¿Cuáles son los requisitos de DMARC? Normas, políticas y cumplimiento a nivel mundial
por
Última actualización:
12 minutos de lectura
Puntos clave
- Los requisitos de DMARC se aplican ahora a los remitentes masivos (más de 5.000 correos electrónicos al día) de Google y Yahoo, con una aplicación más estricta que ya están plenamente en vigor, incluyendo rechazos permanentes por parte de Gmail desde noviembre de 2025.
- Las agencias gubernamentales y los sectores regulados de todo el mundo están exigiendo la implementación de DMARC para garantizar la seguridad del correo electrónico.
- Los requisitos técnicos incluyen la autenticación SPF y/o DKIM, además de una configuración correcta del dominio.
- Las organizaciones deben pasar gradualmente de políticas «p=none» a «p=reject», sin dejar de supervisar la capacidad de entrega del correo electrónico.
- Microsoft comenzó a aplicar los requisitos de SPF, DKIM y DMARC a los remitentes masivos (más de 5.000 correos electrónicos al día a Outlook.com) a partir del 5 de mayo de 2025, y el rechazo total de los mensajes entrará en vigor en noviembre de 2025.
- DMARCbis se ha publicado oficialmente como RFC 9989, 9990 y 9991 (mayo de 2026), lo que eleva a DMARC de la categoría de documento informativo a la de norma propuesta.
- Los requisitos contra el phishing de la norma PCI DSS v4.0, incluido DMARC, pasaron a ser de obligado cumplimiento a partir del 31 de marzo de 2025. Todas las evaluaciones de 2026 se llevarán a cabo con arreglo a la norma PCI DSS v4.0.1.
Los requisitos de DMARC ya no son solo recomendaciones técnicas. En la actualidad, están determinados por una combinación cada vez mayor de normativas internacionales, marcos de cumplimiento del sector y normas de los proveedores de correo electrónico. Los gobiernos y los organismos del sector público de diversas regiones han convertido a DMARC en un requisito formal para la protección de los dominios oficiales, mientras que normas como la PCI DSS consideran cada vez más la autenticación del correo electrónico como parte de un cumplimiento de seguridad más amplio. Al mismo tiempo, proveedores como Google, Yahoo y Microsoft esperan ahora una autenticación más sólida por parte de los remitentes, especialmente de aquellos que envían mensajes a gran escala.
Este cambio implica que DMARC ya no se limita únicamente a prevenir la suplantación de identidad. Ahora desempeña un papel directo en la entregabilidad del correo electrónico, la protección de la marca, la confianza de los clientes y el cumplimiento normativo. Para muchas organizaciones, el incumplimiento de los requisitos de DMARC puede dar lugar al rechazo de correos electrónicos, a un mayor riesgo de phishing y a deficiencias de cumplimiento que son más difíciles de ignorar.
La publicación en mayo de 2026 de DMARCbis como normas oficiales de la IETF (RFC 9989, 9990 y 9991) pone aún más de relieve este cambio. DMARC ha pasado de ser un RFC informativo a convertirse en una norma propuesta, lo que indica que el sector del correo electrónico lo considera ahora una infraestructura fundamental, en lugar de una capa opcional.
Esta guía explica los requisitos de DMARC desde esa perspectiva más amplia. Abarca las normas y obligaciones internacionales que impulsan su adopción, los requisitos a nivel de proveedor que deben cumplir los remitentes y los fundamentos técnicos, incluyendo SPF, DKIMy la alineación, necesarios para garantizar el cumplimiento.
¿Cuáles son los requisitos de DMARC?
Los requisitos de DMARC se refieren a las normas técnicas y de política que deben cumplir los propietarios de dominios para implementar correctamente el protocolo de autenticación, notificación y conformidad de mensajes basados en dominios (DMARC).
Se articulan en tres niveles: los mandatos normativos, los requisitos de los proveedores y las normas técnicas necesarias para implementar DMARC correctamente.
En esencia, DMARC es un protocolo de autenticación de correo electrónico que se basa en Sender Policy Framework (SPF) y DomainKeys Identified Mail (DKIM) para verificar que los mensajes salientes proceden realmente del dominio que dicen representar.
Cuando un mensaje no supera esas comprobaciones de autenticación, tu política DMARC indica a los servidores de correo receptores qué deben hacer con él.
