DMARC es un protocolo de autenticación de correo electrónico que permite a los propietarios de dominios de correo electrónico especificar qué mecanismos utilizan para autenticar sus mensajes de correo electrónico y cómo deben gestionar los fallos de autenticación los servidores de correo que reciben mensajes de su dominio.

¿Cuáles son las ventajas de DMARC?

Prevención del fraude por correo electrónico Mejora la reputación de la marca Minimiza el spam Proporciona visibilidad Mejora la entregabilidad

¿Qué es DMARC? Definición, ventajas y cómo funciona

Q: ¿Cómo funciona DMARC?

Un mensaje se envía desde un servidor autorizado al registro SPF y/o a la firma DKIM del dominio compatible con DMARC, que se almacenan en el nivel DNS. Si cualquiera de las comprobaciones se supera, el mensaje se entrega; si ambas fallan, el mensaje se rechaza y se devuelve como no entregable (ya que no cumplía los requisitos SPF o DKIM).

Puntos clave

DMARC protege los dominios contra el phishing y la suplantación de identidad mediante el uso de la autenticación SPF y DKIM, junto con la aplicación de políticas y la generación de informes.
DMARC se rige ahora por el RFC 9989 (2026), que sustituye al RFC 7489, pero los registros DMARC válidos existentes no requieren migración.
Ya no basta con publicar un registro DMARC. Gmail, Yahoo, Microsoft, PCI DSS y otros marcos de cumplimiento exigen cada vez más la aplicación de políticas de cumplimiento (cuarentena o rechazo).
Los informes DMARC ofrecen información sobre todas las fuentes de correo electrónico que utilizan tu dominio, lo que ayuda a identificar a los remitentes no autorizados y a avanzar de forma segura hacia la aplicación de las medidas correspondientes.
La adopción a nivel mundial es elevada, pero su aplicación sigue siendo insuficiente, lo que deja a muchas organizaciones expuestas a la suplantación de dominios a pesar de contar con registros DMARC.

DMARC (Domain-based Message Authentication, Reporting, and Conformance) es un protocolo de autenticación de correo electrónico que permite a los propietarios de dominios controlar qué ocurre con los mensajes que no superan las comprobaciones de SPF y DKIM. Protege tu dominio contra el phishing, la suplantación de identidad y el compromiso del correo electrónico empresarial, al indicar a los servidores de correo receptores que supervisen, pongan en cuarentena o rechacen los mensajes no autenticados.

DMARC se rige ahora por el RFC 9989 (mayo de 2026), que sustituyó al RFC 7489 original. Es importante señalar que los registros existentes que estaban correctamente configurados antes de la actualización del RFC siguen siendo válidos, por lo que no hay nada que migrar.

¿Qué significa DMARC? Significado completo

DMARC son las siglas de «Domain-based Message Authentication, Reporting, and Conformance»(Autenticación, notificación y conformidad de mensajes basados en el dominio). Cada parte del nombre se corresponde con una función concreta que desempeña el protocolo:

Basado en el dominio: DMARC funciona a nivel de dominio, no por mensaje individual. Se publica una única política DNS que rige todo el correo que afirme proceder de tu dominio.
Autenticación de mensajes: comprueba que un correo electrónico proceda realmente de tu dominio, verificando los resultados de SPF y DKIM y si estos coinciden con la dirección visible del campo «De:».
Informes: Los servidores receptores te envían informes en los que se indica quién envía correo utilizando tu dominio y cómo ha ido el proceso de autenticación.
Cumplimiento: Publicas una política (ninguna, cuarentena o rechazo) en la que indicas a los destinatarios cómo deben gestionar el correo que no cumple los requisitos, y ellos la respetan.

¿Cómo funciona DMARC?

DMARC funciona comprobando si un correo electrónico entrante supera las verificaciones de SPF o DKIM, confirmando que el resultado coincide con el dominio que aparece en el campo «De:». A continuación, aplica la política que hayas publicado en el DNS. Se basa en SPF y DKIM, y añade los dos elementos que les faltan por sí solos.

