Usuarios de Gmail: si recibes mensajes de spam o de phishing en Gmail, visita esta página. Si tienes problemas para enviar o recibir correos en Gmail, consulta esta otra.
Como administrador, una vez que hayas configurado SPF y DKIM, puedes configurar la autenticación basada en dominios para mensajes, informes y conformidad (DMARC). El protocolo DMARC te permite indicar a los servidores de correo qué deben hacer cuando reciben un mensaje que no supera las comprobaciones de autenticación de SPF ni DKIM. También puedes obtener informes que te ayuden a identificar posibles problemas de autenticación y actividad maliciosa en los mensajes enviados desde tu dominio.
DMARC protege a los usuarios de los mensajes de correo falsificados
y te permite gestionar los mensajes que no superan las comprobaciones de SPF o DKIM.
En esta página
- Paso 1: Activa SPF y DKIM
- Paso 2: Comprueba si DMARC ya está configurado
- Paso 3: Configura un grupo o un buzón de correo para los informes
- Paso 4: Asegúrate de que todos los servicios de terceros estén autenticados
- Paso 5: Prepara tu registro DMARC
- Paso 6: Añade tu registro DMARC
- Paso 7: Verifica tu registro DMARC
- Temas relacionados
Paso 1: Activa SPF y DKIM
Para poder usar DMARC, debes activar SPF y DKIM en tu dominio. Si no has configurado SPF ni DKIM, consulta el artículo Evitar el spoofing, el phishing y el spam.
SPF, DKIM y DMARC funcionan a nivel de dominio. Es decir, si gestionas más de un dominio, tendrás que habilitar SPF, DKIM y DMARC en cada uno de ellos.
Importante:
- Si no configuras SPF y DKIM antes de habilitar DMARC, puede haber problemas con la entrega de los mensajes de tu dominio.
- Una vez configurados SPF y DKIM, espera 48 horas antes de configurar DMARC.
Paso 2: Comprueba si DMARC ya está configurado
Si usas Google Workspace, utiliza la Caja de herramientas de Google Admin para comprobar si se ha configurado DMARC. De lo contrario, sigue los pasos para verificarlo con tu proveedor de dominios.
Si usas la Caja de herramientas de Google Admin, sigue estos pasos:
- Ve a la Caja de herramientas de Google Admin.
- Ve a Verificar problemas de DNSCheck MX.
- Escribe el nombre de tu dominio en el campo Nombre del dominio y, a continuación, haz clic en HACER COMPROBACIONES.
- En los resultados puedes ver si tu dominio tiene un registro DMARC:
- No se ha configurado DMARC: tu dominio todavía no tiene ningún registro DMARC.
- Formato de políticas de DMARC: tu dominio ya tiene un registro DMARC.
Si consultas a tu proveedor de dominios, haz lo siguiente:
- Inicia sesión en la consola de administración del proveedor de tu dominio.
- Ve a la página donde se actualizan los registros TXT de DNS de tu dominio.
- Si tienes un registro DMARC, en el subdominio _dmarc.example.com (donde example es tu nombre de dominio) verás una entrada de registro TXT que empieza por v=DMARC.
Continúa según los resultados:
- Si DMARC ya está configurado, deberías revisar tus informes de DMARC para asegurarte de que DMARC autentica los mensajes de forma eficaz y de que se envían según lo previsto.
- Si no se ha configurado DMARC, ve al paso Configura un grupo o un buzón de correo para los informes (en esta página).
Paso 3: Configura un grupo o un buzón de correo para los informes
El número de informes de DMARC que recibes por correo puede variar y depende de la cantidad de correo que envía tu dominio y de a cuántos dominios envías correo. Es posible que recibas muchos informes todos los días. Las organizaciones grandes pueden recibir cientos o incluso miles de estos informes al día.
En los informes de DMARC se indica qué mensajes enviados desde tu dominio se autentican mediante SPF y DKIM, y si hay mensajes que no superan la autenticación de forma habitual. También puedes usar los informes para revisar quién envía correos en nombre de tu dominio y recibir alertas sobre posibles spammers. Monitorizar los informes de DMARC es especialmente útil durante la fase de lanzamiento. Consulta el artículo Implementación de DMARC recomendada.
Google te recomienda que crees un grupo o un buzón de correo específico para recibir y gestionar los informes de DMARC.
