Configurar DMARC

El protocolo DMARC indica a los servidores de correo que reciben tus mensajes qué deben hacer con los que no superan las comprobaciones de SPF o DKIM. Las acciones disponibles son rechazar, poner en cuarentena o enviar el mensaje. También puedes obtener informes que te ayuden a identificar posibles problemas de autenticación y actividad maliciosa en los mensajes enviados desde tu dominio. Para configurar DMARC, añade un registro TXT de DNS de DMARC (DMARC record) a tu dominio.

Un registro DMARC es una línea de texto que añades a tu dominio siguiendo las instrucciones del proveedor de tu dominio. A continuación, se muestra un ejemplo de registro DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Cuando los servidores de correo reciben mensajes de tu dominio que no superan las comprobaciones de SPF o DKIM, comprueban tu registro DMARC para determinar qué acción deben tomar con los mensajes: rechazarlos, ponerlos en cuarentena o entregarlos normalmente.

What is DMARC?

DMARC protege a los usuarios de los mensajes de correo falsificados
y te permite gestionar los mensajes que no superan las comprobaciones de SPF o DKIM.

En esta página

Antes de empezar

  • Para poder usar DMARC, debes activar SPF o DKIM en tu dominio. Si no has configurado SPF o DKIM, consulta el artículo Evitar el spoofing, el phishing y el spam.
    • Si no configuras SPF o DKIM antes de habilitar DMARC, puede haber problemas con la entrega de los mensajes de tu dominio.
    • Una vez configurados SPF o DKIM, espera 48 horas antes de configurar DMARC.
  • Para comprobar si DMARC ya está configurado en tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet. Si DMARC ya está configurado, deberías revisar tus informes de DMARC para asegurarte de que DMARC autentica los mensajes de forma eficaz y de que se envían según lo previsto.
  • No es necesario que hagas nada en la consola de administración de Google para configurar DMARC. En su lugar, define tu registro DMARC siguiendo las instrucciones de esta página. A continuación, inicia sesión en el host de tu dominio y añade el registro DMARC siguiendo las instrucciones correspondientes del host de tu dominio.

Paso 1: Configura un grupo o un buzón de correo para los informes

El número de informes de DMARC que recibes por correo puede variar y depende de la cantidad de correo que envía tu dominio y de a cuántos dominios envías correo. Es posible que recibas muchos informes todos los días. Las organizaciones grandes pueden recibir cientos o incluso miles de estos informes al día. Google te recomienda que crees un grupo o un buzón de correo específico para recibir y gestionar los informes de DMARC.

Importante: Normalmente, la dirección de correo de los informes está en el mismo dominio que el que aloja tu registro DMARC. Si la dirección de correo tiene un dominio diferente, debes añadir un registro DNS en el otro dominio. Consulta cómo enviar informes a una dirección de correo de otro dominio en la página Informes de DMARC.

Paso 2: Comprueba que se autentica el correo enviado por terceros

Si usas un servicio de terceros para enviar correos en nombre de tu organización, debes asegurarte de que los mensajes enviados por servicios de terceros estén autenticados y superen las comprobaciones de SPF y DKIM:

  • Ponte en contacto con tu proveedor externo para asegurarte de que SPF y DKIM estén configurados correctamente.
  • Comprueba que el dominio que figura como remitente en el sobre del proveedor sea el tuyo. Añade la dirección IP de los servidores que envían los correos del proveedor al registro SPF de tu dominio.
  • Enruta el correo saliente del proveedor a través de Google usando el ajuste Servicio de relay SMTP.

Paso 3: Determina tu registro DMARC

Tu política de DMARC se define en una línea de valores de texto denominada registro DMARC. Este registro define lo siguiente:

  • El grado mínimo de coincidencia que debe comprobar DMARC en los mensajes
  • Las acciones recomendadas para el servidor que recibe los mensajes cuando estos no superan las comprobaciones de autenticación.

Ejemplo de registro de política de DMARC (sustituye example.com por tu dominio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s.

Al principio del registro tienen que estar las etiquetas v y p, pero las demás pueden aparecer en cualquier orden.

Cuando empieces a utilizar DMARC, te recomendamos que configures la opción de política (p) como none. A medida que aprendas cómo los servidores que reciben los mensajes autentican los mensajes de tu dominio, ve actualizando la política. Con el tiempo, cambia el valor de la política de recepción a quarantine (or reject). Consulta el artículo Implementación de DMARC recomendada.