Cuando llega un correo electrónico que afirma proceder de tu dominio, el servidor receptor realiza ambas comprobaciones, confirma si alguna de ellas coincide con tu dominio «De:» y, a continuación, aplica la política que hayas publicado en el DNS. Por último, te envía un informe para que puedas ver exactamente qué ha ocurrido.

El proceso de autenticación del correo electrónico: SPF, DKIM y DMARC

A continuación te mostramos el proceso completo, desde el momento en que se envía un correo electrónico hasta que el informe vuelve a aparecer en tu bandeja de entrada:

Se envía el correo electrónico: un servidor envía un mensaje utilizando tu dominio en la dirección del remitente.
Comprobación SPF: El servidor receptor comprueba si la dirección IP del remitente está autorizada en el registro SPF de tu dominio.
Comprobación DKIM: El destinatario verifica la firma DKIM del mensaje comparándola con la clave pública publicada en tu DNS, lo que confirma que el mensaje no ha sido alterado durante el tránsito.
Evaluación y coincidencia de DMARC: DMARC evalúa tanto los resultados como la coincidencia entre el dominio autenticado mediante SPF o DKIM y el dominio que figura en el encabezado «From:» visible. Al menos uno de ellos debe superar la comprobación y coincidir.
Se aplica la política: en función de la política publicada, el destinatario entrega el mensaje normalmente (ninguna acción), lo envía a la carpeta de spam (cuarentena) o lo bloquea (rechazo).
Se envía el informe: el receptor te envía un informe resumido, normalmente en un plazo de 24 horas, en el que se resume lo que ha detectado.

¿Qué es la alineación DMARC?

La alineación es el mecanismo que vincula la validación de SPF o DKIM con el dominio que el destinatario ve realmente en el campo «De:». Un mensaje puede superar la validación de SPF o DKIM para un dominio determinado, aunque siga mostrando tu dominio en el encabezado «De:». La alineación subsana esa discrepancia al exigir que el dominio autenticado coincida con el dominio del campo «De:».

Hay dos modos de alineación:

La alineación flexible (la predeterminada) admite coincidencias a nivel de dominio de la organización, por lo que mail.example.com se alinea con example.com.
La alineación estricta requiere una coincidencia exacta.

Sin alineación, un atacante podría superar el SPF utilizando un dominio que controle y, aun así, suplantar tu dirección «De:», que es precisamente la laguna que se pretendía subsanar con la creación de DMARC.

Para obtener más información sobre los dos tipos de alineación, qué hay que configurar y cuándo, consulta nuestra guía de alineación de DMARC.

DMARC, SPF y DKIM: cómo funcionan conjuntamente

DMARC no sustituye a SPF ni a DKIM, sino que depende de ellos. Cada uno de estos tres protocolos se ocupa de una parte diferente del problema de la autenticación, y DMARC los integra entre sí.

Para obtener más información sobre cada uno de estos protocolos, consulta nuestra guía sobre DMARC, SPF y DKIM.

Para qué sirve el SPF

El SPF (Sender Policy Framework) define qué direcciones IP y servidores están autorizados a enviar correo electrónico en nombre de tu dominio. El servidor receptor compara la dirección «envelope-from» (Return-Path) con tu registro SPF publicado. Su limitación: el SPF no protege el encabezado «De:» visible que leen realmente los destinatarios, por lo que un mensaje puede superar la verificación del SPF y, aun así, mostrar un dominio «De:» falsificado.

Qué hace DKIM

DKIM (DomainKeys Identified Mail) adjunta una firma criptográfica a cada mensaje. Los destinatarios verifican dicha firma comparándola con una clave pública de tu DNS, lo que confirma que el mensaje no ha sido alterado durante el tránsito e identifica el dominio que lo ha firmado. Su limitación: al igual que SPF, DKIM puede dar por válido un dominio diferente al que aparece en el encabezado «De:», por lo que, por sí solo, no impide la suplantación del campo «De:».

