¿Cuánto tiempo toma configurar DMARC?

Crear tu registro DMARC toma aproximadamente 5 minutos. Después de agregarlo a tu DNS, espera 5-30 minutos para la propagación. Comenzarás a recibir reportes dentro de 24-48 horas.

¿Qué pasa si cometo un error en mi registro DMARC?

Nuestro generador valida tu registro DMARC en tiempo real para prevenir errores de sintaxis. Si necesitas hacer cambios después de la implementación, simplemente actualiza el registro TXT en tu configuración DNS con un nuevo registro de nuestro generador.

¿Cuál es la diferencia entre 'none', 'quarantine' y 'reject'?

La política 'none' monitorea la actividad sin bloquear nada (recomendado para principiantes). La política 'quarantine' envía correos sospechosos al spam. La política 'reject' bloquea completamente los correos sospechosos. Comienza con 'none' y progresa según tus reportes.

¿Puedo cambiar mi política DMARC después?

Sí, puedes actualizar tu política DMARC en cualquier momento. Simplemente genera un nuevo registro con nuestra herramienta y actualiza el registro TXT en tu configuración DNS. Los cambios toman efecto en 5-30 minutos.

¿Necesito DMARC si uso Gmail o Microsoft 365?

Sí. Incluso con proveedores de correo confiables, DMARC protege tu dominio contra suplantación y phishing. Gmail y Microsoft 365 soportan DMARC y recomiendan su implementación para todos los dominios.

Más de 10.000 verificaciones DMARC gratuitas al día

Herramienta gratuita

Generador DMARC

Crea tu política DMARC en minutos Compliant with RFC 7489.

Crea un registro TXT DMARC válido para proteger tu dominio contra la suplantación y mejorar la entregabilidad del correo. Nuestro generador DMARC crea registros DNS válidos con validación en tiempo real.

Sin registro. Validación en tiempo real.

Configuración de política

Política (p) - Requerido

Comienza con "none" para recopilar datos sin arriesgar pérdida de correos. Más información

Política de subdominio (sp) - Opcional

Reportes (dónde enviar datos)

URIs de reportes agregados (rua)

Recibe resúmenes diarios de quién envía correos en tu nombre. Separa múltiples correos con comas.

Déjanos gestionar tus reportes — obtén una dirección de monitoreo, ¡es fácil! →

URIs de reportes forenses (ruf) - Opcional

Opciones de fallo (fo) - Opcional

0 - Todas las verificaciones fallan (predeterminado) 1 - Cualquier verificación falla

Alineación avanzada (Opcional)

Alineación DKIM

Alineación SPF

Registro generado

_dmarc TXT

Registro TXT: _dmarc.[dominio]

v=DMARC1; p=none;

Cómo publicar

1 Inicia sesión en tu proveedor DNS (GoDaddy, Cloudflare, Namecheap, etc.).
2 Crea un registro TXT.
3 Host: _dmarc
4 Valor: Pega el registro anterior.

Verificación

Prueba tu configuración

¿Qué es DMARC?

DMARC (Domain-based Message Autenticación, Reportes, and Conformance) es un protocolo de seguridad de correo electrónico que protege tu dominio de ser usado para phishing y suplantación de identidad.

Se basa en dos mecanismos existentes, SPF (Sender Política Framework) y DKIM (DomainKeys Identified Mail). DMARC te permite especificar cómo los receptores deben manejar correos que fallan la autenticación, y proporciona capacidades de reportes para monitorear quién envía correos en tu nombre.

Read our complete DMARC introduction →

Cómo funciona DMARC

DMARC funciona conectando dos mecanismos de autenticación (SPF y DKIM) con una capa de políticas y un sistema de reportes. Así es el proceso:

Se envía el correo

Cuando alguien envía un correo electrónico afirmando ser de tu dominio, el servidor receptor consulta tu registro DMARC.

Verificación de autenticación

El receptor verifica si el correo pasa SPF (la IP del remitente está autorizada) y/o DKIM (la firma criptográfica es válida).

Verificación de alineación

DMARC verifica si los dominios autenticados coinciden con el dominio de la dirección 'De' que ve el destinatario.

Aplicación de la política

Según tu política DMARC (none, quarantine o reject), el receptor gestiona los correos que fallan la autenticación.

Generación de reportes

Los receptores envían reportes agregados con los resultados de autenticación, así como forensic emails (failure reports) con detalles sobre mensajes individuales que fallaron las verificaciones DMARC.

Por qué tu dominio necesita DMARC

La autenticación de correo electrónico ya no es opcional. Estas son las razones por las que implementar DMARC es crítico para tu organización:

Detén la suplantación de correo

Evita que los atacantes envíen correos de phishing que parecen venir de tu dominio. Sin DMARC, cualquiera puede falsificar tu dirección de correo.

Protege la reputación de tu marca

Cuando los delincuentes suplantan tu dominio, los destinatarios asocian el fraude con tu marca. DMARC detiene este daño antes de que comience.

