Configuración de Política DMARC: Previene el Spoofing de Email

Qué es DMARC y por qué lo necesitas ya#

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es la capa de enforcement de la autenticación de email.

SPF y DKIM existen para prevenir el spoofing, pero tienen lagunas. DMARC las cubre:

1. Exigiendo que SPF y DKIM estén alineados (ambos pasan Y el dominio del remitente coincide)
2. Aplicando una política (rechazar emails falsificados)
3. Proporcionando reporting (informes diarios sobre los intentos de autenticación)

En febrero de 2026: Gmail y Yahoo exigen DMARC con p=quarantine o p=reject. Los emails sin un DMARC adecuado van a spam o son rechazados.

Cómo DMARC previene el spoofing#

Sin DMARC:

From: you@yourcompany.com
Mail-From: attacker.com
SPF-From: attacker.com

El email pasa SPF (autorizado en attacker.com) pero parece venir de yourcompany.com. El spoofing funciona. ❌

Con DMARC:

DMARC policy: p=reject
From: you@yourcompany.com
Mail-From: attacker.com
Result: REJECT (domains don't align)

El email es rechazado porque el dominio "From" visible no coincide con el dominio autenticado. ✅

Formato del registro DMARC#

El registro DMARC reside en: _dmarc.yourdomain.com

Formato básico:

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com

Qué significa cada parte:

• v=DMARC1: Versión (siempre esta)
• p=none: Política (none/quarantine/reject)
• rua=mailto:...: Dónde enviar los informes

Políticas DMARC explicadas#

Política	Qué ocurre	El email	Úsala cuando
p=none	Solo monitorización	Se entrega	Fase de aprendizaje (semana 1-2)
p=quarantine	Emails sospechosos a spam	Se entrega en spam	Pruebas (semana 2-4)
p=reject	Emails falsificados bloqueados	Rechazado por completo	Producción (semana 4+)

p=none (Solo monitorización)#

v=DMARC1; p=none; rua=mailto:admin@yourdomain.com; ruf=mailto:forensics@yourdomain.com

Qué ocurre:

• Los emails falsificados se siguen entregando
• Recibes informes diarios sobre lo que sería rechazado
• Úsala durante 1-2 semanas mientras verificas que los emails legítimos no se ven afectados

Contenido del informe:

• Cuántos emails pasaron/fallaron SPF
• Cuántos emails pasaron/fallaron DKIM
• IPs de origen de los emails que fallan
• Qué servicios son legítimos y cuáles sospechosos

p=quarantine (Política de cuarentena)#

v=DMARC1; p=quarantine; rua=mailto:admin@yourdomain.com

Qué ocurre:

• Los emails falsificados van a la carpeta de spam en lugar de la bandeja de entrada
• Los usuarios todavía pueden verlos (con esfuerzo)
• Recibes informes

Úsala durante 1-2 semanas mientras compruebas que los emails legítimos siguen pasando.

p=reject (Política estricta)#

v=DMARC1; p=reject; rua=mailto:admin@yourdomain.com

Qué ocurre:

• Los emails falsificados se rechazan por completo
• Los destinatarios nunca los ven
• El atacante no recibe ninguna señal de que el spoofing ha fallado

Úsala en producción una vez hayas verificado con p=quarantine.

Configuración DMARC paso a paso#

Paso 1: Asegúrate de que SPF y DKIM funcionan#

DMARC requiere que SPF y DKIM estén configurados primero.

Verifica ambos con: Nova Uptime Email Health Checker

Si alguno falla, configúralos antes de añadir DMARC.

Paso 2: Crea una dirección de email para informes#

DMARC envía informes diarios (pueden ser cientos de emails al día en dominios grandes).

Crea un email dedicado:

dmarc-reports@yourdomain.com

O usa tu email de admin principal si quieres recibir ahí los informes.

Paso 3: Publica el registro DMARC#

Ve a tu proveedor de DNS (Cloudflare, Route 53, GoDaddy, etc.)

Añade un registro TXT:

• Nombre: _dmarc (exacto)
• Valor: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
• TTL: 3600

Guarda y espera 5-15 minutos para la propagación DNS.

Paso 4: Testea la política DMARC#

Opción 1: Envía un email de prueba

1. Envía un email desde tu dominio
2. Comprueba en las cabeceras del email DMARC: PASS o DMARC: FAIL
3. Busca en dmarc-reports@yourdomain.com (puede tardar 24 horas)

Opción 2: Usa una herramienta de verificación

• Nova Uptime Email Health Checker
• Introduce tu dominio
• Comprueba el estado de DMARC

Paso 5: Monitoriza los informes durante 1-2 semanas#

Los informes DMARC llegan diariamente (o agregados semanalmente, según la política).

Qué buscar:

• ¿Están pasando todos tus emails legítimos?
• ¿Hay emails inesperados que fallan?
• ¿Hay intentos de spoofing contra tu dominio?

Si todo pasa: Pasa a p=quarantine

Paso 6: Cambia a p=quarantine (Semana 3)#

Tras confirmar que ningún email legítimo está fallando:

Actualiza el registro TXT en DNS:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com

Monitoriza otra vez durante 1-2 semanas.

