¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) es un protocolo de autenticación de correo electrónico que indica a los servidores receptores qué hacer cuando fallan las verificaciones SPF o DKIM. Sin DMARC, un receptor sabe que un correo falló la autenticación pero no tiene instrucciones sobre si rechazarlo, ponerlo en cuarentena o dejarlo pasar. DMARC cierra esa brecha.
Definido en RFC 7489 y requerido por Google, Yahoo y PCI DSS v4.0 para remitentes masivos y dominios orientados al cliente.
¿Quién requiere DMARC?
DMARC ha pasado de ser una mejor práctica opcional a un cumplimiento obligatorio en los sectores gubernamental, financiero, sanitario y de infraestructura crítica en todo el mundo.
Mandatos gubernamentales
Todos los dominios del poder ejecutivo federal deben implementar DMARC con p=reject
Extiende las líneas base de autenticación de correo, se alinea con los mandatos de remitentes de Microsoft/Google/Yahoo
Los dominios del gobierno central deben implementar DMARC, SPF, DKIM y TLS. Todos los dominios, incluidos los estacionados, requieren registros DMARC
La Dirección de Señales de Australia establece que DMARC es crítico — impleméntelo ahora independientemente de los controles existentes
Los departamentos federales deben implementar DMARC, SPF y DKIM. Mínimo p=none con progresión gradual a p=reject
Estándares de la industria
Se requieren mecanismos anti-phishing incluyendo DMARC desde el 31 de marzo de 2025 para todas las organizaciones que procesan datos de tarjetas de pago
Recomienda DMARC con p=reject como política objetivo. Publique registros en todos los dominios, incluidos los que no envían correo
Implemente DMARC para reducir la posibilidad de correos suplantados o modificados desde dominios válidos
Requiere medidas robustas de ciberseguridad incluyendo controles de seguridad de correo. DMARC fortalece el cumplimiento de NIS2 junto con GDPR y PCI DSS
Estándar de gestión de seguridad de la información — la implementación de DMARC respalda los controles del Anexo A para seguridad de comunicaciones
Requisitos de proveedores de correo
Los remitentes masivos (5.000+ mensajes/día a Gmail) deben tener DMARC con mínimo p=none desde febrero de 2024
Los remitentes masivos deben autenticarse con DMARC junto con SPF y DKIM desde febrero de 2024
Desde el 5 de mayo de 2025, Microsoft rechaza correo que falla DMARC de remitentes de alto volumen a Outlook.com, Hotmail y Live.com
Apple aplica políticas DMARC en dominios de iCloud Mail, rechazando mensajes que fallan la autenticación con p=reject
El 60% de las reclamaciones de BEC provienen de dominios sin aplicación. Las aseguradoras cada vez más requieren SPF, DKIM y DMARC como condiciones de suscripción
El correo electrónico fue construido sin verificación de remitente
El protocolo SMTP no tiene una forma integrada de verificar que la persona en el campo "De" realmente envió el mensaje. Cualquiera puede enviar correo haciéndose pasar por cualquier persona. DMARC soluciona esto.
Sin DMARC
Con DMARC (p=reject)
Tres pasos, cada correo
DMARC se basa en SPF y DKIM agregando aplicación de políticas e informes. Esto es lo que sucede cuando un correo protegido por DMARC llega a un servidor receptor.
El remitente publica un registro DMARC
El propietario del dominio agrega un registro TXT en _dmarc.dominio.com en DNS. Este registro contiene la política (none, quarantine o reject) y la dirección de informes.
El receptor verifica la alineación SPF + DKIM
Cuando llega un correo, el servidor receptor verifica si SPF o DKIM pasan Y si el dominio autenticado se alinea con el dominio del encabezado From. Esta verificación de alineación es lo que hace a DMARC diferente de SPF o DKIM solos.
Se aplica la política, se envía el informe
Si la alineación falla, el receptor aplica la política publicada — entregar normalmente (none), enviar a spam (quarantine) o rechazar completamente. En cualquier caso, el receptor envía un informe agregado al propietario del dominio.
