Skip to main content
New AI-powered DMARC analysis + open REST API See how → →
Autenticación de correo

¿Qué es un registro DMARC?

Un registro DMARC es un registro TXT de DNS publicado en _dmarc.sudominio.com que indica a los servidores de correo receptores qué hacer cuando la autenticación SPF o DKIM falla. Especifica su política (none, quarantine o reject), requisitos de alineación y dónde enviar informes agregados y forenses.

Definido en RFC 7489 — requerido por Google, Yahoo, Microsoft y PCI DSS v4.0.

Verifique su registro DMARC Ver todas las etiquetas
Anatomía

¿Cómo se ve un registro DMARC?

Un registro DMARC completo con todas las etiquetas comunes, desglosado etiqueta por etiqueta.

_dmarc.ejemplo.com TXT 
v=DMARC1; p=reject; rua=mailto:dmarc@ejemplo.com; ruf=mailto:forense@ejemplo.com; adkim=s; aspf=r; pct=100; sp=reject
v=DMARC1 Versión (requerido)
p=reject Política: bloquear fallos
rua= Dirección de informes agregados
ruf= Dirección de informes forenses
adkim=s Alineación DKIM estricta
aspf=r Alineación SPF relajada
pct=100 Aplicar al 100% de fallos
sp=reject Política de subdominio: reject
Referencia

Todas las etiquetas del registro DMARC

Cada etiqueta definida en la especificación DMARC con valores aceptados, descripciones y errores comunes a evitar.

v= Requerido

Versión

Identificador de versión del protocolo. Debe ser la primera etiqueta en todo registro DMARC. El único valor válido es DMARC1.

Valores
DMARC1
Ejemplo
v=DMARC1
Colocar v= en cualquier lugar que no sea el inicio del registro causa un PermError.
p= Requerido

Política

Indica a los receptores qué hacer con los mensajes que fallan la autenticación DMARC. Comience con none para monitoreo, progrese a través de quarantine hasta reject.

Valores
none | quarantine | reject
Ejemplo
p=reject
Saltar directamente a p=reject sin monitoreo causa que correo legítimo sea bloqueado.
rua= Opcional

URI de informe agregado

Donde los receptores envían informes agregados diarios (XML) resumiendo los resultados de autenticación para todos los mensajes de su dominio.

Valores
mailto:dirección
Ejemplo
rua=mailto:dmarc@ejemplo.com
Omitir rua= significa que no tiene visibilidad. Siempre establezca una dirección de informes.
ruf= Opcional

URI de informe forense

Donde los receptores envían informes forenses por mensaje con detalles de fallos. No todos los receptores soportan RUF.

Valores
mailto:dirección
Ejemplo
ruf=mailto:forense@ejemplo.com
Esperar que todos los receptores envíen informes forenses. Muchos (Google, Microsoft) no lo hacen.
sp= Opcional

Política de subdominio

Anula la política principal para subdominios. Si se omite, los subdominios heredan el valor de p=.

Valores
none | quarantine | reject
Ejemplo
sp=reject
Olvidar sp= cuando los subdominios necesitan una política diferente al dominio principal.
adkim= Opcional

Alineación DKIM

Controla si el dominio de firma DKIM debe coincidir exactamente (estricto) o puede ser un subdominio de (relajado) el dominio del encabezado From. Predeterminado: relajado.

Valores
r (relajado) | s (estricto)
Ejemplo
adkim=r
Establecer alineación estricta antes de confirmar que todos los remitentes firman con el dominio organizacional.
aspf= Opcional

Alineación SPF

Controla si el dominio autenticado por SPF debe coincidir exactamente (estricto) o puede ser un subdominio de (relajado) el dominio del encabezado From. Predeterminado: relajado.

Valores
r (relajado) | s (estricto)
Ejemplo
aspf=r
Establecer aspf=s cuando remitentes externos usan su propio subdominio de Return-Path.
pct= Opcional

Porcentaje

Porcentaje de mensajes fallidos a los que se aplica la política. Use para despliegue gradual de aplicación. Predeterminado: 100.