Por qué es imprescindible utilizar DMARC

SPF y DKIM son mecanismos de autenticación independientes, pero ninguno de ellos indica al destinatario qué hacer cuando falla una comprobación, ni vincula el resultado al dominio «De:» visible. DMARC aporta los elementos que faltaban: vincula SPF y DKIM, exige la alineación con el dominio «De:», publica una política de aplicación y activa la generación de informes. Sin DMARC, la suplantación de identidad puede seguir teniendo éxito incluso cuando se utilizan tanto SPF como DKIM.

Tabla comparativa entre SPF, DKIM y DMARC

Protocolo	Qué comprueba	Dónde se ve	Qué protege	Lo que no puede hacer por sí solo
SPF	Si la dirección IP de origen está autorizada	Remitente del sobre / Ruta de retorno	Autoriza a los servidores de envío legítimos	No protege el encabezado «De:» visible
DKIM	Una firma criptográfica del mensaje	Encabezado de firma DKIM + clave pública DNS	Integridad del mensaje e identidad del dominio de firma	Puede pasar incluso cuando el dominio «De:» está falsificado
DMARC	Resultados de SPF/DKIM + coincidencia con el campo «De:»	Política de DNS en _dmarc.tudominio.com	Aúna ambos aspectos, establece la política y permite la presentación de informes	No hay nada que evaluar sin SPF ni DKIM

Políticas DMARC: Ninguna, Cuarentena y Rechazo

Tu política DMARC indica a los servidores receptores qué deben hacer con los mensajes que no superan la autenticación y la alineación. Existen tres políticas DMARC, cada una de ellas con un nivel de aplicación más estricto que la anterior.

p=ninguno (Monitor)

No se toma ninguna medida coercitiva; el correo devuelto sigue entregándose y se envían informes para que puedas ver quién envía mensajes en tu nombre. Este es el primer paso adecuado para cualquier nueva implementación.

Nota sobre el cumplimiento: la opción «p=none» no cumple los requisitos para remitentes masivos de Gmail y Yahoo ni los requisitos antiphishing de la norma PCI DSS v4.0, cuya aplicación es obligatoria.

p = cuarentena (aplicación flexible)

Los correos que no se entregan se desvían a la carpeta de spam o correo no deseado, en lugar de a la bandeja de entrada. Los correos legítimos y autenticados no se ven afectados. Nota sobre el cumplimiento normativo: la cuarentena cumple con los requisitos de Gmail, Yahoo, Microsoft y la norma PCI DSS v4.0.

p = rechazar (aplicación estricta)

El correo que no se entrega se rechaza directamente y nunca llega a la bandeja de entrada ni a la carpeta de spam. Este es el nivel más alto de protección. Nota sobre el cumplimiento normativo: la opción «rechazar» cumple todos los requisitos actuales. Una salvedad del RFC 9989: para los dominios cuyos usuarios publican en listas de correo, la opción «p=quarantine» puede ser una política permanente más segura, ya que las listas de correo suelen alterar la autenticación de tal forma que provocan el rechazo de mensajes legítimos.

¿Qué son los informes DMARC?

DMARC es el único protocolo de autenticación de correo electrónico que te proporciona datos de visibilidad. Esos informes son la razón principal por la que conviene publicar DMARC con p=none antes de pasar a la fase de aplicación: te muestran todas las fuentes que envían correo en nombre de tu dominio, de modo que puedas confirmar que todos tus remitentes legítimos superan la verificación antes de empezar a bloquear nada.

Informes agregados (RUA)

Los informes agregados son resúmenes diarios en formato XML que envía cada servidor de correo receptor que haya procesado mensajes de correo electrónico procedentes de tu dominio. Cada informe incluye las direcciones IP de envío, el volumen de mensajes, si el SPF ha superado o no la comprobación, si el DKIM ha superado o no la comprobación, el resultado global de DMARC y la acción aplicada. Son importantes porque, sin ellos, no puedes avanzar con seguridad en tu política: necesitas confirmar que todos los remitentes legítimos superan las comprobaciones antes de pasar a la cuarentena o al rechazo. Leer el XML sin procesar a mano no es viable a gran escala, por lo que la mayoría de los equipos utilizan nuestro Analizador de informes DMARC para convertir los informes en paneles de control fáciles de leer.

