales antes de IVA. Compromiso mínimo 6 meses. VMC para BIMI no incluido (€600 a €1.200 anuales adicionales según emisor). Para empresa española, IVA al 21% mediante inversión del sujeto pasivo.

Preguntas frecuentes

¿Qué preguntan los equipos de seguridad y de marketing?

¿Cuánto tarda el paso completo desde p=none hasta p=reject?

Típicamente 4 a 6 meses. El primer mes es inventario y configuración. Los meses 2 y 3 son análisis y refinamiento. El mes 4 es paso a p=quarantine. Los meses 5 y 6 son paso a p=reject. Empresas con setup simple (pocas fuentes legítimas, todas conocidas) pueden ir más rápido. Empresas con setup complejo (muchas fuentes, sub-procesadores no documentados, sistemas legacy con SMTP no autenticado) pueden tardar 9 a 12 meses. La llamada inicial estima el plazo concreto.

¿Qué pasa si una fuente legítima del cliente no soporta DKIM?

Caso común con sistemas legacy. La opción es: relay del email a través de nuestra infraestructura que añade DKIM antes del envío al receiver final, configuración SPF más permisiva (con riesgo de spoofing residual), o reemplazo del sistema legacy por uno que sí soporte DKIM. Discutimos las opciones con el cliente caso por caso. La política es no avanzar a enforcement hasta que todas las fuentes legítimas tengan alineamiento DMARC.

¿Qué incluye el VMC para BIMI?

VMC (Verified Mark Certificate) es certificado X.509 emitido por DigiCert (Mark Certificate) o Entrust (Verified Mark Certificate) que valida la propiedad legal del logo. Requiere registro de marca en USPTO (EE.UU.), EUIPO (UE), o equivalente nacional con registro vigente. Validación adicional del propietario por el emisor del VMC. Coste anual €600 a €1.200 según emisor y validez del registro de marca. Nosotros configuramos BIMI; el VMC se compra al emisor directamente o lo coordinamos por cuenta del cliente.

¿Cómo se compara con dmarcian, Valimail o EasyDMARC?

Esos son productos de gestión DMARC con buenas plataformas técnicas. La diferencia con nuestro servicio: nosotros entregamos servicio gestionado con análisis humano de reportes además del dashboard automatizado, implementación gradual hasta enforcement con plan documentado en lugar de solo monitoreo, coordinación directa con sub-procesadores ESP del cliente cuando hay alineamiento que romper, BIMI con VMC opcional, soporte profesional con SLA. Los productos automatizados son más baratos por mes pero requieren equipo interno del cliente para interpretar y actuar sobre los datos. Nuestro servicio cubre eso.

¿Pueden facturar a empresa española con CIF?

Sí. Facturación desde Viena en EUR con número de IVA intracomunitario austríaco (ATU). Para empresa española con CIF y NIF-IVA en VIES, mecanismo de inversión del sujeto pasivo (autorrepercutes IVA al 21% y deduces, neutro). Para empresa LATAM, aplica tributación de importación según jurisdicción.

¿Soportan idiomas hispanos en los reportes?

Reportes ejecutivos mensuales disponibles en español. Reportes técnicos detallados están en inglés porque el vocabulario técnico DMARC (alignment, enforcement, quarantine, RUA, RUF, DKIM signature) se traduce mal. La interpretación y discusión con el cliente es en español sin restricción. El equipo técnico del cliente lee los términos en inglés sin problema en la mayoría de casos.

¿Qué pasa con BIMI cuando el dominio rota la clave DKIM?

BIMI no depende de DKIM directamente, depende de DMARC en p=quarantine o p=reject. La rotación de clave DKIM (recomendada cada 6 a 12 meses por mejores prácticas de seguridad) afecta a DMARC indirectamente: si la rotación se hace mal y los emails empiezan a fallar alineamiento, DMARC en enforcement los rechaza. Coordinamos rotación de DKIM con cliente para evitar interrupción.

