Requisitos DMARC en 2026
por
Tiempo de lectura: 3 min
En los últimos años, Google, Yahoo y otros grandes proveedores de correo electrónico han introducido cambios significativos en sus requisitos de seguridad del correo electrónico. Hoy en día, autenticar dominios con DMARC, DKIM, SPF y MTA-STS es una recomendación o un requisito en varios sectores y países.
Un cambio tan drástico en el planteamiento de los principales proveedores de correo electrónico, agencias gubernamentales y organismos reguladores es un claro reflejo de un esfuerzo global por reforzar la seguridad del correo electrónico. El objetivo es mejorar la entregabilidad del correo electrónico, reducir las tasas de spam y disminuir los ciberataques basados en el correo electrónico que pueden causar importantes violaciones de datos y daños a la reputación.
Con estos requisitos en rápida evolución, es probable que DMARC se convierta pronto en un componente integral de las estrategias de ciberseguridad obligatorias en todo el mundo.
Requisitos clave de DMARC en 2026
Requisitos globales de DMARC
- Requisitos de envío masivo de Google y Yahoo
Los remitentes masivos (más de 5.000 correos/día) deben autenticar los dominios con TLS, DKIM y SPF, y tener una política DMARC de al menos p=none. Los requisitos entraron en vigor inicialmente en febrero de 2024. En noviembre de 2025, Google anunció una aplicación más estricta de estos requisitos, y los correos electrónicos que no los cumplieran se enfrentarían a rechazos temporales y permanentes.
- Requisitos generales para remitentes de Google y Yahoo
También se espera que los remitentes generales de correo electrónico implanten SPF o DKIM para autenticar los correos legítimos y evitar los altos índices de spam y suplantación de identidad.
- Recomendaciones de la versión 4 de PCI-DSS
PCI DSS v4.0 recomienda mecanismos para evitar el phishing; las buenas prácticas sugieren utilizar DMARC, SPF y DKIM.
Requisitos DMARC regionales
| Región | Requisito Nombre | Requisitos Descripción | Fuente |
|---|---|---|---|
| Países de la UE | GDPR (Reglamento General de Protección de Datos) | En virtud del RGPD, usted está obligado a tener Acuerdos de Procesamiento de Datos (APD) con cada proveedor de servicios en la nube que, en nombre de su entidad, maneje los datos de los consumidores europeos. | Leer más |
| Países de la UE | DORA (Ley de resiliencia operativa digital) | Al aplicarse a 20 tipos diferentes de entidades financieras y proveedores de servicios TIC a terceros, la Ley de Resiliencia Operativa Digital (DORA) pretende armonizar las normas relativas a la resiliencia operativa del sector financiero (es decir, bancos, compañías de seguros, empresas de inversión, etc.). DMARC puede ser de gran importancia para las instituciones financieras, ya que ofrece protección contra los ciberataques basados en el correo electrónico, ayudando indirectamente a garantizar el cumplimiento de la Ley DORA. | Leer más |
| Canadá | Requisitos de configuración de los servicios de gestión del correo electrónico | Los correos electrónicos gubernamentales deben verificarse mediante SPF, DKIM y DMARC. | Leer más |
| Dinamarca | Requisitos técnicos mínimos para las autoridades gubernamentales | Los organismos públicos deben aplicar una política DMARC de p=reject en todos los dominios. | Leer más |
| Nueva Zelanda | Manual de seguridad de la información de Nueva Zelanda, versión 3.6 | Cambio del cumplimiento de los controles DMARC y DKIM de SHOULD a MUST y de la configuración de la política DMARC de p="none" a p="reject". | Leer más |
| Irlanda | Normas básicas de ciberseguridad para el sector público | Las Líneas Básicas de Ciberseguridad del Sector Público sugieren utilizar SPF, DKIM, DMARC y TLS para mejorar la seguridad del correo electrónico. Sin embargo, esto es solo una sugerencia y no un requisito. | Leer más |