Un dominio cumple los requisitos de DMARC cuando:
- El SPF y el DKIM están correctamente configurados para el dominio de envío
- Se ha publicado un registro TXT de DNS válido de DMARC
- Al menos uno de los dos, SPF o DKIM, pasa la verificación y coincide con el dominio del encabezado «From»
- Los informes DMARC se supervisan de forma activa
Lo que ha cambiado es lo que está en juego. Los requisitos de DMARC son ahora obligatorios o se aplican en numerosos países y marcos normativos de todo el mundo. También los aplica Google, Yahoo, Microsofty PCI DSS, y el incumplimiento tiene consecuencias directas para la capacidad de entrega del correo electrónico, la confianza en la marca y la situación normativa.
Tipos de requisitos de DMARC
Los requisitos de DMARC se pueden clasificar en tres categorías:
- Requisitos normativos: Mandatos de gobiernos y organismos de cumplimiento como la CISA (EE. UU.), el NCSC (Reino Unido) y la NIS2 (UE), que exigen a las organizaciones implementar y aplicar DMARC como parte de unas normas de ciberseguridad más amplias.
- Requisitos de los proveedores: Normas de cumplimiento de proveedores de correo electrónico como Google, Yahoo y Microsoft, especialmente para remitentes masivos, en los que la autenticación y el cumplimiento de las políticas influyen directamente en la capacidad de entrega del correo electrónico.
- Requisitos técnicos: La configuración básica necesaria para implementar DMARC correctamente, incluyendo SPF, DKIM, políticas DMARC y la alineación adecuada de los dominios.
Comprender cómo interactúan estas capas es fundamental para lograr y mantener el pleno cumplimiento de DMARC.
He aquí por qué más de 10 000 clientes confían en la plataforma de PowerDMARC
- Reducción drástica de los intentos de suplantación de identidad y de los correos electrónicos no autorizados gracias a la inteligencia sobre amenazas basada en la inteligencia artificial
- Incorporación más rápida + gestión automatizada de la autenticación que ahorra horas de trabajo a los equipos de TI
- Información sobre amenazas en tiempo real e informes cifrados con PGP en todos los dominios
- Mejores tasas de entrega de correo electrónico gracias a la aplicación rigurosa de DMARC con el asesoramiento de expertos
Los primeros 15 días corren por nuestra cuenta.
Comience la prueba gratuitaRequisitos globales de DMARC por región
En la actualidad, DMARC es obligatorio o se aplica en numerosos países y marcos normativos, lo que lo convierte en un requisito básico para una infraestructura de correo electrónico segura. A continuación se presenta un resumen de la situación actual de las principales normativas.
| Región | Estado del mandato | Órgano encargado de la aplicación | Política mínima |
|---|---|---|---|
| Estados Unidos | Obligatorio (a nivel federal) | CISA/DHS | p=rechazar |
| Reino Unido | Obligatorio (sector público) | NCSC | p=rechazar |
| Unión Europea | Obligatorio (sectores críticos) | NIS2/autoridades nacionales | p = cuarentena mínima |
| Australia | Obligatorio (por parte del Gobierno) | ACSC | p=rechazar |
| Canadá | Obligatorio (a nivel federal) | Consejo del Tesoro | p=rechazar |
| Arabia Saudí | Obligatorio (administración pública + telecomunicaciones) | CITC/NCA | p=cuarentena |
| EAU | Obligatorio (por parte del Gobierno) | TDRA | p = sin mínimo |
| India | Obligatorio (comercial) | TRAI | p=rechazar |
| Nueva Zelanda | Muy recomendable | NCSC Nueva Zelanda | p = rechazar (recomendado) |
Estados Unidos
El Gobierno federal de EE. UU. fue uno de los primeros en imponer el uso de DMARC a nivel nacional. En 2017, el Departamento de Seguridad Nacional publicó la Directiva Operativa Vinculante 18-01 (BOD 18-01), en la que exigía a todas las agencias del poder ejecutivo federal que implementaran DMARC con una política mínima de p=reject en el plazo de un año.
La CISA (Agencia de Ciberseguridad y Seguridad de las Infraestructuras) sigue supervisando y velando por el cumplimiento de estas normas, y la directiva sigue vigente para todos los dominios .gov. La directiva BOD 18-01 sentó un precedente mundial que otros gobiernos han seguido desde entonces.
