Configurar DMARC

Usuarios de Gmail: si recibes mensajes de spam o de phishing en Gmail, visita esta página. Si tienes problemas para enviar o recibir correos en Gmail, consulta esta otra.

Como administrador, una vez que hayas configurado SPF y DKIM, puedes configurar la autenticación basada en dominios para mensajes, informes y conformidad (DMARC). El protocolo DMARC te permite indicar a los servidores de correo qué deben hacer cuando reciben un mensaje que no supera las comprobaciones de autenticación de SPF ni DKIM. También puedes obtener informes que te ayuden a identificar posibles problemas de autenticación y actividad maliciosa en los mensajes enviados desde tu dominio.

What is DMARC?

DMARC protege a los usuarios de los mensajes de correo falsificados
y te permite gestionar los mensajes que no superan las comprobaciones de SPF o DKIM.

En esta página

Paso 1: Activa SPF y DKIM

Para poder usar DMARC, debes activar SPF y DKIM en tu dominio. Si no has configurado SPF ni DKIM, consulta el artículo Evitar el spoofing, el phishing y el spam.

SPF, DKIM y DMARC funcionan a nivel de dominio. Es decir, si gestionas más de un dominio, tendrás que habilitar SPF, DKIM y DMARC en cada uno de ellos.

Importante:

  • Si no configuras SPF y DKIM antes de habilitar DMARC, puede haber problemas con la entrega de los mensajes de tu dominio.
  • Una vez configurados SPF y DKIM, espera 48 horas antes de configurar DMARC.

Paso 2: Comprueba si DMARC ya está configurado

Si usas Google Workspace, utiliza la Caja de herramientas de Google Admin para comprobar si se ha configurado DMARC. De lo contrario, sigue los pasos para verificarlo con tu proveedor de dominios.

Si usas la Caja de herramientas de Google Admin, sigue estos pasos:

  1. Ve a la Caja de herramientas de Google Admin.
  2. Ve a Verificar problemas de DNSy luegoCheck MX.
  3. Escribe el nombre de tu dominio en el campo Nombre del dominio y, a continuación, haz clic en HACER COMPROBACIONES.
  4. En los resultados puedes ver si tu dominio tiene un registro DMARC:
    • No se ha configurado DMARC: tu dominio todavía no tiene ningún registro DMARC.
    • Formato de políticas de DMARC: tu dominio ya tiene un registro DMARC.

Si consultas a tu proveedor de dominios, haz lo siguiente:

  1. Inicia sesión en la consola de administración del proveedor de tu dominio.
  2. Ve a la página donde se actualizan los registros TXT de DNS de tu dominio.
  3. Si tienes un registro DMARC, en el subdominio _dmarc.example.com (donde example es tu nombre de dominio) verás una entrada de registro TXT que empieza por v=DMARC.

Continúa según los resultados:

  • Si DMARC ya está configurado, deberías revisar tus informes de DMARC para asegurarte de que DMARC autentica los mensajes de forma eficaz y de que se envían según lo previsto.
  • Si no se ha configurado DMARC, ve al paso Configura un grupo o un buzón de correo para los informes (en esta página).

Paso 3: Configura un grupo o un buzón de correo para los informes

El número de informes de DMARC que recibes por correo puede variar y depende de la cantidad de correo que envía tu dominio y de a cuántos dominios envías correo. Es posible que recibas muchos informes todos los días. Las organizaciones grandes pueden recibir cientos o incluso miles de estos informes al día.

En los informes de DMARC se indica qué mensajes enviados desde tu dominio se autentican mediante SPF y DKIM, y si hay mensajes que no superan la autenticación de forma habitual. También puedes usar los informes para revisar quién envía correos en nombre de tu dominio y recibir alertas sobre posibles spammers. Monitorizar los informes de DMARC es especialmente útil durante la fase de lanzamiento. Consulta el artículo Implementación de DMARC recomendada.

