¿Qué es una política DMARC? Ninguna, Cuarentena y Rechazo

A principios de 2024, Google y Yahoo dejaron claro que todos los remitentes masivos deben tener DMARC en vigor. Este requisito convirtió la configuración de la política DMARC de un paso técnico rutinario en una prioridad urgente para organizaciones de todos los tamaños. Tras el anuncio, los equipos comenzaron a revisar, actualizar y aplicar sus políticas DMARC para cumplir las nuevas normas, evitar problemas de entregabilidad y reducir el riesgo de uso indebido de dominios, ya que las amenazas del correo electrónico seguían creciendo.

Establecer la política adecuada ayuda a las organizaciones a proteger su marca, empleados y clientes de los intentos de suplantación de identidad. Y aunque una política DMARC por sí sola no puede resolver todos los problemas de seguridad del correo electrónico, sigue siendo una de las defensas más eficaces contra el phishing y los ataques de suplantación de identidad.

En este artículo, exploramos la política DMARC, cómo implementarla, los retos y beneficios, y por qué debería optar por nuestra solución DMARC alojada para la implementación de políticas.

¿Qué es una política DMARC?

La política DMARC es un sistema de validación de correo electrónico que utiliza el Sistema de Nombres de Dominio (DNS) para indicar a los servidores de correo receptores cómo tratar los correos electrónicos que afirman proceder de su propio dominio pero que no superan las comprobaciones de autenticación. Se indica mediante la etiqueta "p" en el registro DMARC que especifica la acción que los servidores de correo deben realizar si un correo electrónico no supera la validación DMARC.

Una política correctamente aplicada le permite decidir el grado de rigor con el que los proveedores de correo electrónico deben tratar los mensajes que no superan la autenticación. En pocas palabras, usted elige el nivel de aplicación que desea que se aplique a los mensajes sospechosos o no autorizados.

Puede configurar su política para:

• Dejar pasar de todos modos (p=ninguno)
• Marcar como sospechoso(p=cuarentena)
• Bloquearlo completamente (p=rechazar)

La etiqueta p= de su registro DMARC es la que controla este comportamiento. Indica a los servidores receptores qué nivel de cumplimiento deben aplicar, lo que la convierte en una de las partes más importantes de la configuración DMARC. Una política más estricta, como p=reject, ofrece la mayor protección, ya que impide la entrega de mensajes falsificados o no autorizados.

Las 3 opciones de política DMARC

Antes de elegir una póliza, conviene saber qué hace cada opción y cómo afecta a la protección de su dominio.

Los tres tipos de políticas DMARC son

1. Política DMARC: Ninguna (p=none)

La política DMARC ninguna (p=none) es un modo relajado que no desencadena ninguna acción por parte del receptor. Esta política se puede utilizar para supervisar la actividad del correo electrónico y se suele utilizar durante la fase inicial de implementación de DMARC para la supervisión y la recopilación de datos.

No proporciona ningún nivel de protección contra ciberataques y permite que se entreguen todos los mensajes, independientemente de los resultados de la autenticación. Esta opción se especifica en el registro DMARC mediante la etiqueta "p=none".

Ejemplo: v=DMARC1; p=none; rua= mailto:(dirección de correo electrónico);

Cuándo utilizar p=ninguno

• Utilice esta directiva cuando desee supervisar el tráfico de correo electrónico antes de aplicar DMARC.
• Ideal para dominios que siguen identificando todas las fuentes de envío legítimas.
• Los servidores de correo receptores no realizan ninguna acción sobre los mensajes que fallan; los correos electrónicos se siguen entregando.
• Seguirá recibiendo informes agregados DMARC, que le ayudarán a comprender los problemas de autenticación antes de pasar a políticas más estrictas.

2. Política DMARC: Cuarentena (p=cuarentena)

Esta opción se especifica en el registro DMARC mediante la etiqueta "p=quarantine". p=quarantine proporciona cierto nivel de protección, ya que el propietario del dominio puede solicitar al receptor que devuelva los correos electrónicos a la carpeta de spam o cuarentena para revisarlos más tarde en caso de queDMARC falle.

Esta política indica al servidor de correo receptor que trate con recelo los mensajes que no superan la autenticación DMARC. Suele implementarse como un paso intermedio entre "ninguno" y "rechazar".

