La reciente actualización de la especificación DMARC, publicada como RFC 9989 en mayo de 2026, incorpora una nueva etiqueta llamada 'np' (non-existent subdomain policy) que permite definir la política que los receptores de correo deben aplicar cuando el dominio del remitente es un subdominio inexistente del dominio donde se publica el registro DMARC. Esto resulta útil para reforzar la protección frente a correos fraudulentos enviados desde subdominios no utilizados.
El autor detectó que la definición de "dominio inexistente" del RFC 9989, basada en la respuesta NXDOMAIN descrita en RFC 8020, entra en conflicto con el RFC 9824 ("Compact Denial of Existence in DNSSEC"). Esta incompatibilidad provoca que la etiqueta 'np' no funcione como se espera en dominios que usan DNSSEC con proveedores como Cloudflare, NS1, AWS Route 53 y Azure. El problema fue elevado al grupo de trabajo del IETF responsable de DMARC, que lo reconoció pero no alcanzó una solución.
El artículo explica cómo DNSSEC demuestra la no existencia de un nombre mediante registros NSEC y NSEC3 firmados, y cómo el mecanismo de "negación de existencia compacta" del RFC 9824 altera el comportamiento previsto. En el peor caso, demostrar la inexistencia puede requerir hasta ocho registros (SOA, RRSIG de SOA, tres NSEC3 y tres RRSIG),靠近 del límite de los paquetes UDP y pudiendo forzar el uso de TCP.
