Nova Uptime
Herramienta gratis

Comprobador gratuito de registros DMARC

Valida el registro DMARC de tu dominio gratis, sin registro. Comprueba la fortaleza de la política, la configuración de informes y obtén recomendaciones.

DMARC Policy Progression

1

Monitor

p=none

Collect reports without affecting delivery. Monitor for 2+ weeks.

2

Partial Quarantine

p=quarantine; pct=25

Quarantine 25% of failing emails. Watch reports for false positives.

3

Full Quarantine

p=quarantine; pct=100

All failing emails go to spam. Confirm legitimate senders pass.

4

Reject

p=reject

Block all unauthorized emails. Maximum protection against phishing.

Qué es DMARC y por qué importa en 2026

DMARC — Domain-based Message Authentication, Reporting & Conformance — es la capa de política que une SPF y DKIM. SPF indica a los servidores receptores qué IPs pueden enviar correo en nombre de tu dominio. DKIM firma criptográficamente cada mensaje para que el destinatario verifique que no se ha alterado. DMARC es el manual de instrucciones: indica a Gmail, Outlook, Yahoo y al resto de proveedores qué hacer cuando un mensaje que dice venir de tu dominio falla una de esas comprobaciones (o las dos). Sin DMARC, un atacante puede falsificar tu dirección From y aprovecharse de tu reputación para entrar directo a la bandeja de entrada de tus clientes.

En 2026 ya no es opcional. Desde febrero de 2024 — y endurecido a lo largo de 2025 y 2026 — Gmail y Yahoo exigen un registro DMARC válido a cualquier remitente que envíe más de 5.000 mensajes al día. Microsoft 365 ha seguido el mismo camino para remitentes de alto volumen. Los dominios sin DMARC ven cómo el correo masivo rebota o cae directamente en spam, y las tasas de phishing por suplantación de marca casi se duplican cuando falta DMARC.

Anatomía de un registro DMARC

Un registro DMARC es un único registro TXT publicado en _dmarc.tudominio.com. Es una lista de etiquetas separadas por punto y coma. Este es un registro típico y qué hace cada parte:

v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com; pct=100; aspf=r; adkim=r;
  • v=DMARC1Etiqueta de versión obligatoria. Debe ser exactamente DMARC1 (sensible a mayúsculas) o todo el registro se ignora.
  • p=La política en sí. p=none significa solo monitorizar — los fallos siguen entregándose. p=quarantine envía el correo que falla a la carpeta de spam. p=reject lo bloquea de raíz en el límite SMTP.
  • rua=Buzón de informes agregados. Los receptores envían informes XML diarios resumiendo qué IPs enviaron correo desde tu dominio y cuántos mensajes pasaron o fallaron. Formato: rua=mailto:dmarc-reports@tudominio.com.
  • ruf=Buzón de informes forenses (de fallos). Muestras por mensaje con cabeceras y, a veces, cuerpo redactado. La mayoría de proveedores ya no los envían por motivos de privacidad, así que rua resulta mucho más útil en la práctica.
  • pct=Porcentaje de correo fallido al que aplicar la política (1–100). Permite escalonar el despliegue: pct=25 con p=quarantine pone en cuarentena un cuarto de los fallos y entrega el 75 % restante.
  • aspf= / adkim=Modo de alineación. aspf=s/r y adkim=s/r controlan si la coincidencia de dominio en SPF/DKIM es estricta (exacta) o relajada (admite subdominio). El valor por defecto es relaxed, que es lo que casi todo el mundo quiere.

5 errores comunes de DMARC y cómo arreglarlos

Error: no se encuentra registro DMARC

El fallo más habitual. Ejecuta dig TXT _dmarc.tudominio.com — si no devuelve nada, falta el registro. Comprueba tres cosas: (1) publicaste el registro TXT en _dmarc como subdominio, no en el dominio raíz; (2) el campo host es exactamente _dmarc con guion bajo inicial (algunas UI de DNS se lo comen); (3) esperaste a la propagación. El TTL suele ser de 300–3600 segundos, aunque Cloudflare y Route53 propagan en un minuto. Evita _DMARC en mayúsculas — las etiquetas DNS no distinguen mayúsculas, pero algunos validadores son estrictos.

Error: registros DMARC duplicados

Si existen dos o más registros TXT en _dmarc, la RFC 7489 obliga a los receptores a ignorarlos todos — tu dominio se queda sin política. Suele ocurrir cuando una herramienta de marketing o un script de migración publica un segundo registro sin borrar el primero. Ejecuta dig +short TXT _dmarc.tudominio.com — si ves más de una línea v=DMARC1, borra la más antigua o débil. Consolida todo en un único registro con las etiquetas que necesites (p, rua, ruf, pct, aspf, adkim).

Error: sintaxis inválida

Los parsers de DMARC son estrictos. Los cinco errores más habituales: (1) faltan los punto y coma entre etiquetas — cada par debe terminar en ;; (2) usar = dentro de URIs mailto sin codificar; (3) usar comillas tipográficas pegadas desde un Word en lugar de comillas ASCII rectas; (4) erratas tipo p=quarentine o p=rejct; (5) envolver el registro entero entre comillas extra cuando la UI de DNS ya las añade. Valida con nuestro checker arriba — analiza etiqueta a etiqueta y te dice qué token falló.