¿Qué nivel de protección entrega DMARC en p=reject?

p=reject elimina prácticamente todo el spoofing exacto del dominio. Phisher que mande email "from: [email protected]" sin tener acceso al DKIM legítimo del dominio se rechaza por el receiver antes de entrega. Lo que p=reject no resuelve: cousin domains (phisher registra "ejemp1o.com" o "ejemplo-secure.com" y manda desde ahí, ese ataque pasa porque DMARC del dominio legítimo no aplica a otros dominios), display name spoofing (el From: técnico es de un dominio del phisher pero el display name dice "Banco Ejemplo"), y phishing dirigido sin spoofing del dominio (link a sitio falso desde gmail.com regular). DMARC enforcement es capa importante pero no única.

¿Pueden gestionar DMARC para subsidiaria o filial específica sin afectar al dominio raíz?

Sí, mediante configuración de DMARC subdomain policy. El dominio raíz puede mantener su política propia (típicamente p=quarantine o p=reject ya alcanzado), y subsidiarias o subdominios específicos pueden tener política distinta durante el período de implementación. Útil para corporación con dominio principal en enforcement y subsidiaria recién adquirida que necesita inventario antes de avanzar. La configuración se hace mediante registro DMARC del subdominio con sp= explícito.

¿Qué pasa si un departamento contrata herramienta SaaS sin coordinar con TI y empieza a enviar emails desde nuestro dominio?

Caso común y problemático. Cuando DMARC está en p=quarantine o p=reject, los emails del departamento empiezan a ir a cuarentena o rechazarse, y el departamento llama a TI furioso. Identificamos la fuente nueva en los reportes RUA dentro de 7 días desde el primer envío, alertamos al cliente, configuramos alineamiento DKIM/SPF para la herramienta nueva si es legítima, o documentamos como fuente no autorizada que requiere decisión interna del cliente. La política es proactiva: cuanto antes se detecta, menos disrupción.

¿Cuál es el siguiente paso?

Llamada inicial de 30 minutos donde discutimos perfil del cliente: número de dominios, fuentes de envío conocidas, estado actual de DMARC si existe, plazo deseado hasta enforcement. La salida es plan recomendado con tier y plazo de implementación. Si el cliente prefiere empezar con auditoría one-time antes de comprometerse al producto recurrente, ofrecemos esa opción.

¿El servicio funciona si tenemos un DMARC publicado por otro proveedor actualmente?

Sí. Si tu dominio tiene DMARC publicado por proveedor anterior con destinos RUA/RUF apuntando a su plataforma, transferimos los destinos a nuestra plataforma durante el primer mes de engagement. La transferencia es transparente: el receiver continúa enviando reportes al destino DMARC, solo cambia a quién apunta. El histórico previo del proveedor anterior no se transfiere (cada plataforma mantiene su propio histórico), pero los reportes nuevos llegan a nosotros desde el cambio.

¿Cómo manejan dominios con tráfico muy bajo donde los reportes RUA son escasos?

Caso común. Para dominios con tráfico bajo (menos de 1.000 emails al mes a receivers grandes), los reportes RUA son escasos lo que dificulta análisis estadístico significativo. La estrategia: configuración inicial conservadora con SPF/DKIM/DMARC, paso a p=quarantine después de 60-90 días de monitoreo (más tiempo del normal por la falta de datos), y paso a p=reject solo si los reportes recibidos no muestran fuentes legítimas no configuradas. Para dominios sin tráfico (típico dominio defensivo registrado pero sin uso), publicamos directamente p=reject como protección máxima sin riesgo.

¿Pueden integrar BIMI con cliente que tiene logo registrado en marca anterior?

Sí, con observaciones. BIMI requiere VMC emitido por DigiCert o Entrust, que valida la propiedad legal del logo. Si el logo está registrado en EUIPO o USPTO con la entidad legal correcta, la emisión del VMC es directa. Si el registro de marca está a nombre de entidad legal anterior (típico tras adquisición o reestructuración), hay que actualizar el registro antes de emitir el VMC, lo que añade trabajo legal externo a nuestro scope. Lo coordinamos con el cliente y su asesor de marcas.

Si llegaste hasta aquí

Próximo paso: llamada de 30 minutos para evaluar encaje

Discutimos tu perfil de dominios y fuentes de envío, identificamos el plan adecuado, planteamos plazo realista hasta enforcement.

Teléfono +43 1 205 11 80 Lun–Vie · 9–18 CET
Email [email protected] Respuesta media 4h en horario laboral
Oficina Fleischmarkt 1, 1010 Wien Con cita previa