Bitelio

¿Qué es DMARC? Guía de políticas, registros e informes

Descubre qué es DMARC, cómo combina SPF y DKIM para proteger tu dominio, qué hacen las políticas none/quarantine/reject, y cómo publicar un registro DMARC e interpretar sus informes.

Updated July 14, 2026
9 min read

DMARC, abreviatura de Domain-based Message Authentication, Reporting, and Conformance, es el estándar de autenticación de email que se sitúa por encima de SPF y DKIM, protegiendo tu dominio de mensajes suplantados y ataques de phishing.

SPF y DKIM realizan la verificación propiamente dicha; el papel de DMARC es distinto. Define qué debe ocurrir con los mensajes que no superan esas comprobaciones, y te entrega informes continuos para que puedas ver exactamente cómo se está usando tu dominio.

Cómo funciona DMARC

Piensa en DMARC como la capa de aplicación y visibilidad construida sobre SPF y DKIM. El flujo funciona así:

1. Autenticación del email

Al llegar, el servidor receptor evalúa el mensaje frente a SPF y DKIM. DMARC solo puede superarse si al menos una de esas dos comprobaciones tiene éxito.

2. Comprobación de alineación

A continuación llega la "alineación de identificadores": el servidor comprueba que el dominio mostrado en la cabecera visible "From" coincide con el dominio que realmente superó SPF o DKIM.

3. Aplicación de la política

Cuando tanto la autenticación como la alineación tienen éxito, el mensaje se entrega con normalidad. Cuando no es así, el receptor aplica la política que hayas publicado: none (solo observar), quarantine (desviar a spam) o reject (rechazar la entrega).

4. Informes

Los proveedores de buzones de correo participantes te envían por email resúmenes diarios que cubren todos los mensajes que indicaron tu dominio como remitente, junto con el resultado de autenticación de cada uno.

DMARC requiere SPF o DKIM

DMARC no tiene mecanismo de autenticación propio: depende por completo de que SPF y/o DKIM estén implementados. Su aportación es la aplicación de políticas y los informes que construye sobre ellos.

Sintaxis de un registro DMARC

Publicas DMARC como un registro TXT en _dmarc.yourdomain.com. Un registro típico tiene este aspecto:

Example DMARC Record
_dmarc.yourdomain.com  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; ruf=mailto:forensic@yourdomain.com; pct=100; adkim=r; aspf=r"

# Breaking down the components:
# v=DMARC1                           -> DMARC version
# p=quarantine                       -> Policy (none, quarantine, or reject)
# rua=mailto:dmarc@yourdomain.com   -> Aggregate report email
# ruf=mailto:forensic@yourdomain.com -> Forensic report email
# pct=100                            -> Percentage of mail to apply policy (100%)
# adkim=r                            -> DKIM alignment mode (r=relaxed, s=strict)
# aspf=r                             -> SPF alignment mode (r=relaxed, s=strict)

Etiquetas de política DMARC

EtiquetaDescripciónObligatorio
vVersión del protocolo (siempre DMARC1)
pPolítica de aplicación: none, quarantine o reject
ruaDónde se entregan los informes agregadosRecomendado
rufDónde se entregan los informes forensesOpcional
pctPorcentaje de correo al que se aplica la política (0-100)Opcional
spPolítica independiente para subdominiosOpcional
adkimModo de alineación DKIM: r (relaxed) o s (strict)Opcional
aspfModo de alineación SPF: r (relaxed) o s (strict)Opcional

Entender las políticas de DMARC

Existen tres niveles de política, y el enfoque más seguro es avanzar por ellos en orden:

1

p=none (modo de monitorización)

Los mensajes que fallan se entregan con normalidad: no se bloquea nada. Este modo existe únicamente para recopilar datos de los informes, lo que lo convierte en el punto de partida adecuado mientras auditas tu autenticación.

