Cómo configurar DMARC: Guía de configuración paso a paso

Sólo 53,8% de las empresas en todo el mundo tienen DMARC configurado en su dominio, lo que significa que casi la mitad operan sin una capa crítica de protección contra los ataques basados en el correo electrónico. Muchas organizaciones siguen buscando cómo configurar DMARC, sin saber que la ausencia de este protocolo crea un punto de entrada fácil para la suplantación de identidad y los intentos de phishing.

La autenticación del correo electrónico es el núcleo de la seguridad del dominio. SPF, DKIM y DMARC trabajan conjuntamente para verificar quién está autorizado a enviar correo desde su dominio y cómo deben tratarse los mensajes sospechosos. SPF autoriza IPs de envío específicas, DKIM aplica una firma criptográfica que prueba la integridad del mensaje, y DMARC utiliza ambas para hacer cumplir la política y guiar a los servidores receptores sobre qué hacer si un mensaje no supera la autenticación. Incluso con SPF y DKIM en funcionamiento, un dominio sin DMARC permanece expuesto porque no hay instrucciones sobre cómo deben tratarse los mensajes fallidos.

Requisitos previos para la configuración de DMARC

Antes de pasar al proceso de configuración de DMARC, asegúrese de que dispone de lo siguiente:

1. Acceso a su consola de administración de DNS : esto es esencial para crear y publicar registros DNS.
2. Lista de remitentes de correo electrónico autorizados: Identifique todos los servicios y servidores que envían correos electrónicos en su nombre para evitar bloqueos involuntarios.
3. Registro SPF y/o DKIM existente en su DNS: Al menos uno de estos registros ya debería estar configurado en su DNS, ya que DMARC depende de ellos para la autenticación del correo electrónico. SPF (Sender Policy Framework) indica al servidor receptor de qué dominio debe esperar que provenga el correo electrónico, mientras que DKIM (DomainKeys Identified Mail) es un método de firma digital de sus correos electrónicos para verificar la autenticidad del remitente.

Advertencia: Si SPF/DKIM, DMARC no funcionará. Asegúrese de haber configurado correctamente cualquiera de los dos, o preferiblemente ambos, antes de pasar a los siguientes pasos.

Cómo configurar DMARC paso a paso

Para generar este registro de forma gratuita, utilice nuestra herramienta generadora de DMARC, como se muestra en la captura de pantalla anterior. Una vez que abra la herramienta, verá los campos obligatorios que debe rellenar antes de que se pueda crear el registro.

Para iniciar la configuración DMARC DNS, siga los pasos que se indican a continuación.

Paso 1: Crear el registro DMARC

Para empezar, cree un registro DNS TXT que contiene su política DMARC y activa el protocolo en su dominio. Un registro DNS TXT es una simple entrada de texto en la configuración DNS de su dominio que almacena información importante para servidores externos, como instrucciones de autenticación de correo electrónico. Cuando se añade al archivo de zona DNS de tu dominio, indica a los servidores de correo receptores cómo tratar los mensajes que dicen proceder de tu dominio.

Para generar este registro de forma gratuita, utilice nuestra herramienta generadora de DMARC, tal y como se muestra en la captura de pantalla anterior. Una vez que abra la herramienta, verá los campos obligatorios que debe completar antes de poder crear el registro.

Lea cómo Jordi Altimira (director de Implementación Técnica y Éxito del Cliente en Pablo Herreros) logró una puntuación de seguridad de dominio del 100 %con PowerDMARC.

Leer caso práctico Iniciar prueba de 15 días

Paso 2: Elija una política DMARC adecuada para sus correos electrónicos

La etiqueta de política p= es una parte obligatoria de cada registro DMARC. Indica a los servidores de correo receptores qué hacer con los correos electrónicos que no superan las comprobaciones SPF y DKIM. Si falta esta etiqueta, el registro DMARC no será válido y no se aplicará.

Paso 3: Habilite la generación de informes y haga clic en "Generar". 

Para realizar un seguimiento de su flujo de correo y de los resultados de autenticación, active los informes agregados DMARC (rua) especificando la dirección de correo electrónico en la que desea recibirlos. Los informes agregados DMARC son resúmenes XML diarios enviados por los proveedores de bandeja de entrada que muestran qué servidores están enviando correo en su nombre, cómo se comportaron esos mensajes frente a SPF y DKIM, y si alguna fuente no autorizada intentó utilizar su dominio. Después de introducir su dirección de informe, haga clic en "Generar" para crear su registro.

Paso 4: Publicar y validar la configuración del registro

Una vez creado el registro TXT, haga clic en el botón «Copiar» para copiar la sintaxis completa y, a continuación, abra la consola de administración de DNS.