Error: fallos de alineación SPF/DKIM

DMARC pasa solo si al menos uno de SPF o DKIM autentica y se alinea con el dominio del From. Trampa típica: tu ESP (p. ej., Mailchimp) autentica con su propio return-path como bounces.mcsv.net, así que SPF pasa pero no se alinea con tudominio.com. Solución: activa la firma DKIM con tu dominio en el ESP — la alineación DKIM es más fácil que la de SPF porque la etiqueta d= en la firma DKIM puede coincidir con tu dominio raíz. Para subdominios, configura aspf=r y adkim=r (relajado, por defecto) para que el correo del subdominio se alinee con la raíz.

Configuración DMARC en 5 pasos

  1. Audita la autenticación actualAntes de publicar DMARC, arregla SPF y DKIM. Pasa nuestro SPF Checker y DKIM Checker por cada dominio y subdominio remitente. Confirma que SPF está por debajo del límite de 10 lookups DNS y termina en -all o ~all. Confirma que DKIM firma con clave de 2048 bits y se alinea con el dominio del From.
  2. Publica un registro de monitorización (p=none)Añade este registro TXT en host _dmarc: v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; pct=100; aspf=r; adkim=r. p=none no afecta al flujo de correo — los receptores empezarán a enviarte informes agregados sin poner nada en cuarentena ni rechazar. Esta es tu fase de recopilación de datos. Usa un buzón dedicado o una herramienta de análisis DMARC porque el XML en bruto es ilegible a escala.
  3. Recoge informes agregadosEn 24 horas deberías empezar a recibir informes XML diarios de los grandes receptores. Procésalos para identificar cada IP y plataforma que envía correo como tu dominio. Los remitentes esperados (Google Workspace, Mailchimp, SendGrid) deberían pasar. Los inesperados son shadow IT o suplantadores — investiga antes de endurecer la política.
  4. Pasa a quarantine con pct=25Cuando el 95 %+ del correo legítimo pase SPF y DKIM con alineación, endurece a v=DMARC1; p=quarantine; pct=25; rua=...;. Ahora el 25 % del correo fallido va a spam. Vigila informes y tickets de soporte por falsos positivos. Tras dos semanas limpias, sube pct a 50, luego a 100.
  5. Llega a p=rejectEstado final: v=DMARC1; p=reject; rua=mailto:dmarc@tudominio.com; pct=100;. El correo fallido se rechaza en el límite SMTP — los phishers ya no pueden suplantar tu dominio. Es la única configuración que protege tu marca por completo. La mayoría de dominios llegan a reject en 8 semanas desde p=none.

Fases del despliegue DMARC (4 a 8 semanas)

Un despliegue DMARC seguro sigue una rampa basada en porcentaje para que detectes errores antes de que dañen la entregabilidad. El plazo mínimo viable es de cuatro semanas; ocho es más prudente para organizaciones con muchas plataformas de envío.

  • Semana 1-2: monitorizar (p=none)Publica p=none con rua=. Recoge informes agregados, identifica cada remitente legítimo y arregla huecos en SPF/DKIM. Espera descubrir al menos un ESP en la sombra del que IT no sabía nada.
  • Semana 3-4: quarantine pct=25Cambia a p=quarantine; pct=25. Un cuarto del correo no autenticado cae en spam. Vigila informes a diario por caídas inesperadas en correo legítimo. Si un remitente se rompe, vuelve a p=none, arréglalo, reintenta.
  • Semana 5-6: quarantine pct=100Sube a p=quarantine; pct=100. Todo el correo fallido va a spam. A estas alturas tus informes deberían mostrar tasas de pase del 99 %+ desde remitentes conocidos. El correo suplantado contra tu dominio queda neutralizado en la bandeja del destinatario.
  • Semana 7-8: rejectPasa a p=reject; pct=100. El correo fallido se rechaza en la transacción SMTP — nunca llega al destinatario. Es el estado final. Mantén el reporting (rua=) para detectar regresiones cuando se añada un nuevo ESP.

Requisitos de Gmail y Yahoo en 2026

Si envías más de 5.000 mensajes al día a Gmail o Yahoo, DMARC es obligatorio. El registro mínimo aceptable es p=none — pero la propia guía de Google recomienda p=quarantine o más estricto. Sin un registro DMARC válido, los remitentes masivos ven sus mensajes rebotar con 5.7.26 'unauthenticated email is not accepted' o caer directos a spam, da igual el contenido. Los demás requisitos de 2026 se acumulan: unsubscribe en un clic en cabeceras, tasas de queja por debajo del 0,3 % y TLS para SMTP. DMARC es el más barato de implementar — normalmente un solo registro TXT y 30 minutos de trabajo — y es la mayor palanca de entregabilidad para correo transaccional y de marketing.