Google te recomienda que crees un grupo o un buzón de correo específico para recibir y gestionar los informes de DMARC.

Importante: Normalmente, la dirección de correo de los informes está en el mismo dominio que el que aloja tu registro DMARC. Si la dirección de correo tiene un dominio diferente, debes añadir un registro DNS en el otro dominio. Para obtener más información, consulta la sección Enviar informes a una dirección de correo de otro dominio de la página Informes de DMARC.

Paso 4: Asegúrate de que todos los servicios de terceros estén autenticados

Si usas un servicio de terceros para enviar correos en nombre de tu organización, debes asegurarte de que los mensajes enviados por servicios de terceros estén autenticados y superen las comprobaciones de SPF y DKIM:

  • Ponte en contacto con tu proveedor externo para asegurarte de que DKIM está bien configurado.
  • Comprueba que el dominio que figura como remitente en el sobre del proveedor sea el tuyo. Añade la dirección IP de los servidores que envían los correos del proveedor al registro SPF de tu dominio.
  • Enruta el correo saliente del proveedor a través de Google usando el ajuste Servicio de relay SMTP.

Paso 5: Prepara tu registro DMARC

Tu política de DMARC se define en una línea de valores de texto denominada registro DMARC. El registro define:

  • El grado mínimo de coincidencia que debe comprobar DMARC en los mensajes
  • Las acciones recomendadas para el servidor que recibe los mensajes cuando estos no superan las comprobaciones de autenticación.

Ejemplo de registro de política de DMARC (sustituye example.com por tu dominio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Al principio del registro tienen que estar las etiquetas v y p, pero las demás pueden aparecer en cualquier orden.

Cuando empieces a utilizar DMARC, te recomendamos que configures la opción de política (p) como none. A medida que aprendas cómo los servidores que reciben los mensajes autentican los mensajes de tu dominio, ve actualizando la política. Con el tiempo, cambia el valor de la política de recepción a quarantine (or reject). Consulta el artículo Implementación de DMARC recomendada.

Definiciones y valores de las etiquetas de registro DMARC

Etiqueta Descripción y valores
v

(Obligatorio) Versión de DMARC. Debe ser DMARC1.

p (Obligatorio) Indica a los servidores que reciben correo qué deben hacer con los mensajes que no superen la autenticación.
  • none (nada): no se hace nada con los mensajes, que se entregan a sus destinatarios. Esos mensajes se registran en un informe diario que se envía a la dirección de correo especificada con la opción rua del registro.
  • quarantine— (poner en cuarentena): marca los mensajes como spam y los envía a la carpeta de spam de los destinatarios, que pueden revisarlos para determinar cuáles son legítimos.
  • reject— (rechazar): rechaza los mensajes. Con esta opción, los servidores que reciben los correos suelen enviar un mensaje de rebote al servidor remitente.

Nota sobre BIMI: Si tu dominio utiliza BIMI, se debe seleccionar el valor quarantine (poner en cuarentena) o reject (rechazar) en la opción p de DMARC. BIMI no admite las políticas de DMARC en las que se ha seleccionado none (nada) en la opción p.

pct

La etiqueta pct es opcional, pero Google te recomienda que la incluyas en tu registro DMARC cuando implementes DMARC para poder gestionar el porcentaje de correos al que se aplica tu política de DMARC.

Indica el porcentaje de mensajes sin autenticar que están sujetos a la política de DMARC. Cuando se implementa DMARC gradualmente, se suele empezar a usar con un porcentaje pequeño de los mensajes. A medida que vayan aumentando los mensajes de tu dominio que superan la autenticación con los servidores que los reciben, incrementa este porcentaje hasta que llegue al 100 %.

Debe ser un número entero del 1 al 100. Si no incluyes esta etiqueta en tu registro, tu política de DMARC afectará al 100 % de los mensajes que se envíen desde tu dominio.

