Política DMARC - Docs de MetricSpot

Q: ¿Cuál es la diferencia entre `p=quarantine` y `p=reject`?

- quarantine — el correo que falla va a spam. Recuperable; cauto. - reject — el correo que falla se rebota en el servidor receptor. El remitente (real o falso) recibe un rebote duro. Protección máxima, pero si tu SPF/DKIM está mal configurado para un servicio legítimo, tus clientes dejan de recibir correo tuyo. Llega siempre a p=reject después de un periodo en quarantine con informes limpios.

Q: ¿Necesito SPF y DKIM también?

Sí. DMARC es la capa de política; SPF y DKIM son las capas de autenticación. SPF dice "esta IP puede mandar por mi dominio"; DKIM firma el mensaje criptográficamente. DMARC dice "si ninguno se alinea, rechaza el correo". Los tres son necesarios para que el sistema funcione.

Qué comprueba esta verificación

Consulta DNS por el registro TXT _dmarc.<tudominio> y analiza su política. Reporta el valor p= (none, quarantine, reject), el porcentaje, las direcciones de informe y si la política se está aplicando (cualquier cosa más allá de p=none).

Por qué importa

DMARC (Domain-based Message Authentication, Reporting, and Conformance) le dice a las bandejas de entrada receptoras — Gmail, Outlook, Yahoo, Apple iCloud — qué hacer cuando un correo dice venir de tu dominio pero falla las comprobaciones SPF o DKIM. Sin política DMARC, la respuesta es “déjalo pasar” — y tu dominio se convierte en suelo gratis para campañas de phishing.

Desde febrero de 2024, Google y Yahoo exigen DMARC a cualquier remitente que mande correo a sus usuarios más de 5.000 veces al día. Microsoft ha seguido con aplicación progresivamente más estricta. Los sitios sin DMARC ven caer la entregabilidad, sus clientes reciben phishing con su marca y la confianza se erosiona una factura falsa a la vez.

Un ejemplo real: una SaaS que auditamos no tenía DMARC. En tres meses, atacantes suplantaron billing@theirdomain.com en una campaña de phishing que llegó a ~40k bandejas de sus clientes. La limpieza costó más que una década de “ya pondremos DMARC más adelante”.

Cómo arreglarlo

Publica un registro TXT _dmarc en el proveedor de DNS de tu dominio. La progresión:

1. Empieza en modo monitorización (p=none) — recoge datos sin afectar a la entregabilidad.

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com; pct=100"

La dirección rua= recibe los informes XML agregados de cada bandeja receptora. Reenvíalos a una herramienta que los parse — recomendamos la monitorización gratuita de DMARC de Postmark o Valimail Monitor.

2. Audita quién envía legítimamente.

Los informes te dicen qué IPs y servicios mandan correo “como” tu dominio. Lo esperable: tu proveedor de email transaccional (Resend, Postmark, SendGrid), tu plataforma de marketing, posiblemente Google Workspace o Microsoft 365 y tu herramienta de help-desk. Cualquier otra cosa o es un remitente no autorizado o una integración olvidada.

Para cada remitente legítimo, configura SPF y DKIM — DMARC requiere que uno de ellos pase y se alinee con la cabecera From.

3. Pasa a quarantine una vez tus informes estén limpios (ningún remitente legítimo fallando).

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@yourdomain.com; pct=25"

pct=25 aplica la política solo al 25% del correo que falla — rollout gradual. Mira los informes, súbelo a 100 y luego pasa a p=reject.

4. Estado final: p=reject.

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensics@yourdomain.com; adkim=s; aspf=s"

adkim=s y aspf=s exigen alineación estricta entre la cabecera From y el dominio SPF/DKIM — corta a los atacantes que usan trucos con subdominios.

Configuraciones habituales:

Correo de marketing desde noreply@email.yourdomain.com — configura una política DMARC separada en el subdominio si tu plataforma de marketing no se alinea totalmente con el ápex.
Google Workspace — la clave DKIM propia de Google tiene que estar en DNS; activa DKIM en la consola de administración.
Resend / Postmark / SendGrid — cada uno proporciona una plantilla DNS para pegar; DMARC funciona una vez su DKIM está configurado.

Comprueba tu registro:

dig +short TXT _dmarc.yourdomain.com
# v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; adkim=s; aspf=s

O usa el comprobador DMARC de Mail Tester para un test de cordura en un clic.

Combínalo con la base HTTPS — HTTPS, activar HSTS — para una línea base completa de seguridad de correo + transporte.

Preguntas frecuentes

¿Cuál es la diferencia entre `p=quarantine` y `p=reject`?

quarantine — el correo que falla va a spam. Recuperable; cauto.
reject — el correo que falla se rebota en el servidor receptor. El remitente (real o falso) recibe un rebote duro. Protección máxima, pero si tu SPF/DKIM está mal configurado para un servicio legítimo, tus clientes dejan de recibir correo tuyo. Llega siempre a p=reject después de un periodo en quarantine con informes limpios.

¿Necesito SPF y DKIM también?

Sí. DMARC es la capa de política; SPF y DKIM son las capas de autenticación. SPF dice “esta IP puede mandar por mi dominio”; DKIM firma el mensaje criptográficamente. DMARC dice “si ninguno se alinea, rechaza el correo”. Los tres son necesarios para que el sistema funcione.

Mi dominio no manda correo. ¿Sigo necesitando DMARC?

Sí — una política DMARC “park” impide que los atacantes suplanten tu dominio no usado:

_dmarc.yourdomain.com.   IN   TXT   "v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com"

Combínalo con un SPF que no permita nada:

yourdomain.com.   IN   TXT   "v=spf1 -all"

Ahora ninguna IP del planeta puede mandar correo diciendo que es tu dominio.