#ecommerce #automation #marketing #spf #dkim #dmarc #dns #reputacion #spam #gmail

Cómo configurar DMARC paso a paso para proteger tu dominio y mejorar la entregabilidad

Name: Cómo configurar DMARC paso a paso para proteger tu dominio y mejorar la entregabilidad
Brand: Abalola Mail
Rating: 4.8 (87 reviews)

4,8 · 87 valoraciones

Publicado el 4 de octubre de 2025 · Actualizado el 13 de octubre de 2025

Aprende cómo configurar DMARC con política none, quarantine o reject, recibir informes y mejorar la entregabilidad de tus emails.

Cómo configurar DMARC paso a paso para proteger tu dominio

Forma parte de SPF DKIM DMARC Deliverability

DMARC es el protocolo que une SPF y DKIM para que los proveedores de correo sepan qué hacer cuando alguien intenta enviar emails usando tu dominio sin autorización. Su nombre significa Domain-based Message Authentication, Reporting and Conformance. En la práctica, DMARC permite publicar una política clara: observar, poner en cuarentena o rechazar mensajes que no superen la autenticación.

Para equipos de marketing, ecommerce, SaaS y operaciones, DMARC es clave porque protege la marca frente a phishing y suplantación, pero también ayuda a construir una reputación técnica más fiable. Gmail, Outlook, Yahoo y otros proveedores cada vez exigen más autenticación y alineación. Tener DMARC configurado correctamente deja de ser opcional cuando envías campañas, automatizaciones o emails transaccionales a escala.

Qué es DMARC y cómo funciona

DMARC comprueba si el dominio visible del remitente está alineado con SPF o DKIM. No basta con que SPF o DKIM existan: deben estar relacionados con el dominio que el usuario ve en el campo “From”.

Cuando un servidor recibe un email, evalúa:

Si SPF pasa y está alineado.
Si DKIM pasa y está alineado.
Qué política DMARC has publicado.
Dónde debe enviar informes agregados o forenses.

Si al menos SPF o DKIM pasan con alineación, DMARC puede pasar. Si ambos fallan o no están alineados, se aplica la política publicada.

Políticas DMARC: none, quarantine y reject

p=none

La política none sirve para observar. Los proveedores no bloquean ni ponen en spam por DMARC, pero te envían informes para entender qué servicios están enviando emails con tu dominio. Es la mejor opción para empezar.

Ejemplo:

v=DMARC1; p=none; rua=mailto:[email protected]

p=quarantine

La política quarantine indica que los mensajes que fallen DMARC deberían tratarse como sospechosos. Muchos proveedores los enviarán a spam o promociones.

Ejemplo:

v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=50

El parámetro pct=50 aplica la política al 50% de los mensajes fallidos, útil para endurecer gradualmente.

p=reject

La política reject es la más estricta. Indica que los emails que fallen DMARC deben rechazarse. Es ideal cuando ya has auditado todos tus proveedores legítimos.

Ejemplo:

v=DMARC1; p=reject; rua=mailto:[email protected]

Pasos prácticos para configurar DMARC

1. Verifica SPF y DKIM primero

Antes de activar DMARC, asegúrate de que tus plataformas de envío tienen SPF y DKIM configurados. Revisa correo corporativo, email marketing, CRM, ecommerce, helpdesk, facturación y cualquier app que envíe emails con tu dominio.

2. Empieza con p=none

Publica un registro DMARC en modo observación. En DNS, crea un TXT con:

Nombre: _dmarc
Tipo: TXT
Valor: v=DMARC1; p=none; rua=mailto:[email protected]

Usa una dirección preparada para recibir informes XML. Si prefieres no gestionarlos a mano, puedes usar un servicio de análisis DMARC.

3. Revisa los informes rua

Los informes agregados (rua) muestran qué IPs y proveedores están enviando emails con tu dominio, y si pasan SPF, DKIM y DMARC. Durante unos días o semanas, revisa si hay remitentes legítimos fallando.

4. Corrige proveedores no alineados

Si una herramienta legítima falla DMARC, ajusta SPF, DKIM o el dominio de remitente. En email marketing suele ser necesario autenticar el dominio de envío y evitar usar dominios compartidos del proveedor.

5. Sube gradualmente a quarantine

Cuando los flujos legítimos pasen DMARC, cambia a p=quarantine. Puedes empezar con pct=25 o pct=50 para reducir riesgo.

6. Llega a reject cuando todo esté limpio

La meta final para dominios importantes suele ser p=reject, especialmente si la marca sufre intentos de suplantación. No lo actives hasta tener visibilidad y confianza.

rua y ruf: informes DMARC

rua: informes agregados

rua indica dónde recibir reportes agregados. Son informes periódicos que resumen fuentes, resultados y volúmenes. Son los más útiles para operar DMARC.

ruf: informes forenses

ruf solicita informes detallados de fallos individuales. Muchos proveedores no los envían por privacidad. Úsalo con cuidado y solo si tienes un proceso claro para manejar datos sensibles.

Errores comunes al configurar DMARC

Activar reject demasiado pronto

Si publicas p=reject sin auditar proveedores, puedes bloquear emails legítimos de ventas, soporte, facturación o automatización.

No alinear el dominio visible

DMARC evalúa el dominio del “From”. Si DKIM firma otro dominio o SPF pasa con un dominio técnico no alineado, DMARC puede fallar.

Olvidar subdominios

Puedes añadir sp= para definir política de subdominios. Si envías desde news.tudominio.com, revísalo explícitamente.

No revisar informes

Publicar DMARC y no leer informes limita su utilidad. La ventaja de DMARC está en aprender quién envía en tu nombre.

Recursos relacionados

Si quieres profundizar, prueba estas herramientas gratuitas: Domain Health, mail tester, validador SPF y validador DMARC.

¿Necesitas que alguien lleve tu canal de email entero? Abalola Mail es la agencia de email marketing especializada en ecommerce de Abalola para ecommerce: estrategia, producción y operación del stack sobre Klaviyo, Mailchimp o Brevo.

Preguntas frecuentes

¿Qué política DMARC debo empezar a usar?

Empieza siempre por p=none con rua= apuntando a un buzón propio. Esa fase de monitorización permite descubrir todos los orígenes legítimos antes de pasar a quarantine o reject.

¿Cuánto tiempo debo dejar DMARC en p=none?

Lo razonable son 4 a 8 semanas con tráfico habitual. Cuando los reportes RUA muestren todos los flujos pasando SPF y DKIM alineados, ya puedes endurecer la política.

¿Cuál es la diferencia entre p=quarantine y p=reject?

Quarantine envía los mensajes que fallan a la carpeta de spam. Reject los rechaza directamente sin entrega. Reject ofrece máxima protección pero requiere alineación impecable de todos los remitentes.

¿Qué significa la alineación en DMARC?

Es la coincidencia entre el dominio del From y el dominio que valida SPF (smtp.mailfrom) o DKIM (header.d). Sin alineación, DMARC falla aunque SPF y DKIM individualmente pasen.

¿Puedo recibir reportes DMARC en mi propio buzón?

Sí, pero genera mucho ruido. Es habitual usar un servicio de procesamiento de reportes (Dmarcian, Postmark DMARC, Easydmarc) que parsea los XML y los muestra en panel.

¿DMARC mejora la entregabilidad?

Sí, porque refuerza la autenticación y la confianza técnica del dominio. No sustituye reputación, [engagement](/guias/engagement-signals-gmail-yahoo-interaccion-reputacion/) ni buenas prácticas, pero es una base imprescindible.

¿Puedo usar DMARC sin DKIM?

Puedes, pero no es recomendable. DKIM suele ser clave para mantener alineación cuando SPF falla por reenvíos o infraestructura intermedia.