Importante: Normalmente, la dirección de correo de los informes está en el mismo dominio que el que aloja tu registro DMARC. Si la dirección de correo tiene un dominio diferente, debes añadir un registro DNS en el otro dominio. Para obtener más información, consulta la sección Enviar informes a una dirección de correo de otro dominio de la página Informes de DMARC.
Paso 4: Asegúrate de que todos los servicios de terceros estén autenticados
Si usas un servicio de terceros para enviar correos en nombre de tu organización, debes asegurarte de que los mensajes enviados por servicios de terceros estén autenticados y superen las comprobaciones de SPF y DKIM:
- Ponte en contacto con tu proveedor externo para asegurarte de que DKIM está bien configurado.
- Comprueba que el dominio que figura como remitente en el sobre del proveedor sea el tuyo. Añade la dirección IP de los servidores que envían los correos del proveedor al registro SPF de tu dominio.
- Enruta el correo saliente del proveedor a través de Google usando el ajuste Servicio de relay SMTP.
Paso 5: Prepara tu registro DMARC
Tu política de DMARC se define en una línea de valores de texto denominada registro DMARC. El registro define:
- El grado mínimo de coincidencia que debe comprobar DMARC en los mensajes
- Las acciones recomendadas para el servidor que recibe los mensajes cuando estos no superan las comprobaciones de autenticación.
Ejemplo de registro de política de DMARC (sustituye example.com por tu dominio):
v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.
Al principio del registro tienen que estar las etiquetas v y p, pero las demás pueden aparecer en cualquier orden.
Cuando empieces a utilizar DMARC, te recomendamos que configures la opción de política (p) como none. A medida que aprendas cómo los servidores que reciben los mensajes autentican los mensajes de tu dominio, ve actualizando la política. Con el tiempo, cambia el valor de la política de recepción a quarantine (or reject). Consulta el artículo Implementación de DMARC recomendada.
Definiciones y valores de las etiquetas de registro DMARC
Etiqueta | Descripción y valores |
v |
(Obligatorio) Versión de DMARC. Debe ser DMARC1. |
p | (Obligatorio) Indica a los servidores que reciben correo qué deben hacer con los mensajes que no superen la autenticación.
Nota sobre BIMI: Si tu dominio utiliza BIMI, se debe seleccionar el valor quarantine (poner en cuarentena) o reject (rechazar) en la opción p de DMARC. BIMI no admite las políticas de DMARC en las que se ha seleccionado none (nada) en la opción p. |
pct |
La etiqueta pct es opcional, pero Google te recomienda que la incluyas en tu registro DMARC cuando implementes DMARC para poder gestionar el porcentaje de correos al que se aplica tu política de DMARC. Indica el porcentaje de mensajes sin autenticar que están sujetos a la política de DMARC. Cuando se implementa DMARC gradualmente, se suele empezar a usar con un porcentaje pequeño de los mensajes. A medida que vayan aumentando los mensajes de tu dominio que superan la autenticación con los servidores que los reciben, incrementa este porcentaje hasta que llegue al 100 %. Debe ser un número entero del 1 al 100. Si no incluyes esta etiqueta en tu registro, tu política de DMARC afectará al 100 % de los mensajes que se envíen desde tu dominio. Nota sobre BIMI: Si tu dominio utiliza BIMI, la política de DMARC debe tener un valor de pct de 100. BIMI no admite las políticas de DMARC cuyo valor de pct es inferior a 100. |
rua |
La etiqueta rua es opcional, pero Google te recomienda que siempre la incluyas en tu registro DMARC. Enviar informes de DMARC a una dirección de correo. La dirección de correo debe incluir la etiqueta mailto:.
|
ruf |
(No compatible) Gmail no admite la etiqueta ruf, que se usa para enviar informes de error. Los informes de errores también se denominan informes forenses. |
sp | (Opcional) Define qué hacer con los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres usar una política de DMARC diferente en tus subdominios.
Si no incluyes esta opción en el registro, los subdominios heredarán la política de DMARC del dominio superior. |
adkim | (Opcional) Define la política de concordancia de DKIM, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de DKIM. Consulta cómo funciona la alineación (más adelante en esta página).
|
aspf | (Opcional) Define la política de concordancia de SPF, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de SPF. Consulta cómo funciona la alineación (más adelante en esta página).
|
Cumplimiento de DMARC
DMARC aprueba o rechaza un mensaje en función del grado de similitud del dominio del encabezado De: con el dominio del remitente especificado por SPF o DKIM. Es lo que se conoce como concordancia.
