DMARC: Guía completa para administradores de correo
    Protocolos

    DMARC: Guía completa para administradores de correo

    Implementar DMARC correctamente es esencial para proteger tu dominio contra suplantación de identidad. En esta guía cubrimos desde los registros DNS hasta las políticas de enforcement.

    Blog 10/02/2026Protocolos

    DMARC (Domain-based Message Authentication, Reporting & Conformance) es el estándar que permite a los propietarios de dominios proteger su marca contra el phishing y la suplantación de identidad por correo electrónico.

    Sin embargo, una implementación incorrecta puede provocar que correos legítimos sean rechazados. En esta guía te explicamos cómo implementar DMARC paso a paso, evitando los errores más comunes.

    Fundamentos: SPF + DKIM = DMARC

    DMARC se basa en dos protocolos previos: SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). SPF define qué servidores están autorizados a enviar correo en nombre de un dominio. DKIM añade una firma criptográfica a cada mensaje.

    DMARC actúa como capa de coordinación: verifica que al menos uno de los dos mecanismos (SPF o DKIM) pase la validación Y que el dominio esté alineado con la dirección 'From' del mensaje.

    Si un mensaje no supera la validación DMARC, la política definida por el propietario del dominio determina qué hacer: nada (none), cuarentena (quarantine) o rechazo (reject).

    Implementación progresiva: de p=none a p=reject

    El error más común es implementar directamente una política de rechazo (p=reject) sin pasar por una fase de monitorización. Esto puede provocar que correos legítimos — como newsletters enviadas por terceros o sistemas de facturación — sean bloqueados.

    La estrategia correcta es comenzar con p=none para recibir informes sin afectar la entrega. Analiza los informes DMARC durante 2-4 semanas para identificar todas las fuentes legítimas de correo de tu dominio.

    Una vez que todas las fuentes están correctamente autenticadas con SPF y DKIM, pasa a p=quarantine durante otra fase de monitorización. Finalmente, cuando tengas confianza total, activa p=reject.

    Lectura de informes DMARC y ajustes

    Los informes DMARC (en formato XML) son enviados diariamente por los receptores de correo. Contienen información detallada sobre cada mensaje evaluado: IP de origen, resultado SPF, resultado DKIM, y la acción aplicada.

    Utiliza herramientas de agregación de informes para visualizar estos datos de forma clara. Busca IPs que envíen correo en nombre de tu dominio sin autorización, y fuentes legítimas que fallen la validación.

    Ajusta progresivamente tus registros SPF y firma DKIM hasta que todos los flujos legítimos de correo pasen la validación. Solo entonces es seguro endurecer la política DMARC.

    ¿Te interesa implementar esto en tu infraestructura?

    Conoce nuestro servicio de Filtrado Entrante

    📖 Documentación técnica relacionada en nuestra Wiki:

    Guía SPF Firma DKIM Política DMARC

    ¿Necesitas ayuda con tu infraestructura de correo?

    Nuestros ingenieros pueden ayudarte a implementar estas soluciones en tu entorno.

    Solicitar Consultoría Técnica
    ← AnteriorArchivado de Correo vs. Backup Tradicional: Por qué tu empresa necesita una 'Memoria Inmutable' para cumplir con el RGPDSiguiente →Greylisting vs Blacklisting: ¿Cuál es más efectivo?

    Blog

    Sigue leyendo