DMARC es el tercer pilar de la autenticación de correo: sin SPF y DKIM, DMARC no funciona. Gmail y Yahoo (desde febrero de 2024) obligan a implementar SPF, DKIM y DMARC p=none como mínimo para senders masivos. Este artículo te guía paso a paso desde p=none (modo monitor) hasta p=reject (protección máxima), evitando errores que pueden romper tu correo legítimo o dejarlo en spam.
¿Qué es DMARC y por qué es crítico para tu dominio?
DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo que verifica que tu dominio de correo no esté siendo suplantado. Trabaja junto a SPF y DKIM:
- SPF valida que el servidor de envío está autorizado para tu dominio.
- DKIM firma digitalmente el contenido del mensaje.
- DMARC define la acción: si SPF o DKIM fallan, rechaza o cuarentena el mensaje.
En España y Latinoamérica, donde el email es crítico para comercio electrónico (PrestaShop, WooCommerce, Shopify, Tiendanube), una mala configuración de DMARC puede enviar tus correos transaccionales al spam o directamente rechazarlos. La combinación de RGPD (España), LFPDPPP (México) y Ley 25.326 (Argentina) obliga a que tus mensajes lleguen a bandeja, no a spam. Además, una política DMARC fuerte protege tu reputación de dominio frente a suplantación (spoofing).
Paso 1: Verifica tu alineación SPF y DKIM antes de configurar DMARC
Antes de publicar cualquier registro DMARC, asegúrate de que tienes:
- Un registro SPF válido en tu dominio (por ejemplo,
v=spf1 include:tu-esp.com ~all). - DKIM activado en tu servidor o ESP (Mailrelay, Acumbamail, Brevo, Mailjet, MDirector, etc.).
- Alineación correcta: el dominio del selector DKIM y el dominio del From deben coincidir. Por ejemplo, si tu correo es correo@tudominio.com, tu firma DKIM debe usar tudominio.com como dominio, no un subdominio distinto como correo.tudominio.com.
Prueba esto gratis: envía un correo de prueba a través de check.live-direct-marketing.online y verás si SPF, DKIM y DMARC pasan en direcciones reales de Gmail, Outlook, Yahoo y otros proveedores.
Paso 2: Publica tu primer registro DMARC con política p=none
En tu panel de DNS (cPanel, Plesk, tu registrador de dominios, etc.), crea un nuevo registro TXT llamado _dmarc.tudominio.com con este contenido:
v=DMARC1; p=none; rua=mailto:dmarc-reports@tudominio.com; ruf=mailto:dmarc-forensics@tudominio.com; fo=1Qué significa cada etiqueta:
- v=DMARC1: versión del protocolo (siempre esta).
- p=none: política permisiva; no rechaza nada, solo monitorea (es lo más importante del inicio).
- rua=mailto:...: envía reportes XML agregados cada 24h a esta dirección (RUA = Reporting URI for Aggregate reports).
- ruf=mailto:...: envía reportes forenses cuando un mensaje falla DMARC (opcional pero recomendado después).
- fo=1: reporta si SPF O DKIM fallan (0 = solo si ambos fallan; 1 = cualquiera).
Paso 3: Monitorea tus reportes RUA y RUF
Dentro de 1–2 días recibirás emails automáticos de Google, Yahoo, Outlook, Yandex y otros ISPs con reportes XML comprimidos (ZIP). Estos archivos muestran:
- Cuántos mensajes pasaron SPF y DKIM alineados.
- Cuántos fallaron y por qué (SPF fail, DKIM fail, alineación incorrecta, etc.).
- Qué acción se tomó (none = se entregaron, quarantine = spam, reject = rechazado).
- Rangos de IP, dominios de origen y distribución geográfica de los envíos.
La mayoría de ESPs españoles y latinoamericanos (Mailrelay, Acumbamail, Brevo, Mailjet, MDirector) tienen analizadores DMARC integrados en su panel. Si quieres analizarlos manualmente, descomprime el ZIP, abre el XML con un editor de texto, y busca etiquetas como <dmarc_result>, <spf_result>, <dkim_result>. La tasa de «pass» debe subir durante la primera semana conforme tus sistemas se sincronicen.