Paso 7: Cambia a p=reject (Semana 5+)#

Una vez satisfecho con los resultados de quarantine:

Actualiza el registro TXT en DNS:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:forensics@yourdomain.com

Ahora estás totalmente protegido.

Política DMARC para subdominios#

Por defecto, DMARC solo se aplica a yourdomain.com. Si envías desde subdominios como mail.yourdomain.com, necesitas una política para subdominios:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; sp=none

• sp=none: Los subdominios solo se monitorizan, no se rechazan
• O establece sp=quarantine o sp=reject según tus necesidades

Errores comunes con DMARC#

Error 1: SPF/DKIM no alineados#

Ejemplo:

• From: you@yourdomain.com
• SPF pasa para: mail.yourdomain.com (subdominio diferente)
• Resultado: DMARC falla (no alineado)

Solución: Usa alineación relajada en DMARC:

aspf=r; adkim=r

Esto permite que los subdominios pasen. (No recomendado por seguridad, pero a veces necesario.)

Error 2: No recibir nunca los informes#

La dirección de email en rua= no existe o los emails van a spam.

Solución:

• Verifica que la dirección de email existe
• Revisa la carpeta de spam buscando informes de dmarc@yourdomain.com
• Añade el remitente del informe a la lista blanca en email

Error 3: Saltar directamente a p=reject#

Saltar de p=none a p=reject hace que los emails legítimos fallen.

Solución: Usa la progresión: p=none → p=quarantine → p=reject a lo largo de 4-6 semanas.

Error 4: No vigilar los cambios#

Añades un nuevo servicio de email (Zapier, CRM, etc.) que envía emails, pero te olvidas de actualizar SPF/DKIM. DMARC lo rechaza.

Solución: Monitoriza los informes DMARC mensualmente. Añade nuevos servicios a medida que se incorporan a tu infraestructura.

Monitorización de DMARC#

Semanalmente:

• Revisa los informes DMARC buscando fallos inesperados
• Añade nuevos servicios de envío a SPF/DKIM cuando sea necesario

Mensualmente:

• Revisa tendencias en los informes
• Identifica cualquier intento de spoofing contra tu dominio
• Verifica que la política sigue siendo apropiada

Informes DMARC: cómo entenderlos#

Los informes DMARC incluyen:

• Dominio: Sobre qué dominio se está informando
• IP de origen: De dónde vienen los emails
• Recuentos pass/fail: Tasas de pass/fail de SPF/DKIM
• Política evaluada: Qué pasaría con p=reject

Úsalos para validar que:

1. Tus servicios legítimos están pasando
2. Ninguna IP inesperada está enviando email
3. Los intentos de spoofing se están detectando

El stack completo de autenticación#

SPF: "¿Está autorizado el servidor?" DKIM: "¿Es auténtico el mensaje?" DMARC: "¿Pasan ambos Y el dominio está alineado?"

Los tres juntos = autenticación de email correcta.

Comprueba los tres automáticamente: Nova Uptime Email Health Checker. Gratis. 🚀

Resumen#

1. Verifica primero que SPF y DKIM funcionan
2. Publica DMARC con p=none (semana 1-2)
3. Pasa a p=quarantine (semana 3-4)
4. Pasa a p=reject (semana 5+)
5. Monitoriza los informes de forma continua
6. Actualiza al añadir nuevos servicios de email

DMARC es obligatorio en 2026. Tus competidores ya lo tienen configurado. No te quedes atrás.

Preguntas frecuentes#

¿Cómo testeo mi registro DMARC?#

Usa una herramienta DMARC checker gratuita para validar tu registro. Verifica la sintaxis, comprueba la configuración de la política, confirma las direcciones de reporting e identifica errores de configuración comunes. También puedes testear enviando un email y revisando la cabecera DMARC en el mensaje recibido.

¿Cuál es la diferencia entre p=quarantine y p=reject?#

Con p=quarantine, los emails que fallan DMARC se entregan en la carpeta de spam. Con p=reject, se bloquean por completo y nunca se entregan. Empieza con quarantine para detectar problemas antes de pasar a reject para máxima protección contra el spoofing.

¿Necesito DMARC si ya tengo SPF y DKIM?#

Sí. SPF y DKIM autentican el email pero no le dicen a los servidores receptores qué hacer cuando la autenticación falla. DMARC proporciona la política de enforcement y habilita el reporting para que puedas monitorizar los resultados de autenticación en todos tus emails.

¿Puede DMARC romper mi email?#

Solo si está mal configurado. Una política p=reject aplicada antes de que todos los remitentes legítimos estén autenticados bloqueará tu propio email. Empieza siempre con p=none, revisa los informes durante 2-4 semanas, corrige cualquier laguna de autenticación y luego incrementa el enforcement gradualmente.

Lecturas relacionadas#

• Configuración DMARC: De None a Reject — Implementación de DMARC paso a paso
• Cómo configurar registros SPF — Configuración de SPF que DMARC requiere
• Guía completa de Check y Setup de DKIM — Configuración de DKIM para alineación con DMARC
• Guía del Email Health Checker — Análisis exhaustivo de autenticación de email
• DMARC Checker gratuito — Valida tu registro DMARC al instante