Cómo crear y publicar un registro DMARC
por
Última actualización: 9 tiempo de lectura: 9 minutos
Puntos clave
- Un registro DMARC es una entrada DNS TXT que ayuda a autenticar los mensajes de correo electrónico salientes y a evitar ataques de suplantación de identidad y phishing.
- Elegir la política DMARC adecuada es esencial para controlar la gestión de correos electrónicos no autorizados.
- Para implementar DMARC, el registro debe publicarse en el Sistema de Nombres de Dominio (DNS) utilizando herramientas como cPanel, GoDaddy o Cloudflare.
- Incluso los dominios que no envían activamente correos electrónicos deberían tener un registro DMARC restrictivo, concretamente "p=reject", para evitar posibles abusos.
- Para obtener resultados óptimos, se recomienda mantener un único registro DMARC por dominio e implementar la aplicación gradualmente para evitar problemas de entrega de correo electrónico.
- Soluciones como PowerDMARC automatizan la gestión de registros DMARC y simplifican la supervisión mediante el uso de inteligencia sobre amenazas basada en IA.
DMARC, o Autenticación, Informes y Conformidad de Mensajes Basados en Dominios, es un protocolo técnico para autenticar mensajes salientes. DMARC sirve como primera línea de defensa contra una variedad de amenazas basadas en el correo electrónico, incluyendo el phishing y el spoofing.
Para configurar DMARC, es necesario crear un registro DMARC. El registro DMARC creado es un registro TXT que luego se publica en su DNS. Esto inicia el proceso de autenticación de correo electrónico.
Al configurar un registro DMARC, usted permite a los propietarios de dominios indicar a los destinatarios cómo deben responder a los correos electrónicos enviados desde fuentes no autorizadas o ilegítimas.
Consejo experto de Maitham Al Lawati: «Para las organizaciones del sector sanitario o financiero, DMARC no solo es una cuestión de seguridad, sino también de cumplir con estrictos requisitos de conformidad. Empiece por supervisar y luego aplique las medidas».
Esta guía le explica cómo crear y publicar correctamente un registro TXT de DMARC en DNS, además de cómo verificarlo y solucionar los errores más comunes.
¿Qué son los registros DMARC?
Un registro DMARC es un registro DNS TXT que especifica cómo deben gestionar los servidores de correo electrónico los mensajes que no superan las comprobaciones de autenticación (SPF y DKIM).
Ayuda a los propietarios de dominios evitar la suplantación de identidad en el correo electrónico y el phishing indicando a los servidores receptores si deben rechazar, poner en cuarentena o permitir los correos electrónicos no autorizados.
Anatomía de un registro DMARC
Comprender cada etiqueta DMARC es esencial para una configuración adecuada. A continuación se ofrece un desglose completo de todos los componentes del registro DMARC:
| Etiqueta | Descripción | Valores posibles | Ejemplo |
|---|---|---|---|
| v | Versión (obligatorio) | DMARC1 | v=DMARC1 |
| p | Política para el dominio (obligatorio) | ninguno, cuarentena, rechazar | p=cuarentena |
| rua | Correo electrónico del informe global | Dirección de correo electrónico | rua=mailto:[email protected] |
| ruf | Informe forense por correo electrónico | Dirección de correo electrónico | ruf=mailto:[email protected] |
| sp | Política de subdominios | ninguno, cuarentena, rechazar | sp=rechazar |
| adkim | Modo de alineación DKIM | r (relajado), s (estricto) | adkim=r |
| aspf | Modo de alineación SPF | r (relajado), s (estricto) | aspf=r |
| pct | Porcentaje de correos electrónicos a los que se aplica la política | 0-100 | pct=25 |
| para | Opciones forenses | 0, 1, d, s | fo=1 |
| rf | Formato del informe | afrf | rf=afrf |
| ri | Intervalo de informe (segundos) | Número | ri=86400 |
Ejemplos de registros DMARC
A continuación se muestran ejemplos reales de registros DMARC para diferentes casos de uso. Copiarlos y personalizarlos para su dominio:
Modo de supervisión básico (recomendado para principiantes)
- v=DMARC1; p=none; rua=mailto:[email protected]
- Caso de uso: Implementación inicial de DMARC para supervisar el tráfico de correo electrónico sin aplicación.