Nota sobre BIMI: Si tu dominio utiliza BIMI, la política de DMARC debe tener un valor de pct de 100. BIMI no admite las políticas de DMARC cuyo valor de pct es inferior a 100.

rua

La etiqueta rua es opcional, pero Google te recomienda que siempre la incluyas en tu registro DMARC.

Enviar informes de DMARC a una dirección de correo. La dirección de correo debe incluir la etiqueta mailto:.
Por ejemplo: mailto:dmarc-reports@example.com (sustituye mailto:dmarc-reports@example.com por tu dominio).

  • Para enviar informes de DMARC a varios correos electrónicos, separa cada dirección con una coma y añade el prefijo mailto: antes de cada dirección. Por ejemplo: mailto:dmarc-reports@example.com, mailto:dmarc-reports@example.com (sustituye mailto:dmarc-reports@example.com por tu dominio).
  • Si incluyes esta etiqueta, es posible que las direcciones indicadas acaben recibiendo muchos correos con informes. Por eso, te recomendamos que no uses tu propia dirección de correo, sino que utilices un buzón de correo dedicado, un grupo o un servicio externo especializado en informes de DMARC.
  • Para enviar informes de DMARC a una dirección de correo que esté en un dominio distinto del que aloja tu registro de DMARC, añade un registro TXT al DNS del dominio de correo. Para obtener más información, consulta el artículo Enviar informes a una dirección de correo de otro dominio en la página Informes de DMARC.
ruf

(No compatible) Gmail no admite la etiqueta ruf, que se usa para enviar informes de error. Los informes de errores también se denominan informes forenses.

sp (Opcional) Define qué hacer con los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres usar una política de DMARC diferente en tus subdominios.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine (poner en cuarentena): marca los mensajes como spam y los envía a la carpeta de spam de los destinatarios, que pueden revisarlos para determinar cuáles son legítimos.
  • reject (rechazar): rechaza los mensajes. Con esta opción, los servidores que reciben los correos deberían enviar un mensaje de rebote al servidor remitente

Si no incluyes esta opción en el registro, los subdominios heredarán la política de DMARC del dominio superior.

adkim (Opcional) Define la política de concordancia de DKIM, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de DKIM. Consulta cómo funciona la alineación (más adelante en esta página).
  • s: concordancia estricta. El nombre de dominio del remitente debe ser igual al valor d=domainname correspondiente de los encabezados de correo de DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcional) Define la política de concordancia de SPF, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de SPF. Consulta cómo funciona la alineación (más adelante en esta página).
  • s: concordancia estricta. En el encabezado De: tiene que figurar el mismo nombre de dominio que hay en el comando SMTP MAIL FROM.
  • r: concordancia parcial (opción predeterminada). Se permiten las coincidencias parciales y se acepta cualquier subdominio válido del nombre de dominio indicado.

Cumplimiento de DMARC

DMARC aprueba o rechaza un mensaje en función del grado de similitud del dominio del encabezado De: con el dominio del remitente especificado por SPF o DKIM. Es lo que se conoce como concordancia.

Puedes elegir entre dos modos de concordancia: estricta o flexible. Puedes definir el modo de concordancia de SPF y DKIM en el registro DMARC con las etiquetas de registro DMARC aspf y adkim.

Método de autenticación Concordancia estricta Concordancia flexible
SPF Hay una coincidencia exacta entre el dominio de la dirección del remitente del sobre (también llamada "Return-Path" o dirección de devolución) y el dominio del encabezado De:. El dominio del encabezado De: debe coincidir o ser un subdominio del dominio de la dirección del remitente del sobre (también llamada dirección "Return-Path" o de devolución).
DKIM Hay una coincidencia exacta entre el dominio DKIM correspondiente y el dominio que aparece en el encabezado De:.

