DMARC es el registro que por fin impide que otras personas envíen correo haciéndose pasar por tu dominio, pero también es el que tiene más probabilidades de bloquear tu propio correo si lo apresuras. La forma segura es un despliegue por etapas: empieza en modo de monitoreo, lee los reportes, corrige lo que está fallando y luego endurece la política paso a paso. Esta guía te lleva por todo el proceso.

Antes de empezar: Asegúrate de que SPF y DKIM ya estén publicados y pasando para todo tu correo. DMARC se apoya en ellos: activar una política DMARC de cumplimiento mientras tu correo real falla la autenticación es lo que causa la pérdida de correo. Revísalo primero con un diagnóstico completo del dominio.

Cómo se ve un registro DMARC

DMARC es un único registro TXT publicado en el nombre de host especial _dmarc.yourdomain.com. Un registro inicial se ve así:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com

Las etiquetas clave:

  • v=DMARC1 — la versión. Siempre va primero y siempre con este valor.
  • p= — la política: none, quarantine o reject. Es la perilla que irás subiendo con el tiempo.
  • rua= — la dirección que recibe los reportes agregados (resúmenes diarios en XML de quién envió correo como tú).
  • pct= — opcional; el porcentaje del correo que falla al que se aplica la política, útil para un despliegue gradual.
  • sp= — opcional; una política aparte para los subdominios.

Paso 1: Publica una política de monitoreo (p=none)

Empieza publicando el registro inicial de arriba con p=none. Esto no cambia nada en la forma en que se entrega tu correo: simplemente les pide a los receptores que empiecen a enviarte reportes. Agrégalo como un registro TXT en _dmarc.yourdomain.com en tu DNS, usando la dirección donde quieres recibir los reportes.

Nuestro verificador de DMARC genera un registro correcto por ti y te muestra los pasos exactos para tu proveedor de DNS.

Paso 2: Lee tus reportes agregados

En uno o dos días, los reportes empiezan a llegar como archivos adjuntos XML. El XML en bruto es difícil de leer, así que la mayoría de la gente carga rua en un visor de reportes DMARC gratuito o de pago. Buscas una sola cosa: cada fuente legítima de tu correo, y si pasa SPF y DKIM con alineación.

Espera sorpresas aquí: las plataformas de boletines, tu CRM, las herramientas de facturación y el software de soporte técnico envían correo "como tú" y es fácil olvidarlos. Haz una lista de cada remitente legítimo que revelen los reportes.

Paso 3: Corrige las fuentes legítimas que fallan

Para cada remitente legítimo que no esté pasando:

  • Agrégalo a tu registro SPF (normalmente un include: que el proveedor documenta), y
  • Habilita la firma DKIM para él donde el proveedor lo permita (es lo preferible, porque DKIM sobrevive al reenvío).

Sigue iterando hasta que tus reportes muestren que todo tu correo real pasa y está alineado. No avances hasta que esto sea cierto: este paso es la razón de ser del modo de monitoreo.

Paso 4: Pasa a quarantine

Una vez que el correo legítimo pasa sin problemas, endurece a quarantine. Ahora el correo que falla va a la carpeta de spam en lugar de la bandeja de entrada:

v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com

Si quieres ser cauteloso, aplícalo primero a una fracción del correo con pct y luego súbelo:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@yourdomain.com

Vigila los reportes durante una o dos semanas. Si no se está atrapando nada legítimo, sube pct a 100 (o simplemente quítalo).

Paso 5: Pasa a reject

La meta es p=reject, donde el correo que falla la autenticación se rechaza por completo y nunca llega al destinatario: la protección más fuerte contra la suplantación:

v=DMARC1; p=reject; rua=mailto:dmarc@yourdomain.com

Da este salto solo después de que quarantine haya funcionado limpiamente sin atrapar correo legítimo. En reject, la suplantación de tu dominio deja de funcionar.

¿Cuánto tarda todo el proceso?

Para un dominio simple con un solo proveedor de correo, puedes llegar a p=reject en un par de semanas. Para una organización con muchas herramientas de envío, dale de cuatro a ocho semanas de monitoreo para que cada fuente legítima aparezca en los reportes antes de aplicar el cumplimiento.

Consejo: Mantén los reportes rua activados de forma permanente, incluso en p=reject. Es tu sistema de alerta temprana: si una nueva herramienta empieza a fallar, o alguien intenta suplantarte, los reportes lo muestran.

Genera y verifica tu registro

Usa el verificador de DMARC para construir el registro correcto en cada etapa y confirmar que está activo, y la revisión completa del dominio para confirmar que SPF y DKIM son sólidos antes de aplicar el cumplimiento. ¿Nuevo en estos conceptos? Lee primero SPF, DKIM y DMARC explicados.