DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo técnico de autenticación de mensajes salientes. DMARC sirve como primera línea de defensa contra una serie de amenazas basadas en el correo electrónico, como el phishing y la suplantación de identidad.

Para configurar DMARCnecesita crear un registro DMARC. El registro DMARC creado es un registro TXT que se publica en su DNS. Esto pone en marcha el proceso de autenticación del correo electrónico. Al configurar un registro DMARC, permite a los propietarios de dominios indicar a los receptores cómo deben responder a los correos electrónicos enviados desde fuentes no autorizadas o ilegítimas.

Puntos clave

Un registro DMARC es una entrada DNS TXT que ayuda a autenticar los mensajes de correo electrónico salientes y a evitar ataques de suplantación de identidad y phishing.
Elegir la política DMARC adecuada es esencial para controlar la gestión de correos electrónicos no autorizados.
Para implementar DMARC, el registro debe publicarse en el Sistema de Nombres de Dominio (DNS) utilizando herramientas como cPanel, GoDaddy o Cloudflare.
Incluso los dominios que no envían activamente correos electrónicos deberían tener un registro DMARC restrictivo, concretamente "p=reject", para evitar posibles abusos.
Para obtener resultados óptimos, se recomienda mantener un único registro DMARC por dominio e implementar la aplicación gradualmente para evitar problemas de entrega de correo electrónico.
Soluciones como PowerDMARC automatizan la gestión de registros DMARC y simplifican la supervisión mediante el uso de inteligencia sobre amenazas basada en IA.

¿Qué es un registro DMARC?

Un registro DMARC es un registro DNS TXT que especifica cómo deben tratar los servidores de correo electrónico los mensajes que no superan las comprobaciones de autenticación (SPF y DKIM). Ayuda a los propietarios de dominios a evitar la suplantación de identidad y el phishing indicando a los servidores destinatarios si deben rechazar, poner en cuarentena o permitir correos electrónicos no autorizados.

Componentes clave de un registro DMARC

1. Modos de política DMARC

La política DMARC define cómo deben tratar los receptores los correos electrónicos que no superan la autenticación DMARC. Se denota por "p". Puede tener cualquiera de los tres valores siguientes:

p=ninguno: Para no tomar ninguna acción contra los correos electrónicos no autorizados.
p=cuarentena: Para marcar los correos sospechosos.
p=reject: Para rechazar correos no autorizados antes de que lleguen a sus destinatarios.

2. Opciones de informes DMARC

Informes agregados (rua=): Se trata de informes resumidos que se envían a la dirección de correo electrónico especificada y muestran los resultados de autenticación de todos los correos electrónicos del dominio.
Informes forenses (ruf=): Son informes detallados de fallos que se envían cuando un correo electrónico no supera la autenticación DMARC.

3. Modos de alineación DMARC

Alineación SPF (aspf=): Determina si el dominio del remitente en la cabecera From: se alinea con el registro SPF. Existe la opción de alineación estricta (s) para una coincidencia exacta o alineación relajada (r) para una coincidencia organizativa.
Alineación DKIM (adkim=): Determina si el dominio de la firma DKIM se alinea con el dominio de la cabecera From:. Existe la opción de alineación estricta (s) para una coincidencia exacta o alineación relajada (r) para una coincidencia organizativa.

¿Cómo crear un registro DMARC?

Para crear un registro DNS DMARC para su dominio, asegúrese de que dispone de:

a) una herramienta fiable para generar el registro

b) acceso a su consola de gestión de DNS para publicar el registro

Siga los pasos que se indican a continuación para crear su registro:

1. Genere su registro DMARC

Regístrese para acceder a nuestro portal utilizando una dirección de correo electrónico o regístrate utilizando Gmail/Office 365. Vaya a Herramientas de análisis > PowerToolbox > Generador de registros DMARC para empezar a crear su registro DMARC.

3. Defina una política DMARC para su registro DMARC

Decidir una política DMARC en función del nivel de aplicación que desee (ninguno, cuarentena o rechazo). A continuación se explica cómo elegir la política de registro DMARC:

Si quieres que no se tomen medidas contra los correos electrónicos no solicitados enviados desde tu dominio, elige "ninguna".
Si desea poner en cuarentena los correos electrónicos que fallan DMARC, elija "cuarentena".
Si desea rechazar o descartar los correos electrónicos que no superen la autenticación, lo que puede minimizar los ataques de suplantación de identidad y phishing, elija "rechazar".

3. Configure los campos opcionales recomendados del registro DMARC

Aunque no todos los campos son obligatorios, le recomendamos que configure algunos campos opcionales útiles en su registro DMARC. Averigüemos cuáles son:

Campo de informes agregados (rua): Si configura el campo rua, recibirá los datos de autenticación DMARC directamente en su dirección de correo electrónico.
Campo de informe forense (ruf): Obtenga información sobre incidentes forenses como ciberataques configurando el campo ruf en su registro DMARC.
Modos de alineación DKIM/SPF" Elija si desea optar por una alineación relajada o estricta para SPF y/o DKIM.