Política de cuarentena con notificación
- v=DMARC1; p=cuarentena; rua=mailto:[email protected]; ruf=mailto:[email protected]; pct=25
- Caso de uso: aplicación gradual que afecta al 25 % de los correos electrónicos, con informes tanto agregados como forenses.
Política de cumplimiento estricto
- v=DMARC1; p=rechazar; sp=rechazar; rua=mailto:[email protected]; adkim=s; aspf=s
- Caso de uso: Protección completa con alineación estricta tanto para el dominio como para los subdominios.
Protección de dominios que no envían correos
- v=DMARC1; p=rechazar; sp=rechazar; adkim=s; aspf=s
- Caso de uso: Dominios que no envían correos electrónicos pero necesitan protección contra la suplantación de identidad.
Explicación de las etiquetas de registro DMARC
1. Modos de política DMARC
La política DMARC define cómo deben tratar los receptores los correos electrónicos que no superan la autenticación DMARC. Se denota por "p". Puede tener cualquiera de los tres valores siguientes:
- p=none: No tomar ninguna medida contra los correos electrónicos no autorizados.
- p=cuarentena: Para marcar correos electrónicos sospechosos.
- p=rechazar: Para rechazar los correos electrónicos no autorizados antes de que lleguen a sus destinatarios.
2. Opciones de informes DMARC
- Informes agregados (rua=): Son informes resumidos que se envían a la dirección de correo electrónico especificada y muestran los resultados de la autenticación de todos los correos electrónicos del dominio.
- Informes forenses (ruf=): Son informes detallados que se envían cuando un correo electrónico no supera la autenticación DMARC.
3. Modos de alineación DMARC
- Alineación SPF (aspf=): Determina si el dominio del remitente en el encabezado «De:» coincide con el registro SPF. Existe la opción de elegir entre una alineación estricta (s) para una coincidencia exacta o una alineación flexible (r) para una coincidencia organizativa.
- Alineación DKIM (adkim=): Determina si la firma DKIM se alinea con el dominio del encabezado «De:». Existe la opción de elegir entre una alineación estricta (s) para una coincidencia exacta o una alineación flexible (r) para una coincidencia organizativa.
Cómo funciona DMARC con los subdominios
La etiqueta «sp» (política de subdominio) controla cómo se aplican las políticas DMARC a los subdominios. Si no se especifica, los subdominios heredan la política del dominio principal.
- Herencia: Los subdominios heredan automáticamente la política DMARC del dominio principal.
- Anular: Utilice la etiqueta «sp=» para establecer diferentes políticas para los subdominios.
- Mejores prácticas: Establezca políticas más estrictas para los subdominios que no envían correos electrónicos.
¿Cómo crear un registro DMARC?
Para crear un registro DNS DMARC para su dominio, asegúrese de que dispone de:
- a) una herramienta fiable para generar el registro
- b) acceso a su consola de gestión de DNS para publicar el registro
Siga los pasos que se indican a continuación para crear su registro:
1. Genere su registro DMARC
Regístrese para acceder a nuestro portal utilizando una dirección de correo electrónico o regístrate utilizando Gmail/Office 365. Vaya a Herramientas de análisis > PowerToolbox > Herramienta gratuita de generación de registros DMARC para empezar a crear su registro DMARC.
2. Defina una política DMARC para su registro DMARC.
Decidir una política DMARC en función del nivel de aplicación que desee (ninguno, cuarentena o rechazo). A continuación se explica cómo elegir la política de registro DMARC:
- Si quieres que no se tomen medidas contra los correos electrónicos no solicitados enviados desde tu dominio, elige "ninguna".
- Si desea poner en cuarentena los correos electrónicos que fallan DMARC, elija "cuarentena".