Valores
1-100
Ejemplo
pct=25
Olvidar aumentar pct= después del despliegue inicial, dejando la mayoría del correo sin aplicar.
fo= Opcional

Opciones forenses

Controla cuándo se generan informes forenses. 0=ambos SPF y DKIM fallan, 1=cualquiera falla, d=DKIM falla, s=SPF falla.

Valores
0 | 1 | d | s
Ejemplo
fo=1
Dejar fo= en el valor predeterminado (0), que solo informa cuando ambos SPF y DKIM fallan.
Sintaxis

Reglas de estructura del registro DMARC

Un registro DMARC válido debe seguir estas reglas. Violar cualquiera de ellas hace que los receptores ignoren el registro por completo.

1

Un registro por dominio

Un dominio debe tener exactamente un registro TXT DMARC. Múltiples registros causan un PermError y los receptores ignoran todos.

2

Publicado en el subdominio _dmarc

El registro debe ser un registro TXT en _dmarc.sudominio.com — no en el dominio raíz, no en _dmarc.www.sudominio.com.

3

Debe comenzar con v=DMARC1

La etiqueta v= debe ser la primera etiqueta en el registro. Cualquier otra etiqueta que aparezca primero hace que el registro sea inválido.

4

Etiquetas separadas por punto y coma

Cada etiqueta se separa por un punto y coma y espacio opcional: v=DMARC1; p=reject; rua=mailto:...

5

Nombres de etiquetas sin distinción de mayúsculas

Los nombres de etiquetas (p=, rua=, adkim=) no distinguen mayúsculas, pero los valores son sensibles a mayúsculas en algunas etiquetas.

Ejemplos

Ejemplos de registros DMARC por fase

Tres registros para las tres fases del despliegue DMARC. Cada fase requiere un mínimo de 90 días de monitoreo. El recorrido completo hasta p=reject típicamente toma de 9 a 18 meses.

Solo monitoreo Fase 1 — Recopilar datos antes de aplicar 
v=DMARC1; p=none; rua=mailto:dmarc@ejemplo.com; fo=1

Comience aquí. Los receptores entregan todo el correo normalmente pero le envían informes agregados diarios. La etiqueta fo=1 genera informes forenses cuando SPF o DKIM falla, dando máxima visibilidad.

Aplicación gradual Fase 2 — Cuarentena del 25% de los fallos 
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@ejemplo.com; ruf=mailto:forense@ejemplo.com; adkim=r; aspf=r

Después de más de 90 días de monitoreo con p=none, pase a quarantine con pct=25. Solo el 25% de los mensajes que fallan van a spam. Aumente pct= gradualmente (50, 75, 100) durante varias semanas a medida que confirma que el correo legítimo aprueba.

Rechazo completo Fase 3 — Máxima protección 
v=DMARC1; p=reject; rua=mailto:dmarc@ejemplo.com; ruf=mailto:forense@ejemplo.com; adkim=s; aspf=s; sp=reject

El objetivo final. Todos los mensajes que fallan DMARC se rechazan a nivel SMTP. La alineación estricta asegura coincidencia exacta del dominio. sp=reject extiende la protección a todos los subdominios. Alcanzar esta etapa típicamente toma de 9 a 18 meses.

Validar

¿Cómo se verifica un registro DMARC?

Use una herramienta verificadora DMARC para consultar el registro TXT de DNS en _dmarc.sudominio.com y validar que la sintaxis, etiquetas y valores sean correctos.