| Países Bajos | "Normas "Cumplir o explicar | Es un requisito para las agencias gubernamentales implementar DMARC, junto con DKIM, SPF, STARTTLS y DANE. Esto forma parte de las normas "Cumplir o explicar" para la protección y autenticación del correo electrónico. | Leer más |
| Arabia Saudí | Guía para la implantación de controles esenciales de ciberseguridad (CEC) | Se recomienda a las organizaciones de Arabia Saudí que utilicen DKIM, SPF y DMARC como técnicas avanzadas de protección contra el phishing para filtrar los mensajes fraudulentos. | Leer más |
| REINO UNIDO | Manual de política de ciberseguridad de la Administración Principio | En marzo de 2024, la Política Gubernamental de Ciberseguridad sustituyó a la Política Mínima de Ciberseguridad. Esta actualización trasladó MTA-STS y TLS-RPT de "recomendado" a "obligatorio" y añadió una referencia a los registros PTR. | Leer más |
| Estados Unidos | Directiva Operativa Vinculante 18-01 | La directiva operativa vinculante 18-01 exige que todas las agencias federales utilicen STARTTLS, SPF, DKIM y una política DMARC de p=reject. | Leer más |
| Estados Unidos | HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios) | En virtud de la Ley de Portabilidad y Responsabilidad del Seguro Médico de 1996 (HIPAA), la Regla de Privacidad de la HIPAA determina las normas nacionales para salvaguardar cierta información sensible relacionada con la salud. DMARC puede ser una herramienta esencial para garantizar el cumplimiento de la normativa HIPAA. | Leer más |
| Australia | Manual de seguridad de la información de la ASD (Australian Signals Directorate) | Recomienda utilizar SPF, DKIM y DMARC para mantener a raya las amenazas basadas en el correo electrónico. | Leer más |
| Australia | Manual de seguridad de la información de la ASD (Australian Signals Directorate) | Recomienda utilizar SPF, DKIM y DMARC para mantener a raya las amenazas basadas en el correo electrónico. | Leer más |
| Australia | Cómo combatir los correos electrónicos falsos | Presenta recomendaciones para los profesionales de la seguridad y los operadores de servidores de correo electrónico sobre la aplicación de protocolos de autenticación de correo electrónico como SPF, DKIM y DMARC para minimizar la suplantación de identidad. | Leer más |
| Australia | Estrategias para mitigar los incidentes de ciberseguridad | Detalles de las estrategias de mitigación de riesgos cibernéticos de la Dirección Australiana de Señales (ASD). | Leer más |
| Bélgica | Protección y prevención del ransomware con DMARC, SPF y DKIM | Orientación facilitada por el Centro de Ciberseguridad de Bélgica. | Leer más |
| República Checa | Ley de Ciberseguridad - Orientaciones para su aplicación | Los dominios que envían correo electrónico deben disponer de un registro DMARC que cumpla los parámetros específicos mencionados en el RFC 7489. | Leer más |
| Finlandia | Cómo proteger sus servicios de Microsoft 365 | El Centro Nacional de Ciberseguridad de la Agencia Finlandesa de Transportes y Comunicaciones, Traficom, esboza estrategias de protección para los servidores Exchange Online. | Leer más |
| Francia | Directrices para un sistema de información sano | Sugerencias para implementar mecanismos de autenticación y configurar correctamente los registros DNS públicos relacionados con la infraestructura de correo electrónico (MX, SPF, DKIM, DMARC). | Leer más |
| Francia | Panorama de las ciberamenazas 2021 | Panorama de las ciberamenazas y posibles técnicas de mitigación publicado por la Agence Nationale De La Sécurité des Systèmes D'Information. | Leer más |
| Alemania | Recomendaciones de actuación para los proveedores de servicios de Internet | Publicaciones de BSI sobre ciberseguridad, que incluyen la seguridad del correo electrónico y la autenticación. | Leer más |
| India | Marco de ciberseguridad en los bancos | La normativa de nivel I del Banco de la Reserva de la India exige a las entidades financieras que apliquen medidas de seguridad adecuadas para prevenir las amenazas por correo electrónico. | Leer más |