Reino Unido
El Centro Nacional de Ciberseguridad del Reino Unido (NCSC) exige la implementación de DMARC en todos los departamentos del Gobierno central y en las organizaciones del sector público. El NCSC recomienda una política mínima de p=reject y publica directrices activas que exigen a las organizaciones cumplir con esta normativa.
El Gobierno del Reino Unido también ofrece un servicio de Mail Check para ayudar a los organismos del sector público a supervisar y mejorar su nivel de autenticación del correo electrónico.
Unión Europea
La Directiva NIS2, que entró en vigor en todos los Estados miembros de la UE en octubre de 2024, establece requisitos vinculantes de ciberseguridad para los sectores de infraestructuras críticas, entre los que se incluyen la energía, las finanzas, la sanidad y las infraestructuras digitales.
Los controles de seguridad del correo electrónico, incluido DMARC, se consideran medidas técnicas básicas que las organizaciones deben implementar para demostrar su cumplimiento.
Aunque la NIS2 no menciona explícitamente DMARC en todas sus cláusulas, las autoridades de supervisión de varios Estados miembros han comenzado a referirse a él como un control obligatorio durante las auditorías.
Australia
El Centro Australiano de Ciberseguridad (ACSC), que opera bajo la dirección de la Dirección Australiana de Señales, exige el uso de DMARC para los dominios del Gobierno australiano y lo recomienda encarecidamente a todas las organizaciones del sector privado.
La Estrategias del ACSC Estrategias para mitigar los incidentes de ciberseguridad enumera enumera la autenticación del correo electrónico como un control prioritario, y se espera que los organismos gubernamentales alcancen el cumplimiento de la normativa.
Canadá
La Secretaría del Consejo del Tesoro de Canadá exige la implementación de DMARC en todas las instituciones del Gobierno federal como parte de sus directrices de seguridad del correo electrónico. Se espera que los dominios federales canadienses publiquen y apliquen políticas DMARC de acuerdo con las normas internacionales.
Otros mandatos activos
| Región | Órgano de gobierno | Requisito |
|---|---|---|
| Arabia Saudí | CITC/NCA | DMARC es obligatorio para el sector público y los operadores de telecomunicaciones con licencia |
| EAU | Autoridad Reguladora de las Telecomunicaciones y la Administración Digital | El uso de DMARC es obligatorio para las entidades gubernamentales |
| India | TRAI | DMARC es obligatorio para los remitentes de correo electrónico comercial y las empresas |
| Nueva Zelanda | GCSB/NCSC de Nueva Zelanda | Se recomienda y exige el cumplimiento de DMARC a los organismos públicos |
| Países Bajos | NCSC-NL | DMARC es obligatorio para la Administración central y se aplica a través de internet.nl |
Requisitos de DMARC de Google, Yahoo y Microsoft
Además de las obligaciones normativas, los proveedores de correo electrónico exigen ahora el cumplimiento de DMARC como requisito para que los mensajes lleguen a la bandeja de entrada, especialmente en el caso de los remitentes masivos. Si su organización cumple los criterios para ser considerada remitente masivo, estos requisitos le son de aplicación a partir de ahora.
¿Qué se considera un remitente masivo?
Se considera que los remitentes de correo masivo son aquellos que envían más de 5 000 correos electrónicos al día a cuentas de Gmail. Yahoo aplica límites similares. Microsoft utiliza sus propios criterios para clasificar el correo masivo, pero aplica normas de autenticación equivalentes.
Resumen de los requisitos
| Proveedor | Política DMARC mínima | Otros requisitos |
|---|---|---|
| p=nada | SPF, DKIM, enlace visible para darse de baja, tasa de spam inferior al 0,3 % | |
| Yahoo | p=nada | SPF, DKIM y la opción de darse de baja con un solo clic para los mensajes recibidos |
| Microsoft | p=nada | Registros SPF, DKIM y PTR |
Encontrarás toda la información al respecto en la actualización sobre los requisitos de autenticación de correo electrónico de Google y Yahoo , y puedes consultar las directrices para remitentes de Google para conocer las especificaciones actuales.