Definiciones y valores de las etiquetas de registro DMARC

Etiqueta Descripción y valores
v

(Obligatorio) Versión de DMARC. Debe ser DMARC1.
p (Obligatorio) Indica a los servidores que reciben correo qué deben hacer con los mensajes que no superen la autenticación.
  • none (nada): no se hace nada con los mensajes, que se entregan a sus destinatarios. Esos mensajes se registran en un informe diario que se envía a la dirección de correo especificada con la opción rua del registro.
  • quarantine— (poner en cuarentena): marca los mensajes como spam y los envía a la carpeta de spam de los destinatarios, que pueden revisarlos para determinar cuáles son legítimos.
  • reject— (rechazar): rechaza los mensajes. Con esta opción, los servidores que reciben los correos suelen enviar un mensaje de rebote al servidor remitente.

Nota sobre BIMI: Si tu dominio utiliza BIMI, se debe seleccionar el valor quarantine (poner en cuarentena) o reject (rechazar) en la opción p de DMARC. BIMI no admite las políticas de DMARC en las que se ha seleccionado none (nada) en la opción p.
pct

La etiqueta pct es opcional, pero Google te recomienda que la incluyas en tu registro DMARC cuando implementes DMARC para poder gestionar el porcentaje de correos al que se aplica tu política de DMARC.

Indica el porcentaje de mensajes sin autenticar que están sujetos a la política de DMARC. Cuando se implementa DMARC gradualmente, se suele empezar a usar con un porcentaje pequeño de los mensajes. A medida que vayan aumentando los mensajes de tu dominio que superan la autenticación con los servidores que los reciben, incrementa este porcentaje hasta que llegue al 100 %.

Debe ser un número entero del 1 al 100. Si no incluyes esta etiqueta en tu registro, tu política de DMARC afectará al 100 % de los mensajes que se envíen desde tu dominio.

Nota sobre BIMI: Si tu dominio utiliza BIMI, la política de DMARC debe tener un valor de pct de 100. BIMI no admite las políticas de DMARC cuyo valor de pct es inferior a 100.
rua

La etiqueta rua es opcional, pero Google te recomienda que siempre la incluyas en tu registro DMARC.

Enviar informes de DMARC a una dirección de correo. La dirección de correo debe incluir la etiqueta mailto:.
Por ejemplo: mailto:dmarc-reports@example.com (sustituye mailto:dmarc-reports@example.com por tu dominio).

  • Para enviar informes de DMARC a varios correos electrónicos, separa cada dirección con una coma y añade el prefijo mailto: antes de cada dirección. Por ejemplo: mailto:dmarc-reports@example.com, mailto:dmarc-reports@example.com (sustituye mailto:dmarc-reports@example.com por tu dominio).
  • Si incluyes esta etiqueta, es posible que las direcciones indicadas acaben recibiendo muchos correos con informes. Por eso, te recomendamos que no uses tu propia dirección de correo, sino que utilices un buzón de correo dedicado, un grupo o un servicio externo especializado en informes de DMARC.
  • Para enviar informes de DMARC a una dirección de correo que esté en un dominio distinto del que aloja tu registro de DMARC, añade un registro TXT al DNS del dominio de correo. Para obtener más información, consulta el artículo Enviar informes a una dirección de correo de otro dominio en la página Informes de DMARC.
ruf

(No compatible) Gmail no admite la etiqueta ruf, que se usa para enviar informes de error. Los informes de errores también se denominan informes forenses.
sp (Opcional) Define qué hacer con los mensajes de los subdominios de tu dominio principal. Utiliza esta opción si quieres usar una política de DMARC diferente en tus subdominios.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantine (poner en cuarentena): marca los mensajes como spam y los envía a la carpeta de spam de los destinatarios, que pueden revisarlos para determinar cuáles son legítimos.
  • reject (rechazar): rechaza los mensajes. Con esta opción, los servidores que reciben los correos deberían enviar un mensaje de rebote al servidor remitente

Si no incluyes esta opción en el registro, los subdominios heredarán la política de DMARC del dominio superior.
adkim (Opcional) Define la política de concordancia de DKIM, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de DKIM. Consulta cómo funciona la alineación (más adelante en esta página).
  • s: concordancia estricta. El nombre de dominio del remitente debe ser igual al valor d=domainname correspondiente de los encabezados de correo de DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcional) Define la política de concordancia de SPF, que especifica el grado mínimo de coincidencia que debe haber entre la información del mensaje y las firmas de SPF. Consulta cómo funciona la alineación (más adelante en esta página).
  • s: concordancia estricta. En el encabezado De: tiene que figurar el mismo nombre de dominio que hay en el comando SMTP MAIL FROM.
  • r: concordancia parcial (opción predeterminada). Se permiten las coincidencias parciales y se acepta cualquier subdominio válido del nombre de dominio indicado.