Ejemplo: v=DMARC1; p=quarantine; rua=mailto:(dirección de correo electrónico);

Cuándo utilizar p=cuarentena

• Utilice esta política cuando desee una protección más fuerte pero aún necesite revisar los correos sospechosos antes de bloquearlos por completo.
• Los mensajes erróneos se envían a la carpeta de spam/basura, lo que le da la oportunidad de inspeccionarlos sin perder el correo legítimo.
• Actúa como un nivel de aplicación intermedio, ayudándole en la transición hacia p=reject.
• Le permite evaluar el impacto de DMARC y decidir si los correos marcados son legítimos o deben descartarse.
• Ayuda a reducir el desorden de la bandeja de entrada al mantener los correos dudosos fuera de la bandeja de entrada principal, al tiempo que permite su visibilidad.

3. Política DMARC: Rechazar (p=reject)

Esta opción se especifica en el registro DMARC utilizando "p=reject". Se trata de la política más estricta, que indica a los receptores que rechacen los mensajes no autenticados.

El rechazo de la política DMARC proporciona la máxima aplicación, garantizando que los mensajes que no superen las comprobaciones DMARC no se entreguen en absoluto. La política se aplica cuando los propietarios de dominios confían en su configuración de autenticación de correo electrónico.

Ejemplo: v=DMARC1; p=reject; rua= mailto:(dirección de correo electrónico);

Cuándo utilizar p=reject

• Elija esta política cuando desee el máximo nivel de protección contra phishing, spoofing y cualquier uso no autorizado de su dominio.
• Los correos electrónicos que no superan la autenticación se bloquean por completo, lo que garantiza que los mensajes sospechosos nunca lleguen a los destinatarios.
• Lo mejor para dominios que ya están totalmente autenticados en todos los servicios de envío y ya no necesitan poner en cuarentena los casos límite.

Deberías:

• Realice pruebas exhaustivas y confirme que todos los remitentes legítimos pasan SPF y DKIM antes de pasar a p=reject.
• Mantenga activados los informes DMARC para poder controlar cualquier fallo restante y asegurarse de que todo sigue funcionando correctamente.
• Para un despliegue seguro, comience con p=ninguno, pase a p=cuarentena y, a continuación, avance a p=rechazar una vez que sus informes muestren una alineación coherente.

Otras políticas DMARC

DMARC ofrece parámetros de política adicionales para afinar la implementación.

• El parámetro porcentaje (pct=) permite el despliegue gradual de la política especificando la porción de mensajes sujetos a DMARC. Por ejemplo: pct=50 aplica la política al 50% de los mensajes.
  • Cuándo utilizarlo:
    • Utilice pct= cuando esté realizando la transición de p=none → p=quarantine → p=reject y desee probar la aplicación por etapas sin afectar a todo el correo saliente.
  • Orientación temporal:
    • Comience con pct=20 durante las primeras pruebas.
    • Aumente a pct=50-70 cuando la mayoría de los remitentes legítimos pasen la autenticación.
    • Cambia a pct=100 cuando estés seguro de que tu configuración es estable.
• La política de subdominios (sp=) es un registro de políticas que establece reglas separadas para subdominios. Es útil cuando los subdominios requieren un tratamiento diferente. Por ejemplo: v=DMARC1; p=reject; sp=quarantine; rua=mailto:[email protected].
  • Cuándo utilizarlo:
    • Utilice sp= cuando sus subdominios tengan diferentes comportamientos de envío o cuando desee una aplicación más estricta o más indulgente en comparación con su dominio principal.
  • Orientación temporal:
    • Aplicar sp=none al evaluar remitentes de subdominios.
    • Cambia a sp=cuarentena una vez que verifiques su autenticación.
    • Cambie a sp=reject cuando ya no desee que los subdominios se utilicen indebidamente para la suplantación de identidad.

Configure la política DMARC correctamente con PowerDMARC.

Por qué es importante DMARC

Los mensajes de correo electrónico pueden falsificarse fácilmente, por lo que es difícil distinguir los auténticos de los falsos. Ahí es donde entra DMARC. DMARC es como un punto de control de seguridad del correo electrónico que verifica la identidad del remitente antes de permitir el paso de los mensajes, y desempeña un papel fundamental en el cumplimiento normativo de marcos como GDPR, HIPAA y PCI-DSS.