Calendario de aplicación
A partir de mayo de 2026, la aplicación de la normativa estará plenamente en vigor en los tres principales proveedores:
- Google/Gmail: En febrero de 2024 comenzaron a producirse retrasos temporales (errores 421). En noviembre de 2025 pasaron a ser rechazos permanentes (errores 550). Los remitentes masivos que no cumplen con los requisitos reciben ahora errores permanentes.
- Yahoo: Aplica los mismos requisitos de autenticación que Gmail con el mismo nivel de rigor.
- Microsoft/Outlook: Requisitos anunciados en mayo de 2025. Las advertencias comenzaron en agosto de 2025. La aplicación del rechazo total (código de error 550 5.7.515) está en vigor desde noviembre de 2025.
Para obtener información detallada sobre el cumplimiento de los requisitos de Microsoft, consulte: Requisitos de DMARC de Microsoft para Outlook
El incumplimiento de estas normas puede afectar significativamente a la capacidad de entrega a los clientes que utilizan Gmail, Yahoo y Outlook . Las organizaciones que no cumplan estos requisitos se enfrentan a rechazos de correo tanto temporales como permanentes, por lo que es fundamental adelantarse a estas obligaciones.
DMARCbis: el nuevo estándar DMARC (RFC 9989, 9990, 9991)
El 21 de mayo de 2026, el IETF publicó oficialmente las especificaciones de DMARCbis en forma de tres nuevos RFC, en sustitución de la especificación original de DMARC (RFC 7489):
- RFC 9989: Especificación básica de DMARCbis, que actualiza las reglas de alineación, gestión de políticas y verificación de dominios de DMARC.
- RFC 9990: Normas actualizadas sobre informes agregados para mejorar la interoperabilidad y la claridad.
- RFC 9991: Normas actualizadas para la notificación de fallos con mejores directrices de seguridad.
El cambio más significativo es la conversión de DMARC de un RFC informativo a un estándar propuesto. Esto significa que el protocolo está ahora reconocido oficialmente como un estándar de Internet, con requisitos de implementación más estrictos en todo el ecosistema del correo electrónico.
Qué implica DMARCbis para tu cumplimiento normativo
- Los requisitos de alineación más estrictos hacen que sea aún más importante garantizar que SPF y DKIM se alineen correctamente con el dominio del encabezado «From».
- Las normas de generación de informes mejoradas ofrecen una mayor visibilidad de los errores de autenticación, lo que facilita el diagnóstico y la resolución de los problemas.
- La norma actualizada utiliza un algoritmo de recorrido del árbol DNS en lugar de la Lista de Sufijos Públicos, lo que mejora la precisión en las búsquedas de dominios.
- Las organizaciones que ya cumplen los requisitos actuales de DMARC se encuentran en una buena posición; DMARCbis perfecciona el protocolo básico, en lugar de sustituirlo.
Más información: DMARCbis explicado: qué cambia y cómo prepararse
Requisitos de DMARC para el cumplimiento de la norma PCI DSS
Para las organizaciones que gestionan datos de tarjetas de pago, DMARC es un requisito normativo.
El Consejo de Normas de Seguridad del Sector de Tarjetas de Pago (PCI SSC) ha establecido la obligatoriedad de DMARC como parte de la Norma de Seguridad de Datos PCI. Esta medida se debe a que el fraude por correo electrónico, la suplantación de dominios y el compromiso del correo electrónico empresarial se encuentran entre los principales vectores utilizados para atacar a las organizaciones del ecosistema de pagos.
A partir del 31 de marzo de 2025, los 51 requisitos «con fecha futura» de la norma PCI DSS v4.0 pasaron a ser plenamente obligatorios, incluida la sección 5.4.1, que exige mecanismos automatizados contra el phishing, como DMARC, SPF y DKIM. Todas las evaluaciones de la norma PCI DSS realizadas en 2026 se valorarán con arreglo a la versión PCI DSS v4.0.1, sin ningún periodo de gracia para estos controles.
Qué supone el incumplimiento para las entidades de pago:
- Pérdida del derecho a gestionar transacciones con tarjetas de pago
- Exposición a ataques de suplantación de marca dirigidos a clientes y socios
- Mayor vulnerabilidad ante los ataques de suplantación de identidad en el correo electrónico empresarial y los mensajes de phishing
- Multas que pueden oscilar entre 5.000 y 100.000 dólares por cada mes de incumplimiento
Más allá de la norma PCI DSS, DMARC se menciona cada vez más en otros marcos normativos como medida básica de seguridad del correo electrónico. Las organizaciones sujetas a requisitos de cumplimiento normativos federales también deberían analizar cómo encaja DMARC en sus obligaciones generales.