| Noruega | Medidas básicas para la seguridad del correo electrónico | Incluye recomendaciones sobre la implantación de DMARC para mejorar la seguridad del correo electrónico. | Leer más |
| Filipinas | DICT sobre medidas de ciberseguridad contra el ransomware WannaCry | Aconseja activar filtros antispam potentes y autenticar el correo electrónico entrante mediante tecnologías como SPF, DMARC y DKIM para evitar la suplantación de identidad. | Leer más |
| Polonia | Ley de lucha contra los abusos en las comunicaciones electrónicas - Nuevas obligaciones para los proveedores de correo electrónico y las instituciones públicas | Desde el 25 de septiembre de 2023, las entidades públicas de Polonia están obligadas a implantar SPF, DKIM y DMARC para autenticar a los remitentes de correo electrónico y combatir la suplantación de identidad y el smishing. | Leer más |
| Portugal | Recomendación técnica 01/2019 y 01/2020 | Para mejorar la seguridad del correo electrónico en las organizaciones, se recomienda aplicar las normas SPF, DKIM y DMARC. Las cuatro medidas siguientes: configurar los registros SPF, DKIM, DMARC y MX en el DNS del dominio, ayudan a notificar a los destinatarios que los correos electrónicos no deben proceder de un dominio "aparcado" y que deben descartarse si lo hacen. Estas medidas deben aplicarse en el orden especificado para una eficacia óptima. | Leer más (2019) Leer más (2020) |
| Escocia | Marco de Ciberresiliencia del Sector Público Escocés V1.2 | Recomendación sobre la aplicación de DMARC junto con los registros DKIM y SPF, así como la activación del filtrado de spam y malware. La aplicación de políticas DMARC forzadas a los correos electrónicos entrantes también es una buena práctica extendida. | Leer más |
| Singapur | Compromiso del correo electrónico empresarial (BEC) Playbook | La publicación destacaba que las organizaciones pueden aprovechar DMARC para bloquear los correos electrónicos maliciosos y minimizar la suplantación de dominios y los intentos de phishing para que no lleguen a las bandejas de entrada de los destinatarios. | Leer más |
Por qué es importante el cumplimiento de DMARC en 2026
Las ventajas de utilizar registros DMARC:
- DMARC le protege a usted y a su empresa del phishing por correo electrónico, suplantación de dominiola suplantación de identidad y las amenazas que ponen en peligro el correo electrónico comercial (BEC).
- La reputación del remitente de correo electrónico mejora con la aplicación de DMARC.
- DMARC aumenta gradualmente la tasa de entrega de su correo electrónico en un 10%.
- Al implementar DMARC en el servidor de su dominio, puede asegurarse de que sus correos electrónicos nunca se marquen como spam, lo que aumentará las tasas de apertura.
Además, las empresas pueden rastrear fácilmente quién está autorizado a enviar correos electrónicos comerciales desde su dominio. Esto permite evitar prácticas deshonestas. ¿Cómo? Todos los servidores de correo electrónico receptores verificarán los correos entrantes para confirmar su legitimidad antes de entregarlos a las bandejas de entrada de los destinatarios una vez que publiques el registro DMARC de tu dominio en la entrada DNS.
Retos para cumplir los requisitos DMARC de 2026
Las empresas de todos los tamaños pueden enfrentarse a varios retos a la hora de cumplir los requisitos de DMARC en 2026:
1. Complejidades de la configuración manual
Implantación de protocolos como DMARC, SPF y DKIM puede ser un reto técnico, lo que provoca reticencias y, a menudo, errores de configuración. Sin embargo, gracias a las modernas soluciones automatizadas de los proveedores de servicios DMARC, este problema ha mejorado enormemente. Ahora, empresas de todos los tamaños pueden elegir entre una gama de proveedores que se adaptan a sus necesidades, evitando las molestias y la complejidad que conllevan los esfuerzos manuales.