Mejora la entregabilidad del correo

Los principales proveedores de correo como Gmail y Microsoft priorizan los correos autenticados. DMARC ayuda a asegurar que tus correos legítimos lleguen a la bandeja de entrada.

Cumple con los requisitos normativos

Muchas industrias y regulaciones gubernamentales ahora exigen DMARC. Google y Yahoo lo requieren para remitentes masivos desde febrero de 2024.

Obtén visibilidad de tu correo

Los reportes DMARC revelan quién está enviando correo como tú, ayudándote a identificar tanto servicios legítimos olvidados como remitentes no autorizados.

Habilita BIMI para logos de marca

Para mostrar tu logo junto a los correos en clientes compatibles como Gmail, necesitas aplicar DMARC. BIMI requiere p=quarantine o p=reject.

Errores comunes de DMARC que debes evitar

Al implementar DMARC, evita estos errores comunes que pueden afectar la entregabilidad de tu correo o dejarte sin protección:

Empezar con p=reject

Saltar directamente a una política de rechazo puede bloquear correo legítimo de servicios que olvidaste autenticar. Siempre comienza con p=none para monitorear primero.

Olvidar remitentes de terceros

Las plataformas de marketing, CRMs y servicios de correo transaccional envían en tu nombre. Asegúrate de que cada uno esté correctamente configurado para SPF y DKIM antes de aplicar DMARC.

No monitorear los reportes DMARC

Sin revisar los reportes, no sabrás si el correo legítimo está fallando. Usa un servicio de monitoreo DMARC para analizar los reportes automáticamente.

Usar un correo inválido para reportes

La dirección de correo rua debe ser válida y accesible. Si no puedes recibir reportes, estarás a ciegas.

Ignorar los subdominios

Por defecto, los subdominios heredan tu política DMARC. Si tienes servicios en subdominios, considera usar la etiqueta sp= para establecer una política específica.

Preguntas frecuentes

¿DMARC afectará la entrega de mis correos?

No, siempre que comiences de forma segura. Recomendamos empezar con la política p=none. Este "modo de monitoreo" asegura que ningún correo legítimo sea bloqueado mientras recopilas datos. Una vez que estés seguro de que todos tus remitentes legítimos (como Mailchimp, Salesforce, Google Workspace) se autentican correctamente, puedes pasar a p=quarantine o p=reject.

¿Cuál es la diferencia entre las políticas?

None (p=none): Monitorea el tráfico. No se toman acciones contra correos fallidos. Comienza aquí.

Quarantine (p=quarantine): Los correos que fallan las verificaciones se envían al spam del destinatario.

Reject (p=reject): Los correos que fallan las verificaciones se bloquean completamente. Máxima seguridad.

¿Necesito DMARC para Gmail o Outlook?

Sí. Aunque Google y Microsoft protegen su infraestructura, no pueden evitar que alguien suplante tu dominio personalizado a menos que publiques un registro DMARC. De hecho, desde febrero de 2024, Google y Yahoo requieren DMARC para remitentes masivos.

¿Cuánto tiempo tarda DMARC en empezar a funcionar?

Una vez que añades tu registro TXT DMARC a tu DNS, normalmente se propaga en 5-30 minutos. Empezarás a recibir reportes agregados en 24-48 horas. Sin embargo, alcanzar la aplicación completa (p=reject) debería ser un proceso gradual durante semanas o meses mientras verificas todos los remitentes legítimos.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF verifica que los correos provienen de direcciones IP autorizadas. DKIM añade una firma criptográfica para demostrar que el correo no ha sido alterado. DMARC los une verificando que los dominios autenticados coincidan con la dirección 'De' visible y define qué hacer con los fallos.

¿Puedo tener múltiples registros DMARC?

No. Solo debes tener un registro TXT DMARC en _dmarc.tudominio.com. Tener múltiples registros causará un comportamiento impredecible, ya que los receptores pueden elegir cualquiera de ellos. Si necesitas enviar reportes a múltiples direcciones, sepáralas con comas en una sola etiqueta rua=.

¿Qué porcentaje debo usar con la etiqueta pct=?

La etiqueta pct= te permite aplicar tu política solo a un porcentaje de correos. Al pasar de p=none a p=quarantine, comienza con pct=10 o pct=25, monitorea los reportes por problemas, luego aumenta gradualmente a 100. Una vez estable, puedes eliminar la etiqueta pct por completo (por defecto es 100).

¿Debo usar alineación relajada o estricta?

La alineación relajada (por defecto) permite que los subdominios pasen. Por ejemplo, mail.ejemplo.com se alinea con ejemplo.com. La alineación estricta requiere coincidencias exactas de dominio. La mayoría de las organizaciones deberían empezar con alineación relajada a menos que tengan requisitos de seguridad específicos que exijan coincidencia estricta.

Completa tu autenticación de correo

DMARC funciona con SPF y DKIM. Crea tu registro SPF a continuación, o muestra el logo de tu marca con BIMI (requiere aplicación de DMARC).

Crear registro SPF Generador de registro BIMI