- Si desea rechazar o descartar los correos electrónicos que no superen la autenticación, lo que puede minimizar los ataques de suplantación de identidad y phishing, elija "rechazar".
3. Configure los campos opcionales recomendados del registro DMARC
Aunque no todos los campos son obligatorios, le recomendamos que configure algunos campos opcionales útiles en su registro DMARC. Averigüemos cuáles son:
- Campo de informes agregados (rua): Si configura el campo rua, recibirá los datos de autenticación DMARC directamente en su dirección de correo electrónico.
- Campo de informe forense (ruf): Obtenga información sobre incidentes forenses como ciberataques configurando el campo ruf en su registro DMARC.
- Modos de alineación DKIM/SPF" Elija si desea optar por una alineación relajada o estricta para SPF y/o DKIM.
¿Cómo publicar un registro DMARC?
Para publicar un registro DMARC, existen algunos requisitos previos:
- Debe tener acceso a su consola de gestión de DNS
- Debe tener permiso para editar y añadir nuevos registros DNS para su dominio
Publicación de su registro DMARC con cPanel
1. Acceda a su consola de gestión de DNS cPanel
2. En la sección Dominios, haga clic en Editor de zona DNS o Editor de zona avanzado
3. Añade un registro DMARC de tipo TXT (texto) y rellena los datos como se muestra a continuación. En el campo «Datos TXT» o «valor», debes pegar el registro DMARC que has creado anteriormente.
Publicación de un registro DMARC con Godaddy
- Inicie sesión en su cartera de dominios de GoDaddy para acceder a la zona DNS
- En Nombre de dominio, busque y seleccione su dominio de envío de correo electrónico
- Debajo de su nombre de dominio, haga clic en DNS
- Ahora seleccione Añadir nuevo registro y comience a publicar su registro con los siguientes detalles:
- Tipo: TXT
- Nombre: _dmarc
- Valor: pega el valor de tu registro DMARC
Publicación de un registro DMARC con Cloudflare
- Inicie sesión en su cuenta de Cloudflare.
- Seleccione la cuenta y el dominio deseados.
- Vaya a DNS y haga clic en Añadir registro
- Pegue el registro DMARC generado en la sección Añadir registro, como en el ejemplo siguiente:
He aquí por qué más de 10 000 clientes confían en PowerDMARC.
- Enorme reducción de los intentos de suplantación de identidad y los correos electrónicos no autorizados.
- Incorporación más rápida + gestión automatizada de la autenticación
- Inteligencia y notificación de amenazas en tiempo real en todos los dominios
- Mejores tasas de entrega de correo electrónico gracias a la estricta aplicación de DMARC.
Verificación de su registro DMARC
Para verificar su registro DMARC y evitar el error común error «No se ha encontrado ningún registro DMARC» , puede utilizar nuestra herramienta de verificación gratuita.
1. Regístrese gratis y vaya a Herramientas de análisis > PowerToolbox > Herramienta de verificación de registros DMARC.
2. Revise el estado, la sintaxis y las etiquetas de su registro DMARC para descubrir cualquier error que pueda tener.
¿Listo para verificar tu registro DMARC? Utilice el verificador DMARC gratuito de PowerDMARC.