Temas relacionados: Cumplimiento de la norma PCI DSS en el correo electrónico: tu estrategia DMARC para la versión 4.0
¿Qué ocurre si no se cumplen los requisitos de DMARC?
Los riesgos de no cumplir los requisitos de DMARC son reales, inmediatos y, en algunos casos, muy difíciles de revertir.
Consecuencias para la capacidad de entrega
| Escenario | Impacto |
|---|---|
| No hay registro DMARC | Dominio fácilmente falsificable, sin aplicación de políticas |
| No cumple los requisitos de Google/Yahoo | Correos electrónicos filtrados, aplazados o rechazados a gran escala |
| Altos índices de spam | Daño a largo plazo a la reputación de envío del dominio |
| No hay alineación con SPF ni DKIM | Los correos electrónicos legítimos no superan la autenticación y son bloqueados |
Consecuencias para la reputación
Sin una política DMARC, tu dominio puede utilizarse libremente para enviar mensajes de phishing y mensajes maliciosos que parecen provenir directamente de tu organización.
Las empresas que no cumplen los requisitos de DMARC suelen verse afectadas por casos de suplantación de marca y estafas de los que es difícil recuperarse, sobre todo cuando los clientes ya han recibido mensajes fraudulentos que parecen proceder de un dominio de confianza.
Según datos recientes del sector, a principios de 2026 la adopción efectiva de DMARC superaba los 937 000 dominios, pero las políticas de aplicación (cuarentena o rechazo) solo representan unos 412 000 de ellos. Esta brecha deja a cientos de miles de dominios con registros DMARC que, en realidad, no los protegen contra la suplantación de identidad.
Consecuencias normativas
Para las organizaciones sujetas a PCI DSS, no implementar DMARC puede suponer la pérdida del derecho a procesar pagos. Esta es una consecuencia definida del incumplimiento de la norma vigente.
Los requisitos previos fundamentales: SPF y DKIM
DMARC no puede funcionar sin SPF y DKIM. Estos dos métodos de autenticación de correo electrónico son la base sobre la que se sustenta DMARC, y ambos deben estar correctamente configurados antes de publicar un registro DMARC.
Se recomienda mantener activos los protocolos SPF y DKIM durante al menos 48 horas antes de implementar DMARC, lo que le dará tiempo para comprobar que ambos mecanismos funcionan correctamente antes de introducir una política que actúe en caso de fallos.
Marco de la política de remitentes (SPF)
SPF es un registro TXT de DNS que enumera todas las direcciones IP autorizadas para enviar correo electrónico en nombre de su dominio. Cuando un servidor receptor recibe un correo electrónico entrante, comprueba si la dirección IP del remitente aparece en su registro SPF.
Dos problemas habituales relacionados con el SPF a los que hay que prestar atención:
- Consultas SPF nulas: Los registros con demasiadas búsquedas DNS impiden la autenticación de forma silenciosa y son una de las causas más comunes de fallos inesperados. Más información sobre búsquedas nulas de SPF y cómo solucionarlas.
- Infraestructuras de envío complejas: Las organizaciones que gestionan muchos remitentes autorizados pueden utilizar las macros SPF para ampliar sus registros SPF sin alcanzar los límites de consulta.
Si tu registro SPF supera el límite de 10 consultas DNS especificado en el RFC 7208, se devolverá un PermError, que DMARC interpreta como un fallo. Las organizaciones con configuraciones de envío complejas deberían considerar el aplanamiento de SPF o PowerSPF para mantenerse por debajo del límite.
Correo Identificado con Claves de Dominio (DKIM)
DKIM añade una firma digital criptográfica a los mensajes salientes, lo que permite a los servidores receptores verificar que el cuerpo y los encabezados del mensaje no se han alterado durante el tránsito.
La coincidencia de DKIM en el marco de DMARC exige que el dominio del encabezado «From» coincida con el dominio especificado en la etiqueta «d=» de la firma DKIM. Una firma DKIM técnicamente válida que no coincida con el dominio del encabezado «From» seguirá fallando en la verificación de DMARC.
| Método de autenticación | Qué comprueba | ¿Se mantiene tras el reenvío? |
|---|---|---|
| SPF | Dirección IP autorizada para el dominio de origen | No |
| DKIM | Firma criptográfica en el cuerpo del mensaje | Sí |
Guía paso a paso para configurar DMARC
Una vez que SPF y DKIM estén configurados y superen las comprobaciones, podrás publicar tu registro DMARC. Es fundamental que esta configuración sea correcta, ya que cualquier error en tu registro puede dejar tu dominio desprotegido o provocar que los correos electrónicos legítimos no superen la autenticación.
Configuración paso a paso
- Comprueba que SPF y DKIM estén activos y que llevan funcionando al menos 48 horas
- Crea tu registro TXT de DNS en _dmarc.sudominio.com
- Empieza con una política de «p=ninguna» para recopilar datos sin afectar a la entrega
- Incluye direcciones de notificación para que los informes DMARC empiecen a llegar de inmediato
- Comprueba el registro utilizando una herramienta de búsqueda DMARC después de la publicación
Estructura del registro DMARC
Cada cadena DMARC comienza con v=DMARC1. Un registro inicial básico tiene este aspecto:
v=DMARC1; p=none; rua=mailto:[email protected]; ruf=mailto:[email protected];
| Etiqueta | Propósito | ¿Es obligatorio? |
|---|---|---|
| v=DMARC1 | Etiqueta de versión; debe aparecer en primer lugar | Sí |
| p= | Política: ninguna, cuarentena o rechazo | Sí |
| rua= | Dirección de correo electrónico para los informes agregados | Recomendado |
| ruf= | Dirección de correo electrónico para informes forenses | Recomendado |
| sp= | Política sobre subdominios | Opcional |
| pct= | La política sobre el porcentaje de mensajes se aplica a | Opcional |
Requisitos adicionales de DNS
Además del registro DMARC en sí, los remitentes de correo electrónico deben asegurarse de que los registros PTR de DNS, tanto de reenvío como de reversa, sean válidos PTR de DNS.
Los servidores receptores utilizan registros PTR para verificar que la dirección IP desde la que se envía un mensaje se corresponde con el dominio remitente. La ausencia o la discrepancia de los registros PTR es una causa habitual, aunque a menudo pasada por alto, de fallos en la autenticación.
La implementación de DMARC también requiere configurar registros SPF y DKIM para cada dominio de envío de forma individual. Las organizaciones que gestionan varios dominios para diferentes regiones, productos o unidades de negocio necesitan que los registros de autenticación estén correctamente configurados en cada uno de ellos.
Explicación de los niveles de la política DMARC
Tu política DMARC determina qué ocurre cuando un correo electrónico no supera las comprobaciones de autenticación. Elegir la política adecuada en cada fase de la implantación es lo que marca la diferencia entre una implementación fluida y una que bloquea inadvertidamente el correo legítimo.
| Política | Qué hace | Cuándo utilizarlo |
|---|---|---|
| p=nada | Entrega todo el correo y solo genera informes | Para empezar, verificar los remitentes |
| p=cuarentena | Envía los correos que no se envían correctamente a la carpeta de spam | Tras autenticar a todos los remitentes legítimos |
| p=rechazar | Bloquea por completo los correos que no se envían | Fase de aplicación total de DMARC |
El enfoque recomendado para la implementación
- Empieza con p=none para realizar una auditoría sin afectar a la capacidad de entrega del correo electrónico. Esto te proporcionará los datos necesarios para identificar a todos los remitentes legítimos antes de aplicar las medidas.
- Pásalo a p=cuarentena una vez que todos los remitentes legítimos se hayan autenticado y superen las comprobaciones de forma sistemática.
- Pásate a p=reject para disfrutar de una protección total contra la suplantación de dominios y los mensajes fraudulentos.
Una de las formas más habituales en que las organizaciones bloquean accidentalmente su propio correo legítimo es precipitarse a rechazarlo sin completar la fase de supervisión.
Para obtener un análisis detallado de por qué es importante pasar a la fase de aplicación en 2026, consulta: ¿Por qué es importante DMARC en 2026?
Cómo supervisar y gestionar DMARC a gran escala
Cumplir con los requisitos de DMARC es una tarea continua. Una supervisión constante, unos informes claros y la infraestructura adecuada son los factores que diferencian a las organizaciones que mantienen el cumplimiento de aquellas que vuelven a quedar expuestas a riesgos.