En algunos casos, Google recomienda cambiar a la concordancia estricta para aumentar la protección contra el spoofing:

  • El correo se ha enviado a tu dominio desde un subdominio ajeno a tu control.
  • Hay subdominios gestionados por otra entidad.
Importante: La concordancia parcial proporciona por lo general suficiente protección contra spoofing. Con la concordancia estricta, es posible que los mensajes de subdominios asociados se rechacen o se envíen a spam.

Para superar DMARC, los mensajes deben superar al menos una de estas comprobaciones:

  • Autenticación SPF y concordancia SPF 
  • Autenticación DKIM y concordancia DKIM

Un mensaje no supera una comprobación de DMARC si no cumple estas dos condiciones:

  • SPF (o concordancia SPF)
  • DKIM (o concordancia DKIM)

Paso 6: Añade tu registro DMARC

Una vez que tengas preparado el texto de tu registro DMARC, ve al proveedor de tu dominio y añade o modifica el registro TXT de DNS de DMARC. Cada vez que cambies la política de DMARC y actualices tu registro, también tendrás que actualizar el registro TXT de DMARC en el proveedor de tu dominio.

Añadir o modificar el registro

Importante: Asegúrate de configurar DKIM y SPF antes de configurar DMARC. DKIM y SPF deberían llevar al menos 48 horas autenticando mensajes cuando actives DMARC.

  1. Ten preparado el archivo de texto o la línea de tu registro DMARC.
  2. Inicia sesión en el host de tu dominio, que normalmente será la empresa donde compraste el nombre de dominio. Si no sabes quién es el host, consulta el artículo sobre cómo identificar al registrador de tu dominio.
  3. Ve a la página donde se actualizan los registros TXT de DNS de tu dominio. Para saber cómo encontrar esta página, consulta la documentación de tu dominio.
  4. Añade o actualiza el registro TXT con esta información (consulta la documentación de tu dominio): 

    Nombre del campo Valor que introducir
    Tipo El tipo de registro es TXT.
    Host (nombre, nombre de host o alias) Este valor debe ser _dmarc.example.com (sustituye example.com por el nombre de tu dominio).
    Valor La cadena que compone el registro TXT. Por ejemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para obtener más información, consulta la sección Prepara tu registro DMARC de esta página.
    Nota: Algunos hosts de dominios añaden automáticamente el nombre de dominio. Una vez que hayas añadido o actualizado el registro TXT, verifica el nombre de dominio del registro DMARC para comprobar que tiene el formato correcto.
  5. Guarda los cambios.
  6. Si vas a configurar DMARC en más de un dominio, sigue estos pasos con cada uno. Cada dominio puede tener una política distinta y diferentes opciones de informes, que se definen en el registro.

Paso 7: Verifica tu registro DMARC

Importante: Los dominios que se usan en los pasos siguientes son solo ejemplos. Sustituye estos dominios de ejemplo por tus propios dominios.

Algunos hosts de dominios añaden automáticamente el nombre de tu dominio al final del nombre del registro TXT. Esto puede provocar que el nombre del registro TXT de DMARC no tenga el formato correcto. Por ejemplo, si introduces _dmarc.example.com y el host de dominios añade automáticamente el nombre de tu dominio, el nombre del registro TXT tendrá el formato incorrecto _dmarc.example.com.example.com.

Cuando hayas añadido el registro TXT de DMARC siguiendo los pasos que se indican en la sección Añadir o modificar el registro, comprueba su nombre para verificar que tiene el formato correcto.

En la Caja de herramientas de Google Admin, puedes usar la función Dig para ver y verificar tu registro TXT de DMARC:

  1. Ve a la Caja de herramientas de Google Admin y selecciona la función Dig.
  2. En el campo Nombre, escribe _dmarc. seguido del nombre de tu dominio completo. Por ejemplo, si el nombre de tu dominio es example.com, introduce _dmarc.example.com.
  3. Debajo del campo Nombre, haz clic en TXT.
  4. Verifica el nombre del registro TXT de DMARC que aparece en los resultados. Busca la línea de texto que empieza por _dmarc.

Temas relacionados


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?
Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal