Datos8 min de lectura

Adopción de DMARC en dominios españoles

La mayoría de empresas españolas aún no protege sus dominios contra suplantación de identidad por email. Descubre qué dicen los datos sobre la adopción de DMARC en el mercado hispanohablante y por qué Google y Yahoo ya exigen configuraciones más rigurosas.

Si envías emails desde un dominio español o latinoamericano, es probable que hayas oído hablar de DMARC en los últimos meses. Google y Yahoo publicaron en febrero de 2024 requisitos obligatorios para remitentes masivos: SPF, DKIM y DMARC son ya no opcionales, sino requisitos para garantizar entrega. Sin embargo, cuando observamos los datos reales de dominios en el top-1M de Tranco, la realidad es que la adopción de DMARC en España y Latinoamérica es aún baja, y más baja aún la implementación de políticas restrictivas (quarantine o reject). En este artículo analizamos qué dicen los datos y qué significa para tu negocio.

Qué es DMARC y por qué es crítico hoy

DMARC (Domain-based Message Authentication, Reporting and Conformance) es un estándar que permite al propietario de un dominio declarar públicamente cómo los servidores de correo deben tratar los mensajes que pretenden venir de ese dominio. Funciona como guardia: si alguien intenta suplantar tu dominio en el campo From:, DMARC le ordena al servidor receptor qué hacer: aceptar, poner en cuarentena o rechazar directamente.

DMARC se apoya en dos pilares más antiguos: SPF (Sender Policy Framework) y DKIM (DomainKeys Identified Mail). Tu registro DMARC verifica que el email fue autenticado mediante al menos uno de estos dos métodos.

SPFDeclara qué servidores pueden enviar email de tu dominioDKIMFirma criptográfica del mensaje para verificar integridadDMARCPolítica: qué hacer si falla la verificación
Cómo SPF, DKIM y DMARC trabajan juntos en la cadena de autenticación

En enero de 2024, Google y Yahoo anunciaron que a partir de febrero del mismo año, todos los remitentes de volumen (envíos masivos) deben tener DMARC configurado, preferentemente en modop=quarantine o p=reject. Esta presión global ha acelerado la adopción, pero los datos muestran que en España y Latinoamérica el cambio es más lento que en otros mercados.

La presión de Google y Yahoo: requisitos 2024

A partir de febrero de 2024, estos son los requisitos obligatorios para emails comerciales y masivos:

  • SPF configurado correctamente para tu dominio de envío.
  • DKIM activado en tus mensajes (firma digital).
  • DMARC publicado (con política p=none, p=quarantine o p=reject).
  • Unsubscribe de un clic (RFC 8058): todos los emails comerciales deben permitir desuscripción sin redirecciones.
  • Tasa de spam < 0.3% según Google Postmaster Tools (medido por quejas de usuarios).

El incumplimiento de estos requisitos no significa bloqueo inmediato, pero aumenta significativamente el riesgo de entrar en Spam o ser rechazado. Es especialmente grave en Gmail, que es dominante tanto en España (persona física y Google Workspace) como en toda Latinoamérica.

Datos de adopción de DMARC en dominios españoles

Según los escaneos semanales de /email-stats/, que analiza el top-1M de dominios de Tranco, el estado actual de DMARC en dominios que envían email es:

  • Sin DMARC publicado: más de la mitad de los dominios activos aún no tienen registro DMARC. Esta brecha es mayor en España y Latinoamérica que en mercados anglosajoces (EE.UU., UK, AU).
  • DMARC p=none: muchos dominios que sí publican DMARC lo hacen en modo pasivo (none), lo que significa que no se rechaza ni se pone en cuarentena nada. Es un registro de «solo observa».
  • DMARC p=quarantine o p=reject: solo una minoría (menos de la mitad de quienes tienen DMARC) han avanzado a políticas restrictivas reales.

Esta distribución refleja una curva típica de adopción: primeros movers (grandes corporaciones, plataformas) ya han migrado a p=reject, pero la mayoría de pymes, profesionales autónomos y tiendas online españolas y latinoamericanas aún están en fase de exploración o retrasos legales/técnicos.

DMARC none, quarantine y reject: cuándo usar cada una

Los tres modos de DMARC representan escalones de rigidez creciente. La elección depende de tu readiness (madurez de SPF/DKIM) y tolerancia al riesgo.

  1. p=none: DMARC está publicado pero no toma acción. Los servidores receptores reportan fallos en rua@ (reporte agregado), pero no descartan emails. Ideal para auditoría inicial: detectar si hay emails no autenticados siendo enviados en tu nombre.
  2. p=quarantine: emails que fallan autenticación van a Spam/Cuarentena, no se rechazan.Punto de equilibrio recomendado: protege contra suplantación sin romper envíos legítimos que pudieran tener falsos positivos.
  3. p=reject: el servidor receptor rechaza directamente el email. Máxima protección, pero requiere 100% de confianza en que todos tus remitentes legítimos (internos, partners, plataformas) están correctamente autenticados. Un error aquí puede romper la entrega.

La recomendación de Google y Yahoo es al menos p=quarantine. La mayoría de empresas españolas que han avanzado están en este nivel; solo corporaciones y empresas tecnológicas han llegado a p=reject.

Por qué los dominios españoles rezagan en adopción

Hay varias razones por las que España y Latinoamérica van por detrás en implementación de DMARC:

  • Dependencia de plataformas gestoras: muchos negocios online en España usan PrestaShop, WooCommerce, Tiendanube o Shopify, que requieren configuración manual de DMARC en la zona DNS. Muchos hosting providers hispanos no documentan bien este proceso.
  • Herencia de dominios legacy: proveedores como Movistar/Telefónica aún tienen bases de datos con direcciones @movistar.es que migran entre infraestructuras; actualizar DMARC en esos dominios es complicado o imposible.
  • Conformidad RGPD/normativa local: algunos equipos jurídicos confunden DMARC (autenticación) con privacidad, retrasando la implementación por temor.
  • Falta de presión de mercado local: los proveedores de email español/latinoamericanos (Mailrelay, Acumbamail, Doppler) han evangelizado menos que Brevo o Mailjet. La presión de Google/Yahoo llegó después al mercado hispanohablante.
Verifica tu DMARC gratis
No necesitas esperar a un incidente de reputación. Usa check.live-direct-marketing.online para enviar un email de prueba desde tu dominio y ver al instante si DMARC está bien configurado, además de comprobar SPF, DKIM y cómo se ve tu email en Inbox vs. Spam de 20+ proveedores reales. Es gratuito y sin registro.

Cómo implementar DMARC correctamente: paso a paso

Si aún no tienes DMARC o tienes p=none, aquí te dejamos el plan recomendado:

  1. Audita SPF: verifica que todos tus remitentes legítimos (email interno, plataformas, partners) están en tu registro SPF. Usa incluidas (include:) para mantenerlo legible.
  2. Activa DKIM: genera pares de claves pública/privada en tu proveedor de email o plataforma (Gmail, Brevo, Mailrelay, etc.). Publica la clave pública en DNS.
  3. Publica DMARC p=none: crea el registro y déjalo en none durante 30 días mínimo. Monitorea los reportes en tu dirección rua@ (agregados) y ruf@ (fallos).
  4. Revisa reportes: analiza cuántos emails fallan autenticación. Si el porcentaje es bajo (< 5%), es seguro pasar a quarantine.
  5. Migra a p=quarantine: actualiza el registro. Monitorea 7 días. Si no hay problemas, considera p=reject a largo plazo.

El registro DMARC es una línea TXT en tu zona DNS. Ejemplo básico:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tudominio.es; ruf=mailto:dmarc-failures@tudominio.es; pct=100

pct=100 significa que el 100% de emails se evalúan contra la política. Algunos prefieren bajar a pct=10 inicialmente para reduce riesgo, pero es más lento auditarlos.

Qué esperar según tu proveedor de email

Si usas un ESP español o regional:

  • Brevo, Mailjet: soporte completo a DMARC desde el panel. Generan claves DKIM automáticamente; solo necesitas copiar al DNS.
  • Mailrelay (España): interface clara para DKIM/DMARC. Documentación en español.
  • Doppler (LatAm): integración DMARC en panel. Reporte built-in.
  • Shopify / PrestaShop: requiere configurar DMARC manualmente en tu zona DNS (el ESP no lo gestiona por ti).
  • Gmail / Google Workspace: si envías desde tu propio dominio, la configuración SPF/DKIM es casi automática; DMARC requiere intervención manual.

¿Perderé emails si paso a p=quarantine sin auditar bien?

Sí, hay riesgo. Por eso la recomendación es estar mínimo 30 días en p=noney revisar los reportes de fallos. Si la tasa de fallos es baja (< 5%), quarantine es seguro. Si es alta, significa que tienes remitentes no autenticados; identifícalos y corrígelos primero.

¿Es obligatorio DMARC según RGPD en España?

No es obligación de RGPD directamente. RGPD regula protección de datos personales; DMARC es autenticación de email. Sin embargo, el requisito de Google/Yahoo desde 2024 de facto lo hace obligatorio si quieres entrega garantizada. Además, tu política de privacidad debe permitir autenticación de dominio para combatir phishing.

¿Qué pasa con p=reject si tengo partners que envían desde mi dominio?

Con p=reject, solo funcionan los remitentes que pasan autenticación DMARC (SPF o DKIM). Si un partner no está en tu SPF (no está autorizado) o no firma DKIM, su email será rechazado directamente. Por eso se recomienda audit completo de remitentes antes de ir a reject. DMARC p=quarantine es más tolerante y casi tan seguro.

Lecturas relacionadas
Found this useful? Share it
AB
Sobre el autor
Artem Berezin
B2B Deliverability Specialist

B2B deliverability specialist with 5+ years of hands-on outreach experience. Built campaigns reaching 90,000+ inboxes across 20+ countries — and fixed the deliverability problems that came with that scale.

Comprueba tu entregabilidad en más de 20 proveedores

Gmail, Outlook, Yahoo, GMX, ProtonMail y más. Capturas reales de la bandeja de entrada, SPF/DKIM/DMARC, veredictos de filtros de spam. Gratis, sin registro.

Hacer test gratis →

Tests ilimitados · Más de 20 buzones · Resultados en vivo · Sin cuenta