Configura DMARC

DMARC les indica a los servidores de correo electrónico receptores qué acción tomar con los mensajes que se envían desde tu dominio y que no pasan la autenticación SPF o DKIM. Las opciones de acción son rechazar, poner en cuarentena o entregar el mensaje. También tienes informes para identificar posibles errores de autenticación y actividad maliciosa en mensajes enviados desde tu dominio. Para configurar DMARC, agrega un registro TXT de DNS de DMARC (registro DMARC) a tu dominio.

Un registro DMARC es una línea de texto que agregas a tu dominio siguiendo las instrucciones del proveedor de tu dominio. Este es un ejemplo de registro DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Cuando los servidores receptores reciben mensajes de correo electrónico de tu dominio que no pasan SPF o DKIM, verifican tu registro DMARC para determinar qué acción tomar con los mensajes: rechazarlos, ponerlos en cuarentena o entregarlos normalmente.

Contenido de esta página

Antes de comenzar
Paso 1: Configura un grupo o un buzón de correo para los informes
Paso 2: Asegúrate de que el correo electrónico de terceros esté autenticado
Paso 3: Determina tu registro DMARC
Paso 4: Agrega tu registro DMARC a tu dominio
Temas relacionados

Antes de comenzar

Debes activar SPF o DKIM para tu dominio antes de poder usar DMARC. Si no configuraste SPF o DKIM, ve a Evita la falsificación de identidad, el phishing y el spam.
- Si no configuras SPF o DKIM antes de habilitar DMARC, es probable que los mensajes que se envíen desde tu dominio tengan problemas para entregarse.
- Para configurar DMARC, espera 48 horas después de la configuración de SPF o DKIM.
Para verificar si DMARC ya está configurado para tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet. Si DMARC ya está configurado, debes revisar tus informes de DMARC para verificar que DMARC esté autenticando los mensajes de manera eficaz y que se entreguen según lo previsto.
No es necesario que hagas nada en la Consola del administrador de Google para configurar DMARC. En cambio, determina tu registro DMARC siguiendo las instrucciones de esta página. Luego, accede al host de tu dominio y agrega el registro DMARC siguiendo las instrucciones de DMARC del host del dominio.

Paso 1: Configura un grupo o un buzón de correo para los informes

La cantidad de informes de DMARC que recibes por correo electrónico puede variar y depende de la cantidad de correos electrónicos que envía tu dominio y de la cantidad de dominios a los que envías correos. Puedes recibir muchos informes todos los días. Las grandes organizaciones pueden recibir hasta cientos o incluso miles de informes diarios. Google recomienda que crees un grupo o un buzón de correo dedicado para recibir y administrar informes de DMARC.

Importante: Por lo general, la dirección de correo electrónico para los informes está en el mismo dominio que aloja tu registro DMARC. Si la dirección de correo electrónico tiene un dominio diferente, debes agregar un registro DNS en el otro dominio. Consulta Envía informes a una dirección de correo electrónico en un dominio diferente en la página Informes de DMARC.

Paso 2: Asegúrate de que el correo electrónico de terceros esté autenticado

Si usas un servicio de terceros para enviar correos electrónicos en nombre de tu organización, debes asegurarte de que los mensajes enviados por servicios de terceros estén autenticados y pasen las verificaciones SPF y DKIM:

Comunícate con tu proveedor externo para asegurarte de que SPF y DKIM estén configurados correctamente.
Asegúrate de que el dominio del remitente del sobre del proveedor coincida con tu dominio. Agrega la dirección IP de los servidores de envío de correo electrónico del proveedor al registro SPF de tu dominio.
Enruta el correo electrónico saliente del proveedor a través de Google con la configuración del servicio de retransmisión de SMTP.

Paso 3: Determina tu registro DMARC