Cómo interpretar tus informes DMARC
DMARC permite saber qué servidores envían correos electrónicos en tu nombre y qué porcentaje de esos mensajes supera o no la autenticación. Estos datos se presentan en dos tipos de informes:
| Tipo de informe | Frecuencia | Lo que muestra |
|---|---|---|
| Total (RUA) | Diario | Resumen de todas las fuentes de envío, índices de aprobación/rechazo y direcciones IP |
| Forense (RUF) | Casi en tiempo real | Detalles sobre los errores de autenticación individuales |
La herramienta de informes DMARC de PowerDMARC herramienta de informes DMARC convierte los datos sin procesar de los informes XML en paneles de control claros y útiles. Ayuda a supervisar los resultados en todos tus dominios de envío sin necesidad de analizar manualmente archivos complejos.
Gestión de remitentes externos
Uno de los retos más habituales a la hora de implementar este sistema es identificar y autenticar a todos los remitentes externos que envían correos electrónicos en tu nombre.
Las plataformas de marketing, los sistemas CRM, las herramientas de asistencia técnica y otros servicios envían mensajes salientes utilizando tu dominio, y cada uno de ellos debe autenticarse correctamente antes de que puedas enviarlos a cuarentena o rechazarlos de forma segura.
Servicios gestionados de DMARC ayudan a las organizaciones a identificar a estos remitentes, garantizan que se aplique una autenticación adecuada en todos los canales de correo electrónico y reducen el tiempo y los recursos necesarios para alcanzar el pleno cumplimiento normativo.
Ampliación a múltiples ámbitos
Las organizaciones gestionan cada vez más dominios, lo que hace que la gestión centralizada sea imprescindible. El mantenimiento manual de los registros DMARC en numerosos dominios es propenso a errores y requiere muchos recursos.
Soluciones DMARC alojadas permiten a las organizaciones gestionar los registros de forma centralizada, aplicar cambios en las políticas en todos los dominios simultáneamente y mantener la visibilidad de toda su infraestructura de correo electrónico desde una única interfaz.
Para los MSP y MSSP que gestionan dominios de clientes a gran escala, la plataforma multitenant ofrece paneles de control de marca blanca, integración con PSA y soporte en 11 idiomas.
Desarrollo de competencias internas
Para equipos que deseen desarrollar conocimientos internos junto con herramientas gestionadas, los cursos de formación de PowerDMARC ayudan a desarrollar la experiencia necesaria para gestionar la autenticación del correo electrónico de forma eficaz a lo largo del tiempo.
Además, ayudan a los equipos a evitar los errores de configuración, que son la causa más frecuente de los fallos de autenticación.
Lo que permite una aplicación estricta de la ley
Una vez que se alcanza el estado «p=reject», DMARC abre la puerta a BIMI (Brand Indicators for Message Identification), que muestra el logotipo de tu marca directamente en la bandeja de entrada del destinatario.
BIMI es una de las recompensas más visibles de haber completado correctamente el proceso de implementación de DMARC y constituye una sólida señal de confianza para los remitentes de gran volumen.
Para las organizaciones que deseen reforzar aún más su infraestructura de correo electrónico, MTA-STS impone el cifrado TLS para el correo electrónico entrante, añadiendo otra capa de protección más allá de lo que ofrece DMARC.
Cumple los requisitos de DMARC con PowerDMARC
Los requisitos de DMARC son cada vez más estrictos. Google, Yahoo, Microsoft y PCI DSS han marcado una línea clara, y las organizaciones que no cumplen con ellos ya están sufriendo las consecuencias en forma de correos electrónicos rechazados, reputación del remitente dañada y dominios expuestos.
Alcanzar el cumplimiento total de DMARC implica autenticar cada origen de envío, interpretar los informes con precisión, gestionar múltiples dominios y avanzar por las distintas fases de la política sin interrumpir el correo legítimo. Es mucho trabajo para gestionar manualmente.
PowerDMARC simplifica todo el proceso, desde tu primer registro TXT de DNS hasta la aplicación de la regla «p=reject» y mucho más.