¿Cómo publicar un registro DMARC?

Para publicar un registro DMARC, existen algunos requisitos previos:

Debe tener acceso a su consola de gestión de DNS
Debe tener permiso para editar y añadir nuevos registros DNS para su dominio

Publicación de su registro DMARC con cPanel

1. Acceda a su consola de gestión de DNS cPanel

2. En la sección Dominios, haga clic en Editor de zona DNS o Editor de zona avanzado

3. Añada un registro DMARC de tipo TXT (tex), rellenando los datos como se muestra a continuación. En el campo "datos TXT" o "valor", debe pegar su registro DMARC creado anteriormente.

Publicación de un registro DMARC con Godaddy

Inicie sesión en su cartera de dominios de GoDaddy para acceder a la zona DNS
En Nombre de dominio, busque y seleccione su dominio de envío de correo electrónico
Debajo de su nombre de dominio, haga clic en DNS
Ahora seleccione Añadir nuevo registro y comience a publicar su registro con los siguientes detalles:

Tipo: TXT

Nombre: _dmarc

Valor: pegue el valor de su registro DMARC

Publicación de un registro DMARC con Cloudflare

Inicie sesión en su cuenta de Cloudflare.
Seleccione la cuenta y el dominio deseados.
Vaya a DNS y haga clic en Añadir registro
Pegue el registro DMARC generado en la sección Añadir registro, como en el ejemplo siguiente:

Verificación de su registro DMARC

Para verificar su registro DMARC y evitar el común "No se ha encontrado ningún registro DMARC" puede utilizar nuestra herramienta de verificación gratuita.

1. Regístrese gratuitamente y vaya a Herramientas de análisis > PowerToolbox > DMARC Record Checker

2. Revise el estado, la sintaxis y las etiquetas de su registro DMARC para descubrir cualquier error que pueda tener.

Errores comunes en los registros DMARC

Estado	Qué significa	¿Qué puede hacer?
Válido	Su registro DMARC es correcto y no contiene errores	No hacer nada
No válido	Su registro DMARC tiene errores. Esto puede deberse a una sintaxis incompleta o errónea.	Revise su sintaxis, consulte nuestra guía completa sobre etiquetas DMARC o póngase en contacto con nosotros para obtener ayuda de expertos.
No se ha encontrado ningún registro	No había ningún registro DMARC en su DNS.	Cree un registro DMARC para su dominio y publíquelo en su DNS.

Una vez que detecte errores en su registro, debe implementar los cambios necesarios en su DNS y guardar los cambios. Puede volver a comprobar su registro una vez procesados los cambios.

Registro DMARC para dominios no remitentes

La mayoría de las personas se limitan a proteger sus dominios activos, pero no saben que los atacantes pueden suplantar incluso sus dominios no remitentes para enviar correos electrónicos falsos en su nombre. Para evitarlo, siga estos pasos DMARC para sus dominios no remitentes:

Publicar un registro DMARC no permisivoComienza publicando un registro DMARC para el dominio inactivo con una política aplicada como p=reject.
Ignorar informes: Dado que el dominio no envía correos electrónicos, no es necesario configurar informes RUA o RUF para él.
Publique un registro SPF restrictivo: Establezca v=spf1 -all para impedir el envío de correo electrónico.
Desactive los servicios de correo electrónico integrados: Si el dominio sigue vinculado a servidores de correo electrónico externos, puede ser una buena decisión restringirlos si el dominio ya no está en uso.

Consecuencias de no proteger los dominios inactivos

No implantar DMARC para sus dominios no remitentes puede acarrear diversas consecuencias, como por ejemplo

Mayor riesgo de ataques de suplantación de identidad y phishing
Daños a la reputación de la marca y del dominio
Abuso de dominio que pasa desapercibido durante largos periodos de tiempo

Un único registro DMARC por dominio

Al configurar su registro DMARC, es importante publicar una única entrada de registro por dominio. Varios registros DMARC para un mismo dominio pueden provocar conflictos y fallos de autenticación injustificados.

Por qué los registros DMARC múltiples son un problema

Fallos de autenticación de correo electrónico: Los receptores de correo electrónico pueden no saber qué registro DMARC seguir.
Desconfiguraciones e incoherencias: Las políticas contradictorias (por ejemplo, un registro que utiliza p=ninguno y otro que utiliza p=rechazar) conducen a una aplicación impredecible.
Informes inexactos: Los informes DMARC pueden ser incompletos o poco fiables.