Si eres nuevo en el tema de los informes, consulta nuestra guía paso a paso sobre cómo leer los informes DMARC para obtener una explicación sencilla.

Informes de fallos (RUF)

Los informes de error (antes denominados «informes forenses») son notificaciones por mensaje que se envían cuando un correo electrónico concreto no supera la verificación DMARC. Son más detallados que los informes agregados. Nota sobre privacidad: Google, Microsoft y Yahoo ya no envían informes de error, por lo que, si tu dominio recibe alguno, procederá de proveedores más pequeños. Incluye la etiqueta ruf= en tu registro solo si tienes un procesador configurado para gestionarlos.

¿Contra qué protege DMARC?

La función principal de DMARC es impedir que los atacantes envíen correos electrónicos que parezcan proceder exactamente de tu dominio. Esto abarca tres de los tipos de ataques por correo electrónico más perjudiciales.

Falsificación del correo electrónico

En un ataque de suplantación de identidad, alguien envía un correo electrónico que parece proceder exactamente de tu dominio, por ejemplo, [email protected]. DMARC con el parámetro p=reject bloquea estos mensajes antes de que lleguen a ninguna bandeja de entrada, ya que no superan la autenticación ni la alineación de tu dominio.

Ataques de phishing

Los correos electrónicos de phishing se hacen pasar por tu marca para engañar a los clientes o empleados y que revelen sus credenciales o entreguen dinero. Con DMARC activado, los atacantes no pueden utilizar tu dominio como remitente, lo que elimina la versión más convincente de un correo de phishing: aquella que realmente parece proceder de ti.

Compromiso del correo electrónico empresarial (BEC)

Los ataques BEC consisten en suplantar la identidad de un director general, un director financiero o un proveedor de confianza para solicitar transferencias bancarias o datos confidenciales. DMARC detiene los ataques BEC de dominio exacto, en los que el atacante suplantar tu dominio real. Ten en cuenta que la suplantación del nombre que se muestra —en la que el nombre visible es «Nombre del director general», pero el dominio subyacente no tiene relación alguna— no la detiene DMARC, ya que el atacante no está utilizando tu dominio en absoluto.

Ventajas de implementar DMARC

Detiene el phishing y la suplantación de dominio: la suplantación de dominio se bloquea antes de que llegue a los destinatarios, lo que elimina los ataques más convincentes contra tus clientes y tu personal.
Protege la reputación de la marca: los clientes dejan de recibir correos electrónicos fraudulentos que parecen proceder de ti, lo que preserva la confianza en tu marca.
Mejora la entrega de los correos electrónicos: los destinatarios confían en los correos autenticados, por lo que es más probable que lleguen a la bandeja de entrada, mientras que los correos no autenticados suelen ser marcados como sospechosos.
Ofrece una visibilidad completa: los informes agregados muestran todas las fuentes que envían correo desde tu dominio, incluidos los servicios olvidados y los remitentes no autorizados.
Habilita BIMI: Es imprescindible aplicar una política «p=quarantine» o «p=reject» para que el logotipo de tu marca BIMI aparezca junto a tus mensajes en las bandejas de entrada compatibles.
Cumple con los requisitos de cumplimiento normativo: DMARC a nivel de aplicación ayuda a cumplir con la norma PCI DSS v4.0, las normas de Google, Yahoo y Microsoft para remitentes masivos, y la directiva BOD 18-01 de la CISA.

Requisitos de cumplimiento de DMARC en 2026

El cumplimiento normativo se ha convertido en la principal razón por la que las organizaciones implementan DMARC. En los últimos dos años, los principales proveedores de correo electrónico y varios organismos reguladores han transformado DMARC, pasando de ser una buena práctica a convertirse en un requisito. Es fundamental señalar que el valor «p=none» no cumple ninguno de los requisitos que se indican a continuación, y lo que se espera es que se apliquen las medidas correspondientes (cuarentena o rechazo).