DMARC FAQ

What is DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) is an email authentication policy that builds on SPF and DKIM. It tells receiving servers what to do when emails fail authentication — monitor (none), quarantine, or reject them.
What do the DMARC policies mean?
Policy "none" means monitor only (no action on failures). "Quarantine" sends failing emails to spam. "Reject" blocks them entirely. Start with "none" to monitor, then gradually increase to "reject" after confirming legitimate emails pass.
What is DMARC alignment?
DMARC alignment checks that the domain in the From header matches the domains used in SPF and DKIM. "Relaxed" alignment (aspf=r, adkim=r) allows subdomains; "strict" (aspf=s, adkim=s) requires exact matches.
What are DMARC aggregate reports (rua)?
The rua tag specifies where to send daily aggregate XML reports showing who's sending email using your domain, pass/fail rates, and source IPs. Set it to "mailto:dmarc@yourdomain.com" to receive these reports.
How long does DMARC take to work?
DMARC records propagate via DNS (1-48 hours). However, the full rollout to "reject" policy should take 4-8 weeks: start with p=none to collect data, then move to p=quarantine with pct=25, increase percentage, and finally switch to p=reject.
¿Puedo usar DMARC con varios servicios de envío (p. ej., Mailchimp + SendGrid + transaccional)?
Sí — y la mayoría de dominios lo hacen. A DMARC le da igual cuántas plataformas envíen por ti, solo le importa que cada una pase SPF o DKIM con alineación de dominio. Configura firma DKIM personalizada para cada ESP usando su flujo de domain authentication (Mailchimp, SendGrid, Postmark y Amazon SES lo soportan). Para SPF, incluye el mecanismo de cada ESP en tu registro pero vigila el límite de 10 lookups DNS — aplánalo con una herramienta si lo superas. Después verifica en tus informes agregados que cada remitente legítimo aparece como DMARC-aligned antes de endurecer hasta reject.
¿Cuál es la diferencia entre informes rua y ruf?
Los informes rua (agregados) son resúmenes XML diarios: qué IPs enviaron correo, cuántos mensajes y cuántos pasaron o fallaron. No contienen contenido del mensaje y son seguros para cualquier buzón. Los informes ruf (forenses/de fallos) son muestras por mensaje con cabeceras y, a veces, cuerpo redactado — útiles para respuesta a incidentes pero hoy casi nadie los envía por motivos de RGPD. Configura rua= y olvídate de ruf= salvo que tengas una necesidad concreta.
¿Cómo verifico que mi DMARC funciona antes de pasar a reject?
Tres comprobaciones. Primero, el checker de arriba debe mostrar un registro válido sin errores de sintaxis. Segundo, tus informes agregados deben mostrar un 99 %+ de pase DMARC desde cada remitente legítimo durante al menos dos semanas en p=quarantine; pct=100. Tercero, envía correo de prueba desde cada plataforma a una dirección de Gmail e inspecciona las cabeceras — Authentication-Results debe mostrar dmarc=pass tanto para alineación SPF como DKIM. Si falla alguna de las tres, arregla el hueco en SPF o DKIM antes de avanzar la política. Pasar a reject con alineación rota rebotará correo real.
¿Pueden los subdominios usar una política DMARC distinta?
Sí. La etiqueta sp= (subdomain policy) te permite fijar otra política para subdominios. Ejemplo: v=DMARC1; p=reject; sp=quarantine; rua=...; rechaza el correo que suplanta tudominio.com pero solo pone en cuarentena el que suplanta subdominios arbitrarios. Útil cuando aún no sabes qué subdominios envían correo legítimo. Para más seguridad, pon sp=reject en cuanto hayas inventariado los remitentes de subdominio.
¿DMARC afecta al reenvío legítimo de correo (p. ej., alias)?
Puede hacerlo. Cuando el correo se reenvía — por ejemplo de contact@tudominio.com a un Gmail personal — SPF se rompe porque el servidor de reenvío no está en tu registro SPF. DKIM suele sobrevivir porque la firma viaja con el mensaje, pero las listas de correo que modifican asuntos o pies también pueden romper DKIM. La solución es ARC (Authenticated Received Chain), que la mayoría de grandes proveedores (Gmail, Outlook, Office 365) implementan automáticamente. Los reenviadores que soportan ARC preservan el resultado original de autenticación. Los alias creados dentro de Gmail o Microsoft 365 no se ven afectados porque usan ARC por defecto.

Herramientas gratuitas relacionadas

Comprobador SPF de dominio Comprobador DKIM de dominio Comprobador de blacklist de email Comprobador de caducidad de dominio Comprobador de caducidad SSL Comprobación completa de salud del email

Monitoriza tu registro DMARC 24/7

Recibe alertas instantáneas si tu registro DMARC cambia, se rompe o se elimina.

Empieza a monitorizar gratis

Related Guides

More Free Tools

Check your domain and email health with our complete toolkit — no sign-up required.

Email Health Checker
Domain SPF Checker
Domain DKIM Checker
Email Blacklist Checker
Email Inbox Risk Checker
Domain Age Checker
Domain Expiry Checker
Domain SSL Expiry Checker
Cold Email Simulator