  • Valida la sintaxis y el orden de las etiquetas del registro
  • Verifica múltiples registros en conflicto
  • Comprueba que las direcciones rua= y ruf= sean accesibles
  • Confirma el modo de alineación y la configuración de la política
Verifique su registro DMARC
Verificador DMARC — ejemplo.com
Registro encontrado
_dmarc.ejemplo.com
aprobado
Política
p=reject
aprobado
Informes agregados
rua=mailto:dmarc@ejemplo.com
aprobado
Alineación DKIM
adkim=s (estricto)
aprobado
Alineación SPF
aspf=r (relajado)
aprobado
Política de subdominio
sp=reject
aprobado
Generar

¿Cómo se crea un registro DMARC?

Use nuestro Generador de registros DMARC gratuito para crear un registro válido en segundos — elija su política, ingrese su dirección de informes y copie el registro TXT en su DNS.

Genere su registro DMARC
O siga nuestra guía paso a paso →
FAQ

Preguntas frecuentes sobre registros DMARC

¿Puedo tener múltiples registros DMARC para un dominio?

No. Un dominio debe tener exactamente un registro TXT DMARC en _dmarc.sudominio.com. Si existen múltiples registros, los receptores devuelven un PermError e ignoran todos. Para enviar informes a múltiples direcciones, lístelas separadas por comas en la etiqueta rua=: rua=mailto:dir1@ejemplo.com,mailto:dir2@ejemplo.com.

¿Dónde agrego mi registro DMARC en DNS?

Agregue un registro TXT con el host/nombre establecido como _dmarc (su proveedor de DNS agrega el dominio automáticamente). El tipo de registro es TXT y el valor es su cadena de política DMARC que comienza con v=DMARC1. Los cambios se propagan en minutos a 48 horas dependiendo de la configuración del TTL.

¿Cuál es el registro DMARC mínimo válido?

El registro DMARC mínimo válido es v=DMARC1; p=none — solo las etiquetas de versión y política. Sin embargo, sin rua= no recibe informes y no tiene visibilidad. El mínimo práctico es v=DMARC1; p=none; rua=mailto:su-direccion@ejemplo.com.

¿Qué sucede si mi registro DMARC tiene un error de sintaxis?

Los receptores que detectan un error de sintaxis tratarán el registro como si no existiera registro DMARC. Los mensajes se entregan basándose solo en los resultados de SPF y DKIM, sin aplicación de política DMARC. Use un verificador DMARC para validar la sintaxis de su registro antes de publicar.

¿Cuánto tiempo tarda un registro DMARC en tomar efecto?

Los registros DMARC toman efecto tan pronto como se completa la propagación DNS, típicamente en minutos a 48 horas. Sin embargo, los informes agregados comienzan a llegar entre 24 y 72 horas después de publicar porque los receptores procesan informes por lotes diariamente. Espere una semana completa antes de concluir que los informes no se están generando.

¿Los subdominios necesitan sus propios registros DMARC?

Los subdominios heredan la política DMARC del dominio padre automáticamente. Solo necesita un registro DMARC separado para el subdominio si este requiere una política diferente. La etiqueta sp= en el registro del dominio padre también puede establecer una política específica para subdominios sin crear registros separados.

Verifique su registro DMARC ahora

Valide la sintaxis, etiquetas y configuración de informes de su registro en segundos con nuestro verificador DMARC gratuito.

Verificar registro DMARC

Confiado por equipos de seguridad en todo el mundo

G2 Leader — DMARC

Rated 4.8/5 on G2 · 469 verified reviews

G2 Momentum Leader — DMARC
DG

Dave G.

Owner

5/5

"DMARC Report has been invaluable in fixing email deliverability issues for our clients"

DMARC Report dashboard allows us to see easily what is compliant and what isn't compliant so we can quickly fix issues.

9/27/2022 Verified on G2
ZK

Zunaid K.

Director

5/5

"Essential tool for email delivery"

This tool helps us to implement DMARC reporting for our domains in an easy to use manner.

8/8/2024 Verified on G2
VU

Verified User in Information Technology and Services

5/5

"Best security tool for your own domains"

The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.

8/31/2022 Verified on G2
Read all 469 reviews on G2 →