Gmail y Yahoo (desde febrero de 2024)

Desde febrero de 2024, Gmail y Yahoo exigen a los remitentes masivos —aquellos que envían 5.000 mensajes o más al día— que utilicen SPF, DKIM y un registro DMARC publicado. Gmail pasó a rechazar de forma permanente los correos que no cumplieran con estos requisitos en noviembre de 2025. Un registro «p=none» cumple con los requisitos mínimos para tener un registro DMARC publicado, pero es la aplicación de las medidas (cuarentena o rechazo) lo que proporciona una protección real.

Microsoft Outlook (desde mayo de 2025)

Microsoft comenzó a aplicar los requisitos de autenticación para remitentes masivos el 5 de mayo de 2025, rechazando directamente el correo de gran volumen que no supera la autenticación a nivel SMTP, en lugar de enviarlo a la carpeta de correo no deseado. DMARC forma parte de los requisitos de autenticación de Microsoft para los remitentes que envían más de 5.000 mensajes al día.

PCI DSS v4.0 (a partir de marzo de 2025)

El requisito 5.4.1 de la norma PCI DSS v4.0.1 exige la implantación de mecanismos automatizados contra el phishing, incluyendo DMARC junto con SPF y DKIM, para las organizaciones que gestionan datos de tarjetas de pago. Este requisito pasó a ser obligatorio el 31 de marzo de 2025. Un registro «p=none» destinado únicamente a la supervisión no cumple este requisito; los auditores esperan que se aplique una política de cumplimiento.

CISA BOD 18-01 (Dominios federales de EE. UU.)

La Directiva Operativa Vinculante 18-01 de la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de EE. UU. (CISA BOD 18-01) exige que todos los dominios del poder ejecutivo federal implementen DMARC con el parámetro p=reject. Se trató de la primera normativa gubernamental que exigía una política de aplicación efectiva, en lugar de una mera adopción.

Para obtener más información sobre los requisitos y recomendaciones de cumplimiento a nivel mundial, consulta nuestra guía completa sobre los requisitos de cumplimiento de DMARC.

Adopción de DMARC en 2026: estadísticas clave

Las estadísticas de PowerDMARC sobre el phishing por correo electrónico y DMARC correspondientes a 2026 muestran una clara tendencia a nivel mundial: el phishing sigue aumentando, la adopción de DMARC está creciendo, pero aún dista mucho de ser universal, y la mayoría de los dominios que lo adoptan nunca llegan a aplicar las medidas necesarias para bloquear realmente la suplantación de identidad.

Solo alrededor del 18 % de los 10 millones de dominios más visitados del mundo publican un registro DMARC válido, y apenas un 4 % aplica plenamente una política de rechazo (análisis del segundo trimestre de 2025), lo que deja a la gran mayoría de los dominios expuestos a la suplantación de identidad y a la usurpación de marca.
Entre los dominios que sí publican DMARC, la mayoría no llega a aplicar medidas coercitivas: el 68,2 % utiliza p=none, el 12,1 % utiliza p=quarantine y solo el 19,6 % aplica una política estricta de p=reject.
La voluntad de cumplir la normativa también es escasa: solo el 25,5 % de los remitentes con «p=none» tiene previsto reforzar su política en el plazo de un año, mientras que el 61 % afirma que solo la actualizará si una normativa o una necesidad empresarial les obliga a ello.
Las medidas de autenticación están surtiendo efecto allí donde más se necesitan: después de que Google y Yahoo introdujeran requisitos para los remitentes masivos, Google informó de una caída del 65 % en el número de mensajes no autenticados que llegaban a Gmail, con 265 mil millones menos de mensajes no autenticados solo en 2024.
Hay mucho en juego: una filtración relacionada con el phishing cuesta, de media, unos 4,88 millones de dólares, y los ataques de suplantación de identidad en el correo electrónico empresarial provocaron unas pérdidas declaradas de aproximadamente 2.9 mil millones de dólares.