Con DMARC alojado, informes automatizados, servicios gestionados y una plataforma diseñada para ofrecer visibilidad a gran escala, PowerDMARC te ofrece todo lo que necesitas para cumplir con los requisitos actuales y adelantarte a lo que está por venir.
Empieza a usar PowerDMARC hoy mismo.
Preguntas frecuentes
1. ¿Qué se necesita para DMARC?
DMARC requiere que se configure y se vincule a tu dominio el protocolo SPF o DKIM (preferiblemente ambos). Debes publicar una política DMARC en el DNS que comience con «p=none» y configurar direcciones de notificación para recibir los informes de autenticación.
2. ¿Es obligatorio ahora el DMARC?
A partir de febrero de 2024, DMARC será obligatorio para los remitentes masivos (más de 5.000 correos electrónicos al día) que envíen mensajes a Gmail y Yahoo, y a Microsoft Outlook.com a partir de mayo de 2025. Las agencias gubernamentales de muchos países también exigen el uso de DMARC. Aunque no es un requisito universal, se recomienda encarecidamente a todas las organizaciones que envían correo electrónico.
3. ¿Es necesario utilizar DKIM para DMARC?
DMARC exige que SPF o DKIM superen la comprobación de alineación, aunque se recomienda utilizar ambos. Aunque técnicamente es posible implementar DMARC solo con SPF, los principales proveedores de correo electrónico, como Google, Yahoo y Microsoft exigen DKIM para los remitentes masivos, lo que hace que ambos sean prácticamente necesarios.
4. ¿Desde cuándo es obligatorio el uso de DMARC?
Los requisitos de DMARC se implantaron por primera vez en las agencias federales de EE. UU. en 2017 (BOD 18-01). Google y Yahoo implementaron requisitos para los remitentes masivos en febrero de 2024. Microsoft siguió sus pasos y comenzó a aplicarlos a partir de mayo de 2025. La norma PCI DSS v4.0 hizo obligatorios los controles antiphishing relacionados con DMARC a partir del 31 de marzo de 2025. Varios países han implementado los requisitos de DMARC entre 2020 y 2025, y su aplicación sigue extendiéndose a nivel mundial.
5. ¿Cuánto tiempo lleva implementar DMARC?
La implementación de DMARC suele llevar entre 4 y 12 semanas, dependiendo de la complejidad. La configuración inicial puede realizarse en cuestión de días, pero la supervisión, el análisis y la aplicación gradual de las políticas requieren varias semanas para garantizar que no se vea afectada la capacidad de entrega del correo electrónico.
6. ¿Qué ocurre si no implemento DMARC?
Sin DMARC, los correos masivos a Gmail, Yahoo y Microsoft pueden ser rechazados o marcados como spam. Su dominio sigue siendo vulnerable a los ataques de suplantación de identidad, y puede enfrentarse a problemas de cumplimiento normativo en sectores regulados. Es probable que la capacidad de entrega del correo electrónico y la reputación del remitente se vean afectadas.
7. ¿Qué es DMARCbis y modifica los requisitos de DMARC?
DMARCbis es la especificación actualizada de DMARC publicada en mayo de 2026 como RFC 9989, 9990 y 9991, que sustituye al RFC 7489 original. Eleva DMARC a la categoría de «estándar propuesto», endurece las reglas de alineación y mejora la generación de informes. Aunque no modifica los requisitos fundamentales para implementar DMARC, indica que el sector del correo electrónico considera ahora a DMARC como una infraestructura formal. Las organizaciones que ya cumplen con los requisitos existentes están bien posicionadas para DMARCbis.
8. ¿Exige ahora Microsoft el uso de DMARC a los remitentes masivos?
Sí. A partir del 5 de mayo de 2025, Microsoft exigirá el uso de SPF, DKIM y DMARC (con un valor mínimo de p=none) para todos los dominios que envíen más de 5.000 correos electrónicos al día a Outlook.com, Hotmail.com y Live.com. La aplicación de la política de rechazo total está en vigor desde noviembre de 2025. Los correos electrónicos que no cumplan con estos requisitos recibirán el código de error 550 5.7.515.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Política antiphishing de Office 365: cómo configurarla - 3 de junio de 2026
- Seguridad de los agentes de IA: riesgos, buenas prácticas y autenticación del correo electrónico - 2 de junio de 2026
- PowerDMARC ya se integra con HaloPSA - 1 de junio de 2026