Crear un nuevo registro TXT.

-En el campo Host/Nombre, introduce _dmarc (o _dmarc.tudominio.com, dependiendo de tu proveedor de DNS).

-En el campo Valor/Datos, pegue la sintaxis del registro DMARC que ha generado.

-Guarde el registro para publicarlo y completar su configuración DMARC.

Para obtener más información, lea nuestra guía completa sobre la publicación de un registro registro DMARC en DNS. Tenga en cuenta que las actualizaciones de DNS pueden tardar hasta 48 horas en propagarse por completo.

Verificación de la configuración DMARC

Después de haber configurado DMARC, debe verificar sus configuraciones para asegurarse de no encontrarse con el error muy común “No se encontró ningún registro DMARC” .

Para verificar su configuración, puede usar la herramienta gratuita de verificación DMARC de PowerDMARC. Para usarla:

1. Ingrese su nombre de dominio en el cuadro de destino (es decir, si la URL de su sitio web es https://company.com, su nombre de dominio será company.com )
2. Pulse el botón "Búsqueda
3. Ver los resultados en la pantalla

Recomendamos este método de verificación como alternativa a la verificación manual para una experiencia más rápida, precisa y sin complicaciones.

Consejos avanzados de configuración de DAMRC

Una vez que haya completado la configuración básica, aquí hay algunos consejos avanzados para mejorar su implementación:

Explicación de las políticas DMARC (¿cuál elegir?)

Para evitar la falsificación de sus correos electrónicos, debe configurar una política DMARC . Puede elegir entre tres políticas principales:

• Ninguno (p=ninguno): No se realiza ninguna acción en los correos electrónicos que no superan la autenticación DMARC. Esto es ideal para supervisar el tráfico de correo electrónico durante la configuración inicial.
• Cuarentena(p=quarantine): Los correos fallidos se marcan como sospechosos y se envían a las carpetas de spam/basura.
• Rechazar (p=rechazar): los correos electrónicos fallidos se bloquean y no se entregan.

Nota: Elija una política de "ninguno" para supervisar sus correos electrónicos antes de comprometerse con la aplicación total (p=cuarentena o p=rechazar).

Modos de alineación (estricta o relajada)

Alineación relajada

• Alineación SPF relajada (aspf=r):
  La alineación se aprueba si el dominio de la ruta de retorno (dominio autenticado SPF) comparte el mismo dominio organizativo que el dominio de la dirección del remitente.
  El dominio organizativo suele ser el dominio base (por ejemplo, example.com), sin incluir subdominios.

  Ejemplo:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Pasa la alineación SPF relajada porque ambos dominios comparten el mismo dominio organizativo (ejemplo.com).

• Alineación relajada DKIM (adkim=r):
  La alineación pasa si el dominio d= de la firma DKIM comparte el mismo dominio organizativo que el dominio de la dirección Del.

  Ejemplo:
  From: [email protected]
  DKIM-Signature: d=alerts.example.com
  ✔ Pasa la alineación DKIM relajada porque ambos comparten el mismo dominio organizativo (example.com).

Alineación estricta

• SPF alineación estricta (aspf=s):
  La alineación sólo se aprueba si el dominio de la ruta de retorno coincide exactamente con el dominio de la dirección del remitente.

  Ejemplo:
  From: [email protected]
  Return-Path: [email protected]
  ✔ Pasa la alineación estricta.

  ❌ Si Return-Path fuera [email protected] o bounce.mail.example.com, la alineación estricta fallaría.

• Alineación estricta DKIM (adkim=s):
  La alineación sólo se aprueba si el dominio d= de la firma DKIM coincide exactamente con el dominio de la dirección De.

  Ejemplo:
  From: [email protected]
  DKIM-Signature:[email protected]
  ✔ Pasa la alineación estricta.

  ❌ Si d=alerts.ejemplo.com o bounce.mail.ejemplo.com, la alineación estricta fallaría.

Ejemplo de configuración DMARC

A continuación se muestra un ejemplo de una configuración DMARC simple:

v=DMARC1; p=rechazar; rua=mailto:[email protected];

Nota : Al comenzar su proceso de autenticación de correo electrónico, puede mantener su política DMARC (p) en ninguna en lugar de rechazar, para monitorear su flujo de correo electrónico y resolver problemas antes de cambiar a una política estricta.