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

Ideal para: primeras implementaciones, recopilación de datos, validar tu configuración

2

p=quarantine (poner en cuarentena el correo fallido)

Los mensajes que fallan la autenticación se desvían a las carpetas de spam o correo no deseado de los destinatarios. Es un paso intermedio sensato: tu dominio gana protección real con un riesgo limitado para la entrega legítima.

v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; pct=100

Ideal para: cuando la monitorización muestra que tu correo legítimo se autentica de forma fiable

3

p=reject (bloquear el correo fallido)

Los mensajes que fallan se rechazan directamente y nunca se entregan. Nada protege tu dominio de forma más completa, pero exige una configuración de autenticación impecable en todos tus flujos de correo.

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com; pct=100

Ideal para: configuraciones consolidadas en las que todos los remitentes se autentican correctamente

Implementación progresiva

Empieza siempre el despliegue con p=none y observa durante un mínimo de 2 a 4 semanas. Revisa los informes, resuelve cualquier carencia de autenticación y solo entonces sube a p=quarantine y, finalmente, a p=reject.

Cómo configurar DMARC

1

Asegúrate de que SPF y DKIM funcionan

Como DMARC depende de SPF o DKIM (idealmente de ambos), confirma que esos registros están publicados y se superan correctamente antes de continuar.

2

Crea un buzón para los informes

Crea una dirección dedicada, como dmarc@yourdomain.com, para recopilar los informes: llegan a diario y pueden acumularse rápidamente, así que mantenlos fuera de tu bandeja de entrada personal.

3

Crea tu registro DMARC

Empieza en modo de observación:

dns
v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; pct=100
4

Añádelo al DNS

Publícalo como un registro TXT bajo _dmarc.yourdomain.com

5

Supervisa los informes

Dedica de 2 a 4 semanas a revisar los informes que recibas. Busca fallos de autenticación y señala cualquier origen de envío legítimo al que todavía le falte configurar SPF o DKIM.

6

Aumenta la política de forma gradual

Cuando los datos se vean limpios, cambia a p=quarantine, vuelve a observar los informes y termina con p=reject si quieres la máxima protección.

Preguntas frecuentes

¿Qué es DMARC?

DMARC —Domain-based Message Authentication, Reporting, and Conformance— es una capa de autenticación que se sitúa por encima de SPF y DKIM para proteger tu dominio frente al phishing y la suplantación de identidad. Indica a los servidores receptores cómo deben tratar los mensajes que fallan la autenticación (none para solo monitorizar, quarantine para enviarlos a la carpeta de spam, o reject para bloquear su entrega) y te envía informes detallados que revelan cada origen que envía correo en nombre de tu dominio.

¿Qué es una política DMARC?

La política —definida con la etiqueta "p="— determina qué deben hacer los receptores con el correo que no supera las comprobaciones de DMARC. Con p=none no ocurre nada más allá de la monitorización; p=quarantine envía los mensajes que fallan a la carpeta de spam; p=reject los rechaza por completo. El camino recomendado es empezar con p=none mientras recopilas datos, para después subir a quarantine y, finalmente, a reject una vez que todos tus remitentes legítimos se autentiquen correctamente.

¿Qué significa p=reject en DMARC?

p=reject es DMARC en su máxima intensidad: cualquier mensaje que falle la autenticación se rechaza directamente y nunca llega al destinatario. Ofrece la mejor defensa frente a la suplantación y el phishing, pero solo debes activarlo después de confirmar que todos tus flujos de correo legítimos —sistemas transaccionales, newsletters, herramientas de CRM— superan correctamente SPF y DKIM.

¿Cómo añado un registro DMARC?

Publica un registro TXT en el DNS bajo el nombre _dmarc.yourdomain.com. Empieza con un valor que solo observa: v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com. La entrega no se ve afectada mientras se acumulan los datos. Dedica entre 2 y 4 semanas a estudiar los informes, corrige cualquier carencia de SPF o DKIM que detectes y, después, endurece la política paso a paso: primero p=quarantine y más adelante p=reject.

¿Es obligatorio DMARC para la entregabilidad del email?

Para remitentes de alto volumen, sí: desde febrero de 2024, cualquiera que entregue más de 5,000 mensajes al día a buzones de Gmail o Yahoo debe tener DMARC implementado (como mínimo p=none). Los remitentes más pequeños no tienen una obligación estricta, pero adoptar DMARC sigue siendo muy recomendable: refuerza la entregabilidad, bloquea los intentos de phishing contra tu marca y te alinea con los estándares del sector.