Se prevé que las pérdidas mundiales por ciberdelincuencia superen los 10,5 billones de dólares en 2025lo que pone de manifiesto la magnitud de la amenaza. Por su parte, el Informe de Verizon sobre investigaciones de fugas de datos en 2025 muestra que el phishing y los ataques basados en credenciales siguen siendo dominantes, con aproximadamente el 15% de todas las violaciones comenzando con phishing.

Según el RFC 7489 del IETF, DMARC tiene la capacidad única de permitir a los remitentes de correo electrónico establecer preferencias para la autenticación. Al habilitarlo, también se pueden obtener informes sobre la gestión del correo electrónico y el posible abuso del dominio. Esto hace que DMARC destaque en términos de validación de dominios.

Según nuestras últimas estadísticas DMARC, un número significativo de dominios siguen siendo vulnerables a los ataques de phishing debido a la falta de implementación de DMARC.

Para iniciar el proceso de configuración de DMARC, es necesario realizar los cambios DNS adecuados e incluir registros DNS TXT para los protocolos. Sin embargo, la implementación manual del protocolo DMARC puede ser bastante compleja para los usuarios no técnicos. Incluso puede llegar a ser bastante costoso si contrata a un CISO fraccional externo para que lo gestione para su empresa. Por eso tiene sentido utilizar una solución como el analizador DMARC de PowerDMARC: automatiza la instalación, agiliza la configuración y ahorra tiempo y dinero. Permítanos guiarle a través de la configuración y ayudarle a proteger su marca hoy mismo.

Opciones de informes DMARC

Las opciones de informes para DMARC incluyen:

• Informes agregados (rua=): Se envían diariamente y proporcionan resúmenes de alto nivel de los resultados de la autenticación de su correo electrónico, incluyendo qué IPs están enviando correo en su nombre y cuántos mensajes han pasado o fallado.
• Informes forenses (ruf=): Se envían en tiempo real y contienen información más detallada sobre fallos en mensajes individuales que no se autenticaron.

Estos parámetros permiten a las organizaciones recopilar información valiosa sobre los resultados de la autenticación DMARC, lo que permite conocer el número de correos electrónicos que fallan o superan la autenticación DMARC. Un informe DMARC también ayuda:

1. Identificar posibles problemas y pautas de abuso
2. Detectar errores de configuración en su correo electrónico
3. Obtenga información sobre el comportamiento del correo electrónico y los flujos de correo
4. Revisar los resultados de autenticación de los protocolos SPF y DKIM

Beneficios y retos comunes

DMARC ofrece una sólida protección y una valiosa visibilidad, pero su correcta implantación también conlleva consideraciones operativas y técnicas. Comprender tanto las ventajas como los retos ayuda a establecer expectativas realistas para la implantación.

Beneficios

• Prevención dela suplantación de dominios y protección contra el phishing: Bloquea remitentes no autorizados y reduce el riesgo de ataques de suplantación de identidad.
• Mejora de la entregabilidad del correo electrónico (10-15%): Los proveedores de bandejas de entrada confían más en los dominios autenticados, lo que mejora la ubicación en la bandeja de entrada.
• Visibilidad mediante informes sobre las fuentes de envío: Los informes DMARC revelan quién envía correo en su nombre y cómo se autentican los mensajes.
• Cumplimiento de los mandatos GDPR, HIPAA y Google/Yahoo 2024: Ayuda a cumplir los requisitos de seguridad y autenticación establecidos por los reguladores y los principales proveedores de buzones de correo.

Desafíos

• Calendario de aplicación (3-6 meses para un despliegue seguro): Pasar de la supervisión a la plena aplicación requiere tiempo y una revisión cuidadosa.
• Requisito de descubrimiento para todas las fuentes legítimas de correo electrónico: Cada sistema de envío debe ser identificado y autenticado antes de aplicar políticas estrictas.
• Necesidad de conocimientos técnicos (DNS, SPF, DKIM): Una configuración adecuada requiere estar familiarizado con la autenticación del correo electrónico y la gestión de DNS.
• Limitaciones de autenticación de servicios de terceros: Algunas herramientas o plataformas tienen restringida la compatibilidad con SPF/DKIM, lo que complica la configuración.