Paso 4: Escala tu política hacia p=reject
Una vez que tus reportes muestren 95%+ de alineación SPF/DKIM durante una semana sin cambios, sigue esta escalada segura:
- Semana 1–2: Cambia a
p=quarantine(envía mensajes fallidos a spam, no a basura total). Revisa tus reportes. - Semana 3–4: Si no ves correos legítimos rebotados o en spam, cambia a
p=reject(rechaza completamente los mensajes fallidos). - Mes 1–3 después: Mantén monitoreando; algunos sistemas tardan en estabilizar. Ajusta si ves falsos positivos de servicios de terceros.
Nunca saltes de p=none a p=reject en el mismo día. Algunos dominios pueden no estar perfectamente alineados (webhooks, alertas internas, servicios de terceros), y un salto directo puede romper correos legítimos: notificaciones de pedidos, recuperación de contraseña, facturas. La escalada gradual cuesta 3–4 semanas pero evita desastres operacionales.
Errores comunes al configurar DMARC
Estos son los tropiezos más frecuentes que ven equipos de soporte en dominios españoles y latinoamericanos:
- Desalineación de dominio: Tu From es correo@tudominio.com pero tu DKIM firma como correo@correo.tudominio.com (subdomain mismatch). DMARC falla. Solución: asegúrate de que el selector DKIM usa el mismo dominio que tu From.
- Omitir rua/ruf: Sin estas direcciones, nunca recibirás reportes; no sabrás si hay fallos. Siempre añade una dirección válida (puede ser tu email personal), aunque no la revises todos los días.
- Saltar de p=none a p=reject: Algunos devops lo hacen por impaciencia. Resultado: correos legítimos rebotados, clientes sin notificaciones de pedidos, equipos internos sin alertas. La escalada gradual cuesta 3–4 semanas pero evita crisis.
- Caracteres especiales o IDN sin punycode: DMARC es ASCII-only. Si tienes un dominio internacionalizado (español, chino, árabe, etc.), debes convertirlo a punycode en el registro. Por ejemplo, café.es → xn--caf-dma.es.
- Múltiples etiquetas p=: Inválido. Solo puedes tener una política p= por registro DMARC. Si quieres hacer A/B testing, usa subdomios diferentes.
- No revisar formularios/webhooks de terceros: A menudo fallan alineación porque usan un servidor de terceros (Typeform, JotForm, Zapier). Inclúyelos en SPF o usa una dirección From alineada con tu dominio.
- Olvidar revisar Movistar/Telefónica y otros ISPs legales: En España, algunos ademas viejos de Movistar (@movistar.es) tienen migraciones de correo complejas; los reportes pueden parecer confusos, pero es normal. Revisa que no rechaces legítimamente a esos proveedores.
¿Mi dominio necesita DMARC si solo recibe correos?
No estrictamente. DMARC protege contra suplantación de tu dominio (spoofing). Si no envías correos, el riesgo inmediato es bajo. Sin embargo, publicar p=reject es una práctica defensiva recomendada: previene que otros usen tu dominio para spam y ataques de phishing. Es especialmente importante si tu empresa está en el riesgo de suplantación (eres banco, e-commerce, tienes marca reconocida, o trabajas en sectores regulados como finanzas o salud).
¿Cuánto tarda en activarse DMARC después de crear el registro?
El registro DNS se propaga en 15–30 minutos (depende de tu TTL y de los servidores DNS del mundo). Los reportes RUA tardan 24–48 horas en empezar a llegar, porque los receptores agregan datos cada 24h. Si esperas más de 48h sin reportes, revisa que la dirección de rua sea válida (prueba a enviar un email a esa dirección) y que tu registro TXT sea correcto (usa una herramienta de verificación DNS o check.live-direct-marketing.online).
¿Qué hago si recibo falsos positivos en los reportes DMARC?
Si ves que correos legítimos aparecen como «fail» en tus reportes, significa que tienes fuentes no alineadas. Pasos para diagnosticar y fijar:
- Revisa quién genera esos fallos (busca IPs en los reportes y haz un whois).
- Si es un ESP o servicio de terceros (newsletter, alertas), añade su dominio a tu registro SPF:
v=spf1 include:esp-service.com include:tu-dominio.com ~all. - Si es un webhook o sistema interno, cambia el From para que use tu dominio autorizado o pasa el envío por tu ESP principal.
- No elimines reportes ni cambies de política abruptamente; mantén p=none o p=quarantine hasta que los falsos positivos desaparezcan.