Solución de problemas comunes relacionados con los registros DMARC
Utilice esta lista de verificación paso a paso para resolver problemas comunes relacionados con los registros DMARC:
| Problema | Síntomas | Solución |
|---|---|---|
| No se encontró el registro | La búsqueda de DNS no devuelve resultados. | Verifique que el registro se publique como tipo TXT con el nombre «_dmarc». |
| Errores de sintaxis | Error en la validación del registro | Comprueba si faltan punto y coma, espacios adicionales o errores tipográficos. |
| Registros múltiples | Aplicación inconsistente de las políticas | Eliminar registros duplicados, conservar solo uno por dominio. |
| Retrasos en la propagación | Cambios no visibles globalmente | Espere entre 24 y 48 horas para que se complete la propagación del DNS. |
| Direcciones de correo electrónico no válidas | Informes no recibidos | Verifique que las direcciones de correo electrónico rua/ruf sean válidas y accesibles. |
Lista de verificación rápida para la resolución de problemas
|
Errores comunes en los registros DMARC
| Estado | Qué significa | ¿Qué puede hacer? |
|---|---|---|
| Válido | Su registro DMARC es correcto y no contiene errores | No hacer nada |
| No válido | Su registro DMARC tiene errores. Esto puede deberse a una sintaxis incompleta o errónea. | Revise su sintaxis, consulte nuestra guía completa sobre etiquetas DMARC o póngase en contacto con nosotros para obtener ayuda de expertos. |
| No se ha encontrado ningún registro | No había ningún registro DMARC en su DNS. | Cree un registro DMARC para su dominio y publíquelo en su DNS. |
Una vez que detecte errores en su registro, debe implementar los cambios necesarios en su DNS y guardar los cambios. Puede volver a comprobar su registro una vez procesados los cambios.
Registro DMARC para dominios no remitentes
La mayoría de las personas se limitan a proteger sus dominios activos, pero los atacantes pueden suplantar incluso sus dominios que no envían correos electrónicos para enviar correos electrónicos falsos en su nombre. Para evitarlo, estos son los pasos que debe seguir para implementar DMARC para sus dominios que no envían correos:
- Publica un registro DMARC no permisivo: comience por publicar un registro DMARC para el dominio inactivo con una política aplicada como p=reject.
- Habilitar informes (recomendado): Aunque su dominio no envíe correos electrónicos, los atacantes pueden suplantarlo para enviar mensajes de phishing. Los informes DMARC te avisan cuando esto ocurre.
- Publique un registro SPF restrictivo: Establezca v=spf1 -all para impedir el envío de correos electrónicos.
- Desactivar los servicios de correo electrónico integrados: Si el dominio sigue vinculado a servidores de correo electrónico externos, puede ser conveniente restringirlos si el dominio ya no se utiliza.
Consecuencias de no proteger los dominios inactivos
No implantar DMARC para sus dominios no remitentes puede acarrear diversas consecuencias, como por ejemplo
- Mayor riesgo de ataques de suplantación de identidad y phishing
- Daños a la reputación de la marca y del dominio
- Abuso de dominios que pasa desapercibido durante largos periodos de tiempo
Un único registro DMARC por dominio
Al configurar su registro DMARC, es importante publicar una sola entrada de registro por dominio. Varios registros DMARC para un solo dominio pueden causar conflictos y fallos de autenticación injustificados.
Por qué los registros DMARC múltiples son un problema
- Fallos en la autenticación del correo electrónico: Es posible que los destinatarios de los correos electrónicos no sepan qué registro DMARC deben seguir.
- Configuraciones erróneas e inconsistencias: Las políticas contradictorias (por ejemplo, un registro que utiliza p=none y otro que utiliza p=reject) dan lugar a una aplicación impredecible.
- Informes inexactos: Los informes DMARC pueden ser incompletos o poco fiables.
Buenas prácticas para una correcta implantación de DMARC
Para garantizar la configuración correcta del registro DMARC, estas son las mejores prácticas para su implementación:
- Publique un único registro para DMARC por dominio.
- Evite configurar el DMARC sp a menos que desee que sus subdominios tengan una política diferente.
- Utilice una herramienta de comprobación DMARC para validar su registro después de publicarlo.
- Supervise regularmente sus informes DMARC para asegurarse de que las actividades sospechosas no pasan desapercibidas.
Pasos siguientes tras publicar un registro DMARC
Después de publicar su registro DMARC, su siguiente paso debería ser centrarse en proteger su dominio de estafadores y suplantadores. Esa es tu agenda principal cuando estás implementando protocolos de seguridad y servicios de autenticación de correo electrónico.