Dentro de un registro DMARC
Un registro DMARC es un registro DNS TXT publicado en _dmarc.sudominio.com. Cada etiqueta controla un comportamiento específico.
v=DMARC1; p=reject; rua=mailto:dmarc@ejemplo.com; ruf=mailto:forense@ejemplo.com; adkim=s; aspf=r; pct=100; fo=1 v=DMARC1 Requerido Identificador de versión del protocolo. Debe ser la primera etiqueta en cada registro DMARC.
v=DMARC1 p= Requerido Política para el dominio: none (supervisar), quarantine (carpeta de spam) o reject (bloquear).
p=reject rua= Dirección para recibir informes agregados — resúmenes XML de resultados de autenticación enviados diariamente por los receptores.
rua=mailto:dmarc@example.com ruf= Dirección para recibir informes forenses — detalles de fallo por mensaje para investigar intentos de suplantación.
ruf=mailto:forensic@example.com sp= Política de subdominios. Anula la política principal para subdominios. Si no se establece, se usa el valor de p=.
sp=reject adkim= Modo de alineación DKIM: estricto (s) requiere coincidencia exacta del dominio, relajado (r) permite alineación de subdominios.
adkim=r aspf= Modo de alineación SPF: estricto (s) requiere coincidencia exacta del dominio, relajado (r) permite alineación de subdominios.
aspf=r pct= Porcentaje de mensajes fallidos a los que se aplica la política. Úselo para un despliegue gradual (ej., pct=10 y luego aumente).
pct=100 fo= Opciones de informes forenses. Controla cuándo se generan los informes forenses (0=ambos fallan, 1=cualquiera falla, d=fallo DKIM, s=fallo SPF).
fo=1 Las tres políticas DMARC
Cada viaje DMARC sigue el mismo camino: supervisar, cuarentena, rechazar. Cada política se construye sobre la anterior. Aprenda más sobre las políticas DMARC.
p=none Los receptores no toman ninguna acción sobre los mensajes fallidos. Aún se envían informes, dándole visibilidad sobre quién envía correo desde su dominio.
p=quarantine Los mensajes fallidos se envían a la carpeta de spam o correo no deseado. Los destinatarios aún pueden encontrarlos, pero se marcan como sospechosos.
p=reject Los mensajes fallidos se rechazan a nivel SMTP. El destinatario nunca los ve. Esta es la aplicación completa.
Cómo SPF, DKIM y DMARC
trabajan juntos
Cada protocolo resuelve una parte diferente del rompecabezas de autenticación de correo. SPF autoriza servidores de envío. DKIM garantiza la integridad del mensaje. DMARC los une con alineación y política.
-
SPFVerifica que la IP del servidor de envío está autorizada por el registro DNS del dominio. Comprueba el remitente del sobre (Return-Path).
Verificar registro SPF → -
DKIMAdjunta una firma criptográfica a los encabezados del correo. El servidor receptor verifica la firma contra una clave pública en DNS.
Verificar registro DKIM → -
DMARCRequiere que SPF o DKIM pasen Y se alineen con el dominio del encabezado From. Publica la política para fallos y habilita los informes.
Verificar registro DMARC →
Cómo configurar DMARC
El despliegue de DMARC sigue un enfoque por fases. Apresurarse a la aplicación sin supervisión causa que el correo legítimo sea bloqueado. Planifique de 9 a 18 meses desde el primer registro hasta p=reject completo.
Configure SPF
Publique un registro SPF TXT listando cada dirección IP y servicio autorizado para enviar correo para su dominio. Manténgalo por debajo de 10 consultas DNS.
Verifique su registro SPF →Configure DKIM
Habilite la firma DKIM en cada fuente de envío — su servidor de correo, Google Workspace, Microsoft 365, plataformas de marketing — para que los mensajes salientes lleven una firma criptográfica.
Descubra selectores DKIM →Publique DMARC en p=none
Agregue un registro DMARC TXT en _dmarc.sudominio.com comenzando con p=none y una dirección rua= para recibir informes agregados.