Concordancia de DMARC

DMARC aprueba o rechaza un mensaje en función del grado de similitud del dominio del encabezado De: con el dominio del remitente especificado por SPF o DKIM. Es lo que se conoce como concordancia.

Puedes elegir entre dos modos de concordancia: estricta o flexible. Puedes definir el modo de concordancia de SPF y DKIM en el registro DMARC con las etiquetas de registro DMARC aspf y adkim.

Método de autenticación Concordancia estricta Concordancia flexible
SPF Hay una coincidencia exacta entre el dominio de la dirección del remitente del sobre (también llamada "Return-Path" o dirección de devolución) y el dominio del encabezado De:. El dominio del encabezado De: debe coincidir o ser un subdominio del dominio de la dirección del remitente del sobre (también llamada dirección "Return-Path" o de devolución).
DKIM Hay una coincidencia exacta entre el dominio DKIM correspondiente y el dominio que aparece en el encabezado De:. El dominio del encabezado De: debe coincidir o ser un subdominio del dominio especificado en la etiqueta d= de la firma DKIM.

En algunos casos, Google recomienda cambiar a la concordancia estricta para aumentar la protección contra el spoofing:

  • El correo se ha enviado a tu dominio desde un subdominio ajeno a tu control.
  • Hay subdominios gestionados por otra entidad.
Importante: La concordancia parcial proporciona por lo general suficiente protección contra spoofing. Con la concordancia estricta, es posible que los mensajes de subdominios asociados se rechacen o se envíen a spam.

Para superar DMARC, los mensajes deben superar al menos una de estas comprobaciones:

  • Autenticación SPF y concordancia SPF 
  • Autenticación DKIM y concordancia DKIM

Un mensaje no supera una comprobación de DMARC si no cumple estas dos condiciones:

  • SPF (o concordancia SPF)
  • DKIM (o concordancia DKIM)

Paso 4: Añade tu registro DMARC a tu dominio

Importante: Para seguir este paso, consulta la documentación de ayuda sobre DMARC del host de tu dominio. Los pasos para añadir un registro DMARC varían en función del host del dominio.

Añadir o modificar el registro

Importante: Asegúrate de configurar DKIM y SPF antes de configurar DMARC. DKIM y SPF deberían llevar al menos 48 horas autenticando mensajes cuando actives DMARC.

  1. Ten preparado el archivo de texto o la línea de tu registro DMARC.
  2. Inicia sesión en el host de tu dominio, que normalmente será la empresa donde compraste el nombre de dominio. Si no sabes quién es el host, consulta el artículo sobre cómo identificar al registrador de tu dominio.
  3. Ve a la página donde se actualizan los registros TXT de DNS de tu dominio. Para saber cómo encontrar esta página, consulta la documentación de tu dominio.

  4. Añade o actualiza el registro TXT con esta información (consulta la documentación de tu dominio): 

    Nombre del campo Valor que introducir
    Tipo El tipo de registro es TXT.
    Host (nombre, nombre de host o alias) Este valor debe ser _dmarc.example.com (sustituye example.com por el nombre de tu dominio).
    Valor La cadena que compone el registro TXT. Por ejemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para obtener más información, consulta cómo preparar tu registro DMARC en esta página.
    Nota: Algunos hosts de dominios añaden automáticamente el nombre de dominio. Una vez que hayas añadido o actualizado el registro TXT, verifica el nombre de dominio del registro DMARC para comprobar que tiene el formato correcto.
  5. Guarda los cambios.
  6. Si vas a configurar DMARC en más de un dominio, sigue estos pasos con cada uno. Cada dominio puede tener una política distinta y diferentes opciones de informes, que se definen en el registro.
  7. Para comprobar que DMARC está configurado en tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet.

Temas relacionados


Google, Google Workspace, así como las marcas y los logotipos relacionados, son marcas de Google LLC. Todos los demás nombres de empresas y productos son marcas de las empresas con las que están asociadas.

¿Te ha resultado útil esta información?

¿Cómo podemos mejorar esta página?

¿Necesitas más ayuda?

Prueba estos pasos:

Publicar en la comunidad de ayuda Obtener respuestas de los miembros de la comunidad
Ponte en contacto con nosotros Danos más información para que podamos ayudarte
true
Empieza hoy mismo con la prueba gratuita de 14 días

Correo electrónico profesional, almacenamiento online, calendarios compartidos, videoconferencias, etc. Empieza a probar gratis G Suite hoy

Búsqueda
Borrar búsqueda
Cerrar búsqueda
Aplicaciones de Google
Menú principal
14096429477106352477
true
Buscar en el Centro de ayuda
true
true
true
true
true
73010
false
false
false
false