DMARC (autenticación, informes y conformidad de mensajes basados en dominio) es un protocolo de autenticación de correo electrónico que ayuda a los ISP a verificar la identidad del remitente y evita la suplantación de dominio.

¿Con qué frecuencia debo generar un nuevo registro DMARC?

Solo necesitas generar un registro DMARC una vez por dominio. Actualícelo si cambia sus proveedores de envío de correo electrónico o desea ajustar sus políticas de autenticación.

¿Cuál es la diferencia entre la política principal y la política de subdominio?

La política principal se aplica a su dominio raíz, mientras que la política de subdominio se aplica a subdominios como 'mail.example.com'. Puede establecer políticas diferentes para cada uno.

¿Debería utilizar "ninguno", "cuarentena" o "rechazar"?

Comience con "ninguno" para monitorear los resultados, pase a "cuarentena" para una aplicación moderada y use "rechazar" solo cuando esté seguro de su configuración de SPF y DKIM.

Generador de registros DMARC

Genera registros DNS DMARC para tu dominio con nuestro asistente gratuito paso a paso.

Introduce tu dominio

Empieza por introducir el dominio para el que quieres crear un registro DMARC.

Nombre de dominio *

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) está definido en el RFC 7489. Se construye sobre SPF y DKIM añadiendo dos capacidades clave: una política que indica a los receptores cómo manejar el correo no autenticado (monitorear, poner en cuarentena o rechazar) y un mecanismo de notificación que le envía informes XML sobre quién envía correo desde su dominio y si supera la autenticación.

Fundamentalmente, DMARC añade el concepto de **alineación**: el dominio en el encabezado "From" visible del correo debe coincidir con el dominio autenticado por SPF o DKIM. Esto evita que los atacantes superen SPF/DKIM en un dominio diferente mientras suplantan su dominio en el encabezado From.

¿Por qué necesita DMARC?

1Protección del encabezado From

SPF y DKIM por sí solos no protegen la dirección From visible — DMARC cierra esa brecha con la alineación.

2Política de cumplimiento

Usted decide qué sucede con el correo que falla: monitorearlo, enviarlo a spam o rechazarlo por completo.

3Informes agregados

Los informes diarios XML (RUA) muestran cada IP que envía correo con su dominio y sus tasas de éxito/fallo.

4Informes forenses

Los informes de fallos (RUF) envían una copia editada de mensajes individuales que fallan para su investigación.

5Requerido por Google/Yahoo

Desde febrero de 2024, los remitentes masivos deben tener DMARC al menos en p=none para llegar a las bandejas de entrada de Gmail/Yahoo.

6Protección de marca

Evita que los correos de phishing que suplantan su marca lleguen a sus clientes.

Cómo funciona DMARC — paso a paso

Usted publica un registro DMARC TXT en `_dmarc.sudominio.com` especificando su política y direcciones de informes.

Llega un mensaje al servidor receptor. Este realiza las comprobaciones de SPF y DKIM de forma independiente.

Se comprueba la alineación DMARC: ¿coincide el dominio autenticado (de SPF o DKIM) con el dominio del encabezado From?

Si pasa SPF+alineación O DKIM+alineación, el mensaje supera DMARC.

Si ambos fallan, el receptor aplica su política: none (entregar), quarantine (carpeta de spam) o reject (rebotar).

El receptor recopila los datos de autenticación de su dominio y envía informes agregados (RUA) o forenses (RUF) a las direcciones especificadas.

Sintaxis del registro DMARC

Registro DNS TXT en _dmarc.sudominio.com

v=DMARC1; p=quarantine; pct=100; sp=reject;
            rua=mailto:dmarc-reports@sudominio.com;
            ruf=mailto:dmarc-failures@sudominio.com;
            adkim=s; aspf=s; fo=1

Referencia de etiquetas

v=DMARC1— versión, obligatoria

p=— política para el dominio

sp=— política para subdominios

pct=— % de correos fallidos a los que se aplica la política

rua=— destinatarios de informes agregados (mailto:)

ruf=— destinatarios de informes forenses (mailto:)

adkim=— alineación DKIM: r=relaxed, s=strict

aspf=— alineación SPF: r=relaxed, s=strict

fo=— opciones de informes de fallos (0, 1, d, s)

ri=— intervalo de informe en segundos (por defecto 86400)

Las tres políticas DMARC

p=none

Solo monitoreo. El correo fallido se entrega normalmente. Úselo al principio para recopilar informes antes de aplicar restricciones.

p=quarantine

El correo fallido va a la carpeta de spam/correo no deseado. Un paso intermedio antes del rechazo total.

p=reject

El correo fallido se rechaza a nivel SMTP y nunca se entrega. La protección más fuerte.

Alineación DMARC explicada

Alineación relajada (predeterminada)

El dominio autenticado puede ser un padre organizacional. Ej: mail.sudominio.com es válido para sudominio.com

Alineación estricta

El dominio autenticado debe coincidir exactamente con el dominio del From. mail.sudominio.com NO es válido para sudominio.com

Errores comunes de DMARC y soluciones

Fallo de alineación SPF

El dominio del sobre (return-path) no coincide con el From del encabezado — común en proveedores de servicios de correo (ESP) que usan su propio return-path.

Fallo de alineación DKIM

El dominio d= en la firma DKIM no coincide con el dominio From visible — configure su ESP para firmar con su propio dominio.

Falta la dirección RUA

Sin rua= no obtendrá informes ni visibilidad — incluya siempre al menos una dirección para informes.

Subdominios no cubiertos

Añada sp=reject para extender su política a los subdominios o publique registros DMARC individuales por subdominio.

Preguntas frecuentes

Preguntas Frecuentes

Defina su política (p). Recomendamos empezar con p=none para monitoreo y luego subir a p=quarantine o p=reject.

'rua' es para recibir informes agregados y 'ruf' para informes forenses de fallos.

Use la etiqueta 'sp' en el registro del dominio raíz para definir la política de los subdominios.

Permite aplicar la política DMARC a solo un porcentaje de los correos fallidos, para una transición gradual.

Definen qué tan estricta es la coincidencia del dominio. 'r' es relajada y 's' es estricta.