RFC 9989: Actualización del estándar DMARC de 2026

En mayo de 2026, el RFC 9989 sustituyó al RFC 7489 como estándar DMARC, lo que supuso la primera actualización importante desde la especificación original de 2015. Dado que los registros existentes siguen siendo válidos, no es necesaria ninguna migración. No obstante, los propietarios de dominios que utilicen etiquetas obsoletas pueden plantearse actualizar sus registros para reflejar las nuevas mejoras.

Lo que ha cambiado es un pequeño conjunto de mejoras prácticas en las etiquetas que se pueden publicar en un registro. Estos son algunos de los cambios más importantes:

pct= ha quedado obsoleto. La antigua etiqueta de porcentaje, que indicaba a los receptores que aplicaran tu política solo a una parte del correo rechazado, se ha eliminado porque su comportamiento resultaba impredecible según el proveedor.
Se ha añadido «np=» para establecer una política independiente para los subdominios inexistentes, es decir, aquellos que no envían ningún correo legítimo. Esto te permite rechazar el correo procedente de subdominios que los atacantes puedan inventar sin que ello afecte a tus subdominios activos que sí envían correo.
Se ha añadido «t=» para indicar que se trata de una prueba o de una implantación por fases, lo que ofrece una forma más clara y estandarizada de avanzar hacia la aplicación de la norma que la etiqueta «pct=», que ya ha quedado obsoleta.

Para obtener un desglose completo de los cambios, puedes consultar nuestra guía sobre DMARC (RFC 9989 ).

Limitaciones de DMARC: contra qué no protege

DMARC es muy eficaz contra la suplantación de dominio exacta, pero no es una solución antifraude completa, y conviene dejar claro qué es lo que no cubre:

No protege contra los ataques de dominios similares, en los que un atacante registra un dominio de aspecto similar, como paypa1.com o paypal-secure.com, ya que el DMARC de tu dominio no tiene autoridad sobre otro dominio distinto.
Esto no evita el uso indebido del nombre de visualización, en el que el nombre visible del remitente se parece al de tu marca, pero el dominio de correo electrónico subyacente no tiene nada que ver.
No sirve de nada en el caso de cuentas legítimas que hayan sido comprometidas, ya que los correos enviados desde una cuenta auténtica que haya sido secuestrada se autentican correctamente.

Para las amenazas que no están cubiertas por DMARC, puedes utilizar nuestra herramienta «Lookalike Domain Checker» para iniciar tu investigación y detectar dominios similares, typosquatting y ataques de homógrafos.

Cómo empezar a utilizar DMARC

No hace falta configurar nada complicado para empezar. Los siguientes pasos te ayudarán a ponerte en marcha:

1. Comprueba tus registros SPF, DKIM y DMARC: como se ha explicado anteriormente, para que DMARC funcione es necesario tener configurado SPF o DKIM (preferiblemente ambos). Por lo tanto, antes de empezar, debes verificar si estos registros existen. Introduce tu dominio en nuestro Analizador de dominios para confirmar de un solo vistazo si dispones de registros SPF, DKIM y DMARC y cuál es tu política de registros actual.

2. Crea un registro si aún no tienes ninguno: utiliza nuestra herramienta «DMARC Generator» para generar una sintaxis válida y publica el registro en tu DNS para activar el protocolo. Para empezar, mantén siempre tu política en «none» y, poco a poco, pasa a la opción «enforcement» una vez que estés seguro de tu capacidad de entrega.

3. Añade el registro a tu DNS: Abre tu consola de gestión de DNS y publica el registro DMARC en _dmarc.tudominio.com como un registro TXT.

4. Compruébalo con la herramienta de verificación de DMARC: Por último, transcurridas 24 horas, introduce tu dominio en nuestra herramienta de verificación de DMARC para comprobar si el registro que has publicado es válido y no presenta errores.

Si quieres una guía completa sobre cómo configurar DMARC, consulta el blog al que se hace referencia para ver un tutorial detallado paso a paso.

Palabras finales

DMARC ha pasado de ser una recomendación de seguridad a convertirse en un requisito básico. Es lo que demuestra al mundo que los correos que llevan tu dominio son realmente tuyos, y cada vez es más frecuente que lo exijan los proveedores de correo electrónico y los organismos reguladores a los que tu empresa ya debe rendir cuentas. El protocolo en sí no es complicado: publica un registro, consulta tus informes y refuerza tu política a medida que tus remitentes legítimos se sumen a ella. El verdadero trabajo consiste en dar el paso de la supervisión a la aplicación.

PowerDMARC es una plataforma integral de gestión de DMARC que se encarga por ti de todo el proceso de supervisión y aplicación, convirtiendo los informes sin procesar en información clara y útil, y ayudándote a alcanzar el nivel «p=reject» sin bloquear el correo legítimo.

Preguntas frecuentes

¿Qué es DMARC?

Un registro DMARC es un registro TXT de DNS publicado en _dmarc.tudominio.com. Contiene tu política DMARC y las direcciones de correo electrónico a las que deben enviarse los informes. Crear y publicar un registro DMARC es el primer paso para implementar DMARC en tu dominio.

¿Será obligatorio el DMARC en 2026?

Sí, para los remitentes masivos. Gmail y Yahoo exigen el cumplimiento de DMARC desde febrero de 2024 para los dominios que envían 5.000 o más correos electrónicos al día, y Microsoft comenzó a aplicarlo en mayo de 2025. La norma PCI DSS v4.0 exige el cumplimiento de DMARC a los procesadores de datos de tarjetas de pago desde marzo de 2025. Incluso para los remitentes que no envían correos de forma masiva, se recomienda encarecidamente el uso de DMARC para proteger su dominio contra la suplantación de identidad.

¿Cuál es la diferencia entre DMARC, SPF y DKIM?

SPF verifica qué direcciones IP pueden enviar correo electrónico en nombre de un dominio. DKIM verifica la integridad de los mensajes mediante una firma criptográfica. DMARC combina ambos, los alinea con el dominio visible del campo «De:», añade una política de cumplimiento y permite la generación de informes. Los tres son necesarios para una autenticación completa del correo electrónico.

¿Qué evita el DMARC?

DMARC evita la suplantación de identidad en correos electrónicos de un dominio concreto, en la que un atacante envía un correo que parece proceder de tu dominio. Esto abarca los correos de phishing, la suplantación de marcas y el compromiso del correo electrónico empresarial. No evita los ataques de dominios similares ni la suplantación del nombre de visualización, en los que se utiliza un dominio diferente.

¿Qué pasa si no tengo DMARC?

Sin DMARC, los servidores receptores no disponen de instrucciones sobre cómo gestionar los correos electrónicos procedentes de tu dominio que no superen las verificaciones de SPF y DKIM, por lo que tu dominio puede ser suplantado libremente en ataques de phishing. Desde 2024, la ausencia de DMARC también afecta a la capacidad de entrega de los remitentes masivos, ya que Gmail y Yahoo pueden rechazar o rebajar la prioridad de tus correos electrónicos legítimos.

¿DMARC detiene todos los ataques de phishing?

No. DMARC impide el phishing que suplantaba tu dominio exacto, pero no puede impedir los dominios similares, el uso indebido del nombre de visualización ni los ataques procedentes de cuentas legítimas comprometidas. DMARC debería ser una de las capas de una estrategia más amplia de seguridad del correo electrónico, en lugar de la única.

Acerca de
Últimas publicaciones

Maitham Al Lawati

Experto en ciberseguridad, CEO de PowerDMARC

Maitham es un emprendedor tecnológico, experto en ciberseguridad, CEO y fundador de PowerDMARC con más de 15 años de experiencia en el sector. Maitham posee un MBA Global por la Universidad de Manchester y varias certificaciones profesionales, entre ellas CISSP, CISM, CRISC e ISC2 CCSP.

Últimos comentarios de Maitham Al Lawati (ver todos)

Cómo configurar DMARC: guía completa de configuración paso a paso (2026) - 20 de junio de 2026
Cómo interpretar los informes DMARC: una guía completa sobre RUA y RUF - 10 de junio de 2026
¿Qué es DMARC? Definición, cómo funciona y por qué es importante - 28 de abril de 2026

¿Qué es DMARC? Definición, cómo funciona y por qué es importante