2. Control de los obstáculos
La configuración de DMARC para cumplir los requisitos no se limita a la configuración del protocolo. Su viaje acaba de empezar. Para obtener los mejores resultados posibles de la implementación de DMARC, debe supervisar los resultados mediante informes. Aunque los informes sin procesar de DMARC pueden ser difíciles de descifrar, un analizador de informes DMARC los hace legibles y fáciles de supervisar, al tiempo que proporciona información práctica.
3. Gestión de remitentes de terceros
Es importante identificar todos los servicios de terceros que envían correos electrónicos en nombre del dominio. Debe asegurarse de que estos servicios autentiquen correctamente los correos electrónicos con firmas DKIM alineadas. Aunque hacerlo manualmente puede suponer un reto, los servicios DMARC gestionados pueden marcar una gran diferencia.
4. Problemas de entregabilidad del correo electrónico
Pasar de una política DMARC de p=none a p=reject requiere una supervisión cuidadosa. Las organizaciones a menudo temen bloquear correos electrónicos legítimos. Para garantizar una capacidad de entrega coherente, se recomienda aplicar DMARC gradualmente mientras se supervisan los canales de correo electrónico mediante informes.
5. Falta de experiencia
Muchos equipos informáticos carecen de conocimientos profundos sobre DMARC, SPF y DKIM. Las organizaciones pueden animar a sus empleados a optar por una formación gratuita sobre formación DMARC DMARC gratuitos para ampliar sus conocimientos. Alternativamente, la subcontratación de un proveedor de gestión de DMARC con un panel de expertos reduce el tiempo y el esfuerzo necesarios para formar y actualizar a los empleados existentes.
Cómo PowerDMARC ayuda con el cumplimiento normativo de 2026
PowerDMARC es una plataforma integral de autenticación de correo electrónico para cumplir los requisitos DMARC. PowerDMARC proporciona:
- Supervisión automatizada del cumplimiento de las cambiantes normativas DMARC.
- Orienta la aplicación de la política para pasar con seguridad de p=ninguno a p=rechazar.
- Inteligencia sobre amenazas en tiempo real para detectar intentos de phishing antes de que se produzcan.
- Organizaciones Fortune 100 y MSP de más de 90 países confían en nosotros.
- Alineación completa de SPF y DKIM para garantizar que los remitentes de terceros estén debidamente autenticados.
- Informes y análisis avanzados para obtener una visibilidad completa de los fallos de autenticación del correo electrónico con informes DMARC detallados.
- Compatibilidad conBIMI y MTA-STS para reforzar la confianza en la marca y la seguridad del correo electrónico con capas de autenticación adicionales.
- Optimización SPF automatizada para ayudar a evitar fallos en la búsqueda de SPF con Macros SPF.
Palabras finales
El año 2026 marca un punto de inflexión para la aplicación de DMARC, y las organizaciones deben actuar ahora para evitar interrupciones en el correo electrónico y riesgos de seguridad. Con políticas más estrictas por parte de los principales proveedores de correo electrónico, garantizar el cumplimiento ya no es opcional. ¿Tu dominio cumple con DMARC? Compruebe su estado de cumplimiento hoy mismo y tome las medidas necesarias para proteger sus canales de correo electrónico.
¡No esperes hasta que sea demasiado tarde! Para empezar, ponte en contacto con PowerDMARC hoy mismo y prueba prueba gratuita de DMARC y garantizar el pleno cumplimiento de los requisitos DMARC de 2026.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Integración de PowerDMARC con Splunk: visibilidad unificada para la seguridad del correo electrónico - 8 de enero de 2026
- ¿Qué es el doxxing? Una guía completa para comprenderlo y prevenirlo - 6 de enero de 2026
- Las mejores alternativas al correo electrónico de Palisade - 31 de diciembre de 2025
