¿Qué significa la alineación en DMARC?

La alineación significa que el dominio que SPF o DKIM autenticó debe coincidir con el dominio del encabezado De visible. La flexible permite la coincidencia a nivel del dominio organizativo; la estricta exige una coincidencia exacta. La flexible es la predeterminada.

DMARC Verificador de registros DMARC

Verifica la política DMARC de tu dominio, ve qué hace realmente, y genera un registro válido.

Generar un registro DMARC

Construye un registro TXT DMARC válido. Empieza con una política de supervisión, revisa los informes agregados durante unas semanas, y luego endurécela.

¿A dónde deben enviarse los informes agregados DMARC? Una dirección de correo que recibirá los informes agregados diarios. Muchos usan [email protected] o su propio correo de administración.

Política Empieza con none mientras revisas los informes, luego endurece a quarantine y finalmente a reject.

Opciones avanzadas

Política de subdominios Anula la política para los subdominios. Déjalo en «heredar» salvo que necesites un trato distinto.

Cobertura (pct) Porcentaje de mensajes a los que se aplica la política. Útil para un despliegue gradual. Déjalo vacío para el valor predeterminado de 100 %.

Dirección de informes forenses (ruf) Opcional — recibe informes de fallo por mensaje. La mayoría de los receptores ya no los envían.

Alineación SPF (aspf)

Alineación DKIM (adkim)

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) es una política DNS que indica a los servidores de correo receptores qué hacer con los mensajes que fallan la autenticación SPF o DKIM, y dónde enviar los informes sobre el tráfico de correo de tu dominio.

DMARC se apoya en SPF y DKIM — no autentica los mensajes por sí mismo. En cambio, te permite decir «los mensajes que dicen provenir de mi dominio deben pasar SPF o DKIM con alineación de dominio coincidente; si no, haz X, y envíame informes al respecto».

Qué prueba este verificador

Si existe un registro DMARC en _dmarc.<tudominio>
Si la sintaxis es válida (etiquetas v y p requeridas, sin valores no válidos)
Si existen varios registros DMARC (un error de configuración común)
Qué política de aplicación está en vigor (none, quarantine, reject)
Si hay direcciones de informes agregados (rua) configuradas
Los modos de alineación SPF y DKIM
El porcentaje de cobertura (pct) y cualquier implicación de despliegue parcial

Las políticas DMARC explicadas

p=none — modo supervisión

El servidor receptor no toma ninguna medida basada en DMARC, pero aun así te envía informes. Empieza aquí al desplegar DMARC por primera vez: verás qué servidores envían correo «en nombre» de tu dominio — incluidos los legítimos que quizá hayas olvidado — sin arriesgar que se pierda correo real.

p=quarantine — enviar a spam

Los mensajes que fallan DMARC se entregan a spam/correo no deseado. Úsala después de unas semanas de supervisión, una vez que tengas la confianza de que todos tus remitentes legítimos pasan.

p=reject — bloquear de inmediato

El ajuste más estricto — los mensajes que fallan se rechazan a nivel SMTP. Úsala solo cuando estés seguro de que tu DMARC autoriza correctamente a cada remitente legítimo. Gmail y Yahoo la exigen para los remitentes masivos desde 2024.

Las etiquetas de informe (rua y ruf)

rua establece la(s) dirección(es) de correo que reciben los informes agregados — resúmenes XML diarios de cuántos mensajes de tu dominio pasaron o fallaron DMARC, desglosados por IP de envío. Sin rua, vas a ciegas. Muchos usan un buzón dedicado como [email protected] o un servicio externo como Postmark DMARC, Valimail o dmarcian.

ruf establece las direcciones para los informes forenses (por fallo). Contienen mensajes fallidos individuales con datos personales, así que la mayoría de los grandes proveedores de buzones (Gmail, Microsoft) ya no los envían. Normalmente puedes omitirlo.

Preguntas frecuentes

¿Dónde publico mi registro DMARC?

DMARC es un registro TXT publicado en _dmarc.tudominio.com. En la mayoría de los paneles de DNS introduces el host como _dmarc (la etiqueta a secas) y el panel añade tu dominio raíz automáticamente.

¿Necesito SPF y DKIM antes de añadir DMARC?

Deberías tener al menos uno de ellos pasando primero. DMARC exige que SPF o DKIM pase con alineación de dominio para que un mensaje pase DMARC. Si no hay ninguno configurado, todos los mensajes fallarán DMARC — así que empieza con p=none para evitar perder correo real.

¿Qué significa «alineación»?

La alineación significa que el dominio que SPF o DKIM autenticó debe coincidir con el dominio del encabezado De: visible. La alineación flexible permite la coincidencia a nivel del dominio organizativo (así mail.example.com se alinea con example.com). La alineación estricta exige una coincidencia exacta. La flexible es la predeterminada y casi siempre lo que quieres.

¿Cuánto tiempo debería quedarme en p=none?

Revisa los informes agregados durante al menos 2 a 4 semanas. Asegúrate de que todas tus fuentes de envío legítimas (tu proveedor de correo, herramientas de marketing, servicios transaccionales, sistemas automatizados) pasen DMARC con la alineación correcta, luego pasa a p=quarantine con pct=25 aproximadamente para un despliegue gradual, y después aumenta.

¿Y si mi dominio no tiene correo?

Si tu dominio nunca envía correo, publica un registro DMARC estricto: v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s;. Esto dificulta que los estafadores suplanten tu dominio en ataques de phishing.

¿Puedo tener más de un registro DMARC?

No. El RFC 7489 exige explícitamente exactamente un registro DMARC por dominio. Si existen varios registros v=DMARC1 en _dmarc.<dominio>, los receptores consideran que el dominio no tiene ninguna política DMARC. Fusiónalos en un único registro.

¿Quieres el panorama completo? Ejecuta una verificación de dominio completa →