Sintaxis del registro DMARC y etiquetas opcionales

La sintaxis de su configuración de DMARC determina cómo se autenticarán sus correos electrónicos y las acciones que se tomarán tras la verificación. Exploremos algunos mecanismos principales:

• v (obligatorio): Especifica la versión DMARC. Debe ser DMARC1 y aparecer en primer lugar en el registro.
• p (obligatorio): Define la política para los fallos DMARC (ninguno, cuarentena o rechazo).
• rua (opcional): Especifica la(s) dirección(es) de correo electrónico para recibir informes agregados utilizando el formato mailto:.
• ruf (opcional):Especifica la(s) dirección(es) de correo electrónico para recibir informes de fallos forenses utilizando el formato mailto:.
• adkim (opcional): Establece el modo de alineación DKIM en r (relajado) o s (estricto). El modo por defecto es relajado, si no se define. 
• aspf (opcional): Establece el modo de alineación SPF en r (relajado) o s (estricto). El modo por defecto es relajado, si no se define. 
• pct (opcional): Define el porcentaje de correos electrónicos que fallan sujetos a la política DMARC (el valor predeterminado es 100).
• fo (opcional): Controla cuándo se envían los informes forenses. Las opciones son 0, 1, d y s.

Puede explorar más en nuestro blog detallado sobre etiquetas DMARC . Asegúrese de que las etiquetas estén separadas por punto y coma y que no haya espacios sobrantes para mantener un formato correcto.

Errores comunes en la configuración de DMARC que debe evitar

Los errores de configuración en DMARC suelen deberse a problemas de alineación, errores de sintaxis o lagunas en la supervisión continua. Un problema frecuente es SPF o DKIM mal alineados. DMARC exige que al menos uno de ellos esté alineado con el dominio "De". Si los dominios no coinciden, los correos electrónicos legítimos pueden fallar la autenticación aunque existan los registros. Esto es especialmente común cuando servicios de terceros envían en su nombre sin la configuración adecuada.

Otra fuente de problemas es sintaxis incorrecta en las etiquetas DMARC. Incluso un pequeño error de formato, como la falta de punto y coma, una etiqueta no admitida o un valor no válido, puede inutilizar todo el registro. Dado que los registros DMARC son leídos por máquinas, la precisión es importante.

Otro problema se produce cuando las organizaciones aplican políticas estrictas demasiado pronto. Pasar directamente a p=cuarentena o p=rechazar sin estudiar primero los informes agregados puede hacer que se bloquee correo legítimo. Los informes proporcionan una visión de todos los remitentes que utilizan su dominio, por lo que revisarlos antes de endurecer la aplicación ayuda a evitar interrupciones accidentales.

Además, muchas configuraciones fallan porque las direcciones de correo electrónico RUA y RUF no están actualizadas. Estas direcciones de informes deben permanecer activas y accesibles, o perderá visibilidad de los resultados de autenticación. Cuando la bandeja de entrada utilizada para los informes se desactiva o cambia sin actualizar el registro DMARC, la supervisión se interrumpe y los problemas pasan desapercibidos.

Lo esencial

DMARC es esencial para mantener a salvo su dominio, sus clientes y la reputación de su marca. Con la configuración adecuada y una supervisión periódica, evita la suplantación de identidad, reduce los riesgos de phishing y garantiza que sus correos electrónicos sigan siendo de confianza.

Y en un panorama en el que el fraude está en todas partes, una política DMARC sólida hace algo más que bloquear amenazas. Envía una señal clara de que su dominio se toma la seguridad en serio, de que no deja la puerta abierta para que los atacantes se cuelen.

Si desea una forma más rápida, sencilla y precisa de gestionar DMARC, explore PowerDMARC. Nuestra plataforma simplifica la configuración, ofrece informes claros y le ayuda a mantener una sólida protección en todas sus fuentes de envío. Inicie su prueba gratuita o reserve una demostración para proteger su dominio hoy mismo.

Preguntas más frecuentes (FAQ)

¿Cuánto tarda DMARC en empezar a funcionar después de la instalación?

DMARC empieza a funcionar en cuanto se propagan los cambios de DNS. Esto puede tardar desde unos minutos hasta 48 horas, dependiendo de su proveedor.

¿Puedo configurar DMARC sin DKIM o SPF?

Debe configurar al menos uno (SPF o DKIM) para que DMARC funcione. Sin ninguno de los dos, DMARC no tiene nada con lo que validar sus correos electrónicos.

¿Qué ocurre si configuro una política DMARC para "rechazar" demasiado pronto?

Los correos legítimos pueden ser bloqueados. Pasar a una política de rechazo antes de revisar informes DMARC puede hacer que los remitentes autorizados fallen la autenticación.

• Acerca de
• Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

• Estadísticas sobre phishing y DMARC: Tendencias en seguridad del correo electrónico para 2026 - 6 de enero de 2026
• Cómo solucionar el error «No se ha encontrado ningún registro SPF» en 2026 - 3 de enero de 2026
• SPF Permerror: Cómo solucionar un exceso de búsquedas DNS - 24 de diciembre de 2025