El simple hecho de publicar un registro DMARC con una política p=none no ofrece ninguna protección contra los ataques de suplantación de dominio y el fraude por correo electrónico. Para ello, es necesario pasar a la aplicación de DMARC.
Para cambiar a la aplicación de DMARC, lo mejor es un enfoque gradual para obtener los mejores resultados sin ningún impacto negativo en la capacidad de entrega. Aquí tienes un proceso paso a paso que puedes seguir:
- Comience con una política p=none, que es su modo de monitorización.
- Habilita los informes DMARC para tu dominio para analizar el tráfico y la capacidad de entrega de su correo electrónico y la capacidad de entrega.
- Cambie a cuarentena, manteniendo el pct (porcentaje) en 10, y auméntelo gradualmente hasta el 100% en el transcurso de un par de semanas.
- Una vez que esté seguro de su configuración, cambie a p=reject, manteniendo pct en el ajuste de porcentaje más bajo y aumentando gradualmente hasta la ejecución total para el 100% de su volumen de correo.
Cómo PowerDMARC simplifica la gestión de registros DMARC
Para las organizaciones que operan con múltiples dominios, o simplemente aquellas que no desean complicarse con la configuración y el mantenimiento manuales de los registros DMARC, existe PowerDMARC. Una solución sencilla y fácil de usar que automatiza la gestión de registros DMARC bajo un mismo techo. Gracias a la tecnología de inteligencia de amenazas basada en IA y a sus informes detallados, PowerDMARC ha ayudado a más de 2000 clientes de todo el mundo a simplificar su transición a DMARC.
Ofrece:
- Gestión multidominio y multicliente desde un único panel de control.
- Incorporación y asistencia con guantes blancos
- Certificado para el cumplimiento de SOC2, ISO27001 y GDPR.
Para empezar, prueba gratis Prueba gratuita de 15 días de protección DMARC de la plataforma hoy mismo.
Preguntas frecuentes
1. ¿Cómo añado un registro DMARC?
Para añadir un registro DMARC: 1) Genere su registro DMARC utilizando una herramienta como el generador de PowerDMARC, 2) Acceda a su consola de administración de DNS, 3) Cree un nuevo registro TXT con el nombre «_dmarc» y pegue su registro DMARC como valor, 4) Guarde los cambios y espere a que se propague el DNS (hasta 48 horas).
2. ¿Qué ocurre si no tengo un registro DMARC?
Sin un registro DMARC, su dominio es vulnerable a ataques de suplantación de identidad y phishing. Los proveedores de correo electrónico como Gmail y Yahoo pueden rechazar los correos electrónicos de remitentes masivos sin DMARC. La reputación de su dominio puede verse dañada por el uso no autorizado y no tendrá visibilidad de los fallos de autenticación del correo electrónico.
3. ¿Cómo es un registro DMARC típico?
Un registro DMARC básico se publica como un registro DNS TXT en _dmarc.tudominio.com y suele comenzar en modo de supervisión. Un ejemplo habitual es el siguiente:
v=DMARC1; p=none; rua=mailto:[email protected]
Qué hace esto:
- v=DMARC1 identifica el registro como una política DMARC.
- p=none permite la supervisión sin bloquear los correos electrónicos.
- rua especifica dónde se envían los informes DMARC agregados.
Esta configuración le permite observar los resultados de la autenticación y detectar intentos de suplantación de identidad sin afectar a la entrega del correo electrónico. Una vez que haya revisado los informes y confirmado que todos los remitentes legítimos están alineados, puede pasar gradualmente a p=cuarentena o p=reject para su aplicación.
Experto en ciberseguridad, CEO de PowerDMARC
Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.
Últimos comentarios de Maitham Al Lawati (ver todos)
- Estadísticas sobre phishing y DMARC: Tendencias en seguridad del correo electrónico para 2026 - 6 de enero de 2026
- Cómo solucionar el error «No se ha encontrado ningún registro SPF» en 2026 - 3 de enero de 2026
- SPF Permerror: Cómo solucionar un exceso de búsquedas DNS - 24 de diciembre de 2025
