Si envías emails desde un dominio español o latinoamericano, es probable que hayas oído hablar de DMARC en los últimos meses. Google y Yahoo publicaron en febrero de 2024 requisitos obligatorios para remitentes masivos: SPF, DKIM y DMARC son ya no opcionales, sino requisitos para garantizar entrega. Sin embargo, cuando observamos los datos reales de dominios en el top-1M de Tranco, la realidad es que la adopción de DMARC en España y Latinoamérica es aún baja, y más baja aún la implementación de políticas restrictivas (quarantine o reject). En este artículo analizamos qué dicen los datos y qué significa para tu negocio.
Qué es DMARC y por qué es crítico hoy
DMARC (Domain-based Message Authentication, Reporting and Conformance) es un estándar que permite al propietario de un dominio declarar públicamente cómo los servidores de correo deben tratar los mensajes que pretenden venir de ese dominio. Funciona como guardia: si alguien intenta suplantar tu dominio en el campo From:, DMARC le ordena al servidor receptor qué hacer: aceptar, poner en cuarentena o rechazar directamente.
DMARC se apoya en dos pilares más antiguos: SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Tu registro DMARC verifica que el email fue autenticado mediante al menos uno de estos dos métodos.
En enero de 2024, Google y Yahoo anunciaron que a partir de febrero del mismo año, todos los remitentes de volumen (envíos masivos) deben tener DMARC configurado, preferentemente en modop=quarantine o p=reject. Esta presión global ha acelerado la adopción, pero los datos muestran que en España y Latinoamérica el cambio es más lento que en otros mercados.
La presión de Google y Yahoo: requisitos 2024
A partir de febrero de 2024, estos son los requisitos obligatorios para emails comerciales y masivos:
- SPF configurado correctamente para tu dominio de envío.
- DKIM activado en tus mensajes (firma digital).
- DMARC publicado (con política
p=none,p=quarantineop=reject). - Unsubscribe de un clic (RFC 8058): todos los emails comerciales deben permitir desuscripción sin redirecciones.
- Tasa de spam < 0.3% según Google Postmaster Tools (medido por quejas de usuarios).
El incumplimiento de estos requisitos no significa bloqueo inmediato, pero aumenta significativamente el riesgo de entrar en Spam o ser rechazado. Es especialmente grave en Gmail, que es dominante tanto en España (persona física y Google Workspace) como en toda Latinoamérica.
Datos de adopción de DMARC en dominios españoles
Según los escaneos semanales de /email-stats/, que analiza el top-1M de dominios de Tranco, el estado actual de DMARC en dominios que envían email es:
- Sin DMARC publicado: más de la mitad de los dominios activos aún no tienen registro DMARC. Esta brecha es mayor en España y Latinoamérica que en mercados anglosajoces (EE.UU., UK, AU).
- DMARC p=none: muchos dominios que sí publican DMARC lo hacen en modo pasivo (none), lo que significa que no se rechaza ni se pone en cuarentena nada. Es un registro de «solo observa».
- DMARC p=quarantine o p=reject: solo una minoría (menos de la mitad de quienes tienen DMARC) han avanzado a políticas restrictivas reales.
Esta distribución refleja una curva típica de adopción: primeros movers (grandes corporaciones, plataformas) ya han migrado a p=reject, pero la mayoría de pymes, profesionales autónomos y tiendas online españolas y latinoamericanas aún están en fase de exploración o retrasos legales/técnicos.
DMARC none, quarantine y reject: cuándo usar cada una
Los tres modos de DMARC representan escalones de rigidez creciente. La elección depende de tu readiness (madurez de SPF/DKIM) y tolerancia al riesgo.
p=none: DMARC está publicado pero no toma acción. Los servidores receptores reportan fallos enrua@(reporte agregado), pero no descartan emails. Ideal para auditoría inicial: detectar si hay emails no autenticados siendo enviados en tu nombre.p=quarantine: emails que fallan autenticación van a Spam/Cuarentena, no se rechazan.Punto de equilibrio recomendado: protege contra suplantación sin romper envíos legítimos que pudieran tener falsos positivos.p=reject: el servidor receptor rechaza directamente el email. Máxima protección, pero requiere 100% de confianza en que todos tus remitentes legítimos (internos, partners, plataformas) están correctamente autenticados. Un error aquí puede romper la entrega.