Buenas prácticas para una correcta implantación de DMARC

Para garantizar la correcta configuración de los registros DMARC, a continuación se indican las mejores prácticas para su implementación:

Publique un único registro para DMARC por dominio.
Evite configurar el DMARC sp a menos que desee que sus subdominios tengan una política diferente.
Utilice una herramienta de comprobación DMARC para validar su registro después de publicarlo.
Supervise regularmente sus informes DMARC para asegurarse de que las actividades sospechosas no pasan desapercibidas.

Pasos siguientes tras publicar un registro DMARC

Después de publicar su registro DMARC, su siguiente paso debería ser centrarse en proteger su dominio de estafadores y suplantadores. Esa es tu agenda principal cuando estás implementando protocolos de seguridad y servicios de autenticación de correo electrónico.

La simple publicación de un registro DMARC con una política p=none no ofrece ninguna protección contra los ataques de suplantación de dominio y el fraude por correo electrónico. Para ello, debe cambiar a DMARC enforcement.

Para cambiar a la aplicación de DMARC, lo mejor es un enfoque gradual para obtener los mejores resultados sin ningún impacto negativo en la capacidad de entrega. Aquí tienes un proceso paso a paso que puedes seguir:

Comience con una política p=none, que es su modo de monitorización.
Active los informes DMARC de su dominio para analizar el tráfico de correo electrónico y la capacidad de entrega.
Cambie a cuarentena, manteniendo el pct (porcentaje) en 10, y auméntelo gradualmente hasta el 100% en el transcurso de un par de semanas.
Una vez que esté seguro de su configuración, cambie a p=reject, manteniendo pct en el ajuste de porcentaje más bajo y aumentando gradualmente hasta la ejecución total para el 100% de su volumen de correo.

Cómo PowerDMARC simplifica la gestión de registros DMARC

Para las organizaciones que operan con múltiples dominios, o simplemente para aquellas que no desean permitirse la molestia de configurar y mantener manualmente los registros DMARC, existe PowerDMARC. Una solución sencilla y fácil de usar que automatiza la gestión de registros DMARC bajo un mismo techo. Gracias a la tecnología de inteligencia de amenazas basada en IA y a los informes detallados, PowerDMARC ha ayudado a más de 2.000 clientes de todo el mundo a simplificar su proceso DMARC.

Para empezar, prueba gratis 15 días de prueba de la plataforma.

Preguntas frecuentes sobre el registro DMARC

1. ¿Por qué necesito un registro DMARC?

Los registros DMARC ayudan a prevenir la suplantación de dominios, reduciendo así el riesgo de varias amenazas basadas en el correo electrónico como phishing, spoofing y ataques de ransomware. Sin un registro DMARC, su dominio corre un mayor riesgo de ser puesto en peligro o mal utilizado por los actores de amenazas.

2. ¿Cuáles son los errores de registro DMARC más comunes?

Algunas configuraciones erróneas comunes de DMARC incluyen:

Tener varios registros DMARC, ya que un dominio sólo puede tener un registro DMARC.
Errores de sintaxis como formato incorrecto (por ejemplo, falta de punto y coma o espacios).
Valores de política no válidos como el uso de etiquetas incorrectas como p=rejected en lugar de p=reject.
Las direcciones de correo electrónico incorrectas, como rua o ruf, provocan que no se entreguen los informes.

3. ¿Puedo tener varios registros DMARC para un mismo dominio?

No, un dominio sólo puede tener un registro DMARC. Si existen varios registros, los proveedores de correo electrónico pueden ignorar la configuración, lo que provoca fallos de autenticación y brechas de seguridad.

4. ¿Cuánto tarda en propagarse un registro DMARC?

El tiempo de propagación del registro DMARC suele variar desde unos minutos hasta 48 horas, dependiendo de la caché DNS y la configuración TTL (Time-to-Live).

5. ¿Qué ocurre si mi registro DMARC no es válido?

Si un registro DMARC no es válido, puede dar lugar a diversos problemas, como intentos o comprobaciones de autenticación fallidos y problemas de entregabilidad del correo electrónico, e incluso su dominio puede ser vulnerable a la suplantación de identidad.

6. ¿Qué ocurre si el dominio no ha publicado un registro DMARC?

Si eres un remitente masivo con un registro DMARC sin publicar, te enfrentarás a rechazos de correo electrónico al enviar mensajes a Google y Yahoo . Además, su dominio puede convertirse en un objetivo principal para los atacantes, ya que no habrá restricciones para suplantarlo.

Acerca de
Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

¿Qué es DMARC? Una guía sencilla para la protección del correo electrónico - 11 de julio de 2025
Cómo leer los informes DMARC: Tipos, herramientas y consejos - 10 de julio de 2025
Cómo crear y publicar un registro DMARC - 3 de marzo de 2025

Cómo crear y publicar un registro DMARC