Puedes elegir entre dos modos de concordancia: estricta o flexible. Puedes definir el modo de concordancia de SPF y DKIM en el registro DMARC con las etiquetas de registro DMARC aspf y adkim.
En algunos casos, Google recomienda cambiar a la concordancia estricta para aumentar la protección contra el spoofing:
- El correo se ha enviado a tu dominio desde un subdominio ajeno a tu control.
- Hay subdominios gestionados por otra entidad.
Para superar DMARC, los mensajes deben superar al menos una de estas comprobaciones:
- Autenticación SPF y concordancia SPF
- Autenticación DKIM y concordancia DKIM
Un mensaje no supera una comprobación de DMARC si no cumple estas dos condiciones:
- SPF (o concordancia SPF)
- DKIM (o concordancia DKIM)
Paso 6: Añade tu registro DMARC
Una vez que tengas preparado el texto de tu registro DMARC, ve al proveedor de tu dominio y añade o modifica el registro TXT de DNS de DMARC. Cada vez que cambies la política de DMARC y actualices tu registro, también tendrás que actualizar el registro TXT de DMARC en el proveedor de tu dominio.
Añadir o modificar el registro
Importante: Asegúrate de configurar DKIM y SPF antes de configurar DMARC. DKIM y SPF deberían llevar al menos 48 horas autenticando mensajes cuando actives DMARC.
- Ten preparado el archivo de texto o la línea de tu registro DMARC.
- Inicia sesión en el host de tu dominio, que normalmente será la empresa donde compraste el nombre de dominio. Si no sabes quién es el host, consulta el artículo sobre cómo identificar al registrador de tu dominio.
- Ve a la página donde se actualizan los registros TXT de DNS de tu dominio. Para saber cómo encontrar esta página, consulta la documentación de tu dominio.
-
Añade o actualiza el registro TXT con esta información (consulta la documentación de tu dominio):
Nombre del campo Valor que introducir Tipo El tipo de registro es TXT. Host (nombre, nombre de host o alias) Este valor debe ser _dmarc.example.com (sustituye example.com por el nombre de tu dominio). Valor La cadena que compone el registro TXT. Por ejemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para obtener más información, consulta la sección Prepara tu registro DMARC de esta página. Nota: Algunos hosts de dominios añaden automáticamente el nombre de dominio. Una vez que hayas añadido o actualizado el registro TXT, verifica el nombre de dominio del registro DMARC para comprobar que tiene el formato correcto. - Guarda los cambios.
- Si vas a configurar DMARC en más de un dominio, sigue estos pasos con cada uno. Cada dominio puede tener una política distinta y diferentes opciones de informes, que se definen en el registro.
Paso 7: Verifica tu registro DMARC
Importante: Los dominios que se usan en los pasos siguientes son solo ejemplos. Sustituye estos dominios de ejemplo por tus propios dominios.
Algunos hosts de dominios añaden automáticamente el nombre de tu dominio al final del nombre del registro TXT. Esto puede provocar que el nombre del registro TXT de DMARC no tenga el formato correcto. Por ejemplo, si introduces _dmarc.example.com y el host de dominios añade automáticamente el nombre de tu dominio, el nombre del registro TXT tendrá el formato incorrecto _dmarc.example.com.example.com.
Cuando hayas añadido el registro TXT de DMARC siguiendo los pasos que se indican en la sección Añadir o modificar el registro, comprueba su nombre para verificar que tiene el formato correcto.
En la Caja de herramientas de Google Admin, puedes usar la función Dig para ver y verificar tu registro TXT de DMARC:
- Ve a la Caja de herramientas de Google Admin y selecciona la función Dig.
- En el campo Nombre, escribe _dmarc. seguido del nombre de tu dominio completo. Por ejemplo, si el nombre de tu dominio es example.com, introduce _dmarc.example.com.
- Debajo del campo Nombre, haz clic en TXT.
- Verifica el nombre del registro TXT de DMARC que aparece en los resultados. Busca la línea de texto que empieza por _dmarc.
Temas relacionados
- Solucionar problemas relacionados con DMARC
- Implementación de DMARC recomendada
- Desactivar DMARC
- Informes de DMARC
- Acerca de los registros TXT
- DMARC RFC 7489
Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.