La recomendación de Google y Yahoo es al menos p=quarantine. La mayoría de empresas españolas que han avanzado están en este nivel; solo corporaciones y empresas tecnológicas han llegado a p=reject.
Por qué los dominios españoles rezagan en adopción
Hay varias razones por las que España y Latinoamérica van por detrás en implementación de DMARC:
- Dependencia de plataformas gestoras: muchos negocios online en España usan PrestaShop, WooCommerce, Tiendanube o Shopify, que requieren configuración manual de DMARC en la zona DNS. Muchos hosting providers hispanos no documentan bien este proceso.
- Herencia de dominios legacy: proveedores como Movistar/Telefónica aún tienen bases de datos con direcciones @movistar.es que migran entre infraestructuras; actualizar DMARC en esos dominios es complicado o imposible.
- Conformidad RGPD/normativa local: algunos equipos jurídicos confunden DMARC (autenticación) con privacidad, retrasando la implementación por temor.
- Falta de presión de mercado local: los proveedores de email español/latinoamericanos (Mailrelay, Acumbamail, Doppler) han evangelizado menos que Brevo o Mailjet. La presión de Google/Yahoo llegó después al mercado hispanohablante.
Cómo implementar DMARC correctamente: paso a paso
Si aún no tienes DMARC o tienes p=none, aquí te dejamos el plan recomendado:
- Audita SPF: verifica que todos tus remitentes legítimos (email interno, plataformas, partners) están en tu registro SPF. Usa incluidas (include:) para mantenerlo legible.
- Activa DKIM: genera pares de claves pública/privada en tu proveedor de email o plataforma (Gmail, Brevo, Mailrelay, etc.). Publica la clave pública en DNS.
- Publica DMARC p=none: crea el registro y déjalo en none durante 30 días mínimo. Monitorea los reportes en tu dirección
rua@(agregados) yruf@(fallos). - Revisa reportes: analiza cuántos emails fallan autenticación. Si el porcentaje es bajo (< 5%), es seguro pasar a quarantine.
- Migra a p=quarantine: actualiza el registro. Monitorea 7 días. Si no hay problemas, considera p=reject a largo plazo.
El registro DMARC es una línea TXT en tu zona DNS. Ejemplo básico:
v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tudominio.es; ruf=mailto:dmarc-failures@tudominio.es; pct=100pct=100 significa que el 100% de emails se evalúan contra la política. Algunos prefieren bajar a pct=10 inicialmente para reduce riesgo, pero es más lento auditarlos.
Qué esperar según tu proveedor de email
Si usas un ESP español o regional:
- Brevo, Mailjet: soporte completo a DMARC desde el panel. Generan claves DKIM automáticamente; solo necesitas copiar al DNS.
- Mailrelay (España): interface clara para DKIM/DMARC. Documentación en español.
- Doppler (LatAm): integración DMARC en panel. Reporte built-in.
- Shopify / PrestaShop: requiere configurar DMARC manualmente en tu zona DNS (el ESP no lo gestiona por ti).
- Gmail / Google Workspace: si envías desde tu propio dominio, la configuración SPF/DKIM es casi automática; DMARC requiere intervención manual.
¿Perderé emails si paso a p=quarantine sin auditar bien?
Sí, hay riesgo. Por eso la recomendación es estar mínimo 30 días en p=noney revisar los reportes de fallos. Si la tasa de fallos es baja (< 5%), quarantine es seguro. Si es alta, significa que tienes remitentes no autenticados; identifícalos y corrígelos primero.
¿Es obligatorio DMARC según RGPD en España?
No es obligación de RGPD directamente. RGPD regula protección de datos personales; DMARC es autenticación de email. Sin embargo, el requisito de Google/Yahoo desde 2024 de facto lo hace obligatorio si quieres entrega garantizada. Además, tu política de privacidad debe permitir autenticación de dominio para combatir phishing.
¿Qué pasa con p=reject si tengo partners que envían desde mi dominio?
Con p=reject, solo funcionan los remitentes que pasan autenticación DMARC (SPF o DKIM). Si un partner no está en tu SPF (no está autorizado) o no firma DKIM, su email será rechazado directamente. Por eso se recomienda audit completo de remitentes antes de ir a reject. DMARC p=quarantine es más tolerante y casi tan seguro.