Solución de errores de política DMARC

Al utilizar DMARC, puede encontrarse con un mensaje de error. Los siguientes son algunos errores comunes de la política DMARC:

• Errores de sintaxis: Debes estar atento a cualquier error de sintaxis mientras configuras tu registro para asegurarte de que tu protocolo funciona correctamente.
• Errores de configuración: Los errores al configurar la política DMARC son comunes y pueden evitarse utilizando una herramienta de comprobación DMARC.
• Política DMARC sp: Si configura una política de rechazo DMARC, pero configura sus políticas de subdominio a ninguna, no podrá lograr el cumplimiento. Esto se debe a una anulación de la política en sus correos electrónicos salientes.
• Error "Política DMARC no habilitada": Si los informes de tu dominio resaltan este error, apunta a que falta una política de dominio DMARC en tu DNS o que está configurada como "ninguna". Edite su registro para incorporar p=reject/quarantine y esto debería solucionar el problema.

Aplicación de políticas DMARC con PowerDMARC

DMARC sigue siendo una de las formas más efectivas de proteger tu dominio de la suplantación de identidad, el phishing y el uso no autorizado del correo electrónico. Al elegir el modo de política adecuado (ninguno, cuarentena o rechazo), controlas la forma en que los servidores receptores gestionan los mensajes sospechosos y el grado de protección de tu dominio. Parámetros adicionales como pct= y sp= ayudan a afinar su despliegue, mientras que las opciones de informes como rua y ruf le ofrecen una clara visibilidad de los resultados de autenticación, fuentes de envío, configuraciones erróneas y abusos potenciales.

Aunque la configuración de DMARC puede ser compleja, especialmente cuando se trabaja con múltiples servicios de terceros o se gestiona un calendario completo de aplicación, los beneficios a largo plazo son sustanciales: mejor capacidad de entrega, mayor cumplimiento y mayor protección de la marca.

El analizador DMARC de PowerDMARC simplifica este proceso automatizando la configuración, agilizando la gestión de políticas y convirtiendo los informes XML sin procesar en información práctica. Si desea un camino más fácil y seguro hacia la aplicación de DMARC, nuestra plataforma está diseñada para ayudarle en cada paso.

Póngase en contacto con nosotros hoy mismo para implantar una política DMARC y supervisar sus resultados fácilmente.

Preguntas más frecuentes (FAQ)

¿Cuál es la política DMARC por defecto?

Puede comprobar el cumplimiento de DMARC revisando sus informes DMARC y confirmando que sus mensajes de correo electrónico pasan la alineación SPF y DKIM. Si utilizas una plataforma con un panel de informes, como PowerDMARC, puedes ver el estado de autenticación de tu dominio y comprobar si tus mensajes cumplen los requisitos DMARC.

¿Qué política DMARC es la mejor?

La mejor política para obtener la máxima seguridad es p=reject, ya que bloquea todo el correo electrónico no autorizado.

Sin embargo, la mejor estrategia es aplicarla por fases:

1. Comience con p=none para supervisar los informes sin afectar a la entregabilidad.
2. Mover a p=cuarentena para enviar los correos que fallan a spam.
3. Termine con p=reject sólo cuando esté preparado (es decir, sólo cuando esté seguro de que todos sus correos legítimos están correctamente configurados).

¿Cómo arreglo mi política DMARC?

Puede arreglar manualmente su política entrando en su administración de DNS. Una vez dentro, deberá editar su registro DMARC TXT. Una solución más sencilla es utilizar nuestra solución alojada para realizar cambios en su política con un solo clic.

¿Qué política DMARC utilizaría para no aceptar un correo electrónico si el mensaje no supera la comprobación DMARC?

Para rechazar un correo electrónico que no supera la comprobación DMARC, debe utilizar la directiva p=reject.

Esta política ordena explícitamente a los servidores de correo electrónico receptores que bloqueen rotundamente y rechacen por completo la entrega de cualquier mensaje que no supere la autenticación DMARC. El correo electrónico no aparecerá en la bandeja de entrada del destinatario, ni siquiera en su carpeta de correo no deseado. Si aún así desea enviar el mensaje a la carpeta de correo no deseado, puede utilizar p=quarantine.

• Acerca de
• Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

• ¿Qué es DMARC? Cómo funciona, políticas y consejos de configuración - 28 de noviembre de 2025
• ¿Qué es una política DMARC? Ninguno, Cuarentena y Rechazo - 27 de noviembre de 2025
• Cómo configurar DMARC: Guía de configuración paso a paso - 25 de noviembre de 2025