Valide su registro DMARC →Supervise informes por más de 90 días
Analice informes agregados para identificar cada remitente, corregir fallos de autenticación y confirmar que todo el correo legítimo pasa la alineación SPF o DKIM.
Comience a supervisar con DMARC Report →Aplique con quarantine y luego reject
Pase a p=quarantine, supervise otros 90+ días, luego avance a p=reject. Use pct= para un despliegue gradual. El viaje completo toma de 9 a 18 meses.
Aprenda sobre políticas DMARC →Preguntas frecuentes
¿Qué es DMARC en términos simples?
DMARC es un protocolo de seguridad de correo electrónico que permite a los propietarios de dominios indicar a los servidores de correo receptores qué hacer cuando un correo falla las verificaciones de autenticación. Previene que los atacantes envíen correos que parezcan provenir de su dominio, protegiendo su marca y a sus destinatarios del phishing.
¿Cuánto tiempo toma implementar DMARC?
Publicar un registro DMARC en p=none toma minutos. Sin embargo, alcanzar la aplicación completa en p=reject típicamente toma de 9 a 18 meses. Cada fase (none, quarantine, reject) requiere al menos 90 días de supervisión para identificar y corregir todas las fuentes de envío legítimas.
¿DMARC detiene todo el phishing?
DMARC detiene la suplantación directa de dominio — los atacantes no pueden enviar correo que pase la autenticación usando su dominio exacto. No previene ataques de dominios similares (ej., ejemp1o.com) o phishing desde dominios no relacionados. DMARC es una capa en una estrategia de seguridad de correo de defensa en profundidad.
¿Cuál es la diferencia entre SPF, DKIM y DMARC?
SPF verifica que un servidor de envío está autorizado por el propietario del dominio. DKIM adjunta una firma criptográfica para demostrar que el mensaje no fue alterado en tránsito. DMARC los une requiriendo que SPF o DKIM pasen Y se alineen con el dominio del encabezado From, luego indica a los receptores qué hacer cuando falla la autenticación.
¿Es obligatorio DMARC?
Sí — DMARC es obligatorio bajo múltiples marcos normativos. Las agencias federales de EE.UU. deben implementar p=reject bajo CISA BOD 18-01. PCI DSS v4.0 requiere DMARC desde marzo de 2025. Google, Yahoo y Microsoft requieren DMARC para remitentes masivos. El NCSC del Reino Unido, el ASD de Australia y el CCCS de Canadá exigen DMARC para dominios gubernamentales. La directiva NIS2 de la UE refuerza el caso de DMARC en infraestructura crítica. Muchas pólizas de seguro cibernético ahora requieren SPF, DKIM y la aplicación de DMARC como condiciones de suscripción.
¿Qué es un informe agregado DMARC?
Un informe agregado (RUA) es un archivo XML enviado diariamente por los servidores de correo receptores. Resume los resultados de autenticación de todos los mensajes que afirman ser de su dominio — mostrando qué remitentes aprobaron o fallaron SPF y DKIM, y qué política se aplicó. DMARC Report convierte estos archivos XML en paneles visuales.
¿Puede DMARC interrumpir la entrega de mi correo?
Con p=none, DMARC no puede afectar la entrega de correo — es solo supervisión. Con p=quarantine o p=reject, los mensajes de remitentes legítimos que fallen la autenticación se verán afectados. Por eso es esencial un enfoque por fases con más de 90 días de supervisión en cada etapa antes de la aplicación.
Comience a supervisar sus informes DMARC hoy
Prueba gratuita — sin tarjeta de crédito. Vea quién envía correo desde su dominio en minutos.
Prueba gratuitaConfiado por equipos de seguridad en todo el mundo
Rated 4.8/5 on G2 · 469 verified reviews
Verified User in Information Technology and Services
"Best security tool for your own domains"
The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.
Ryan C.
Director
"Control Centre for Email Security"
I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.
eddy g.
Director
"A great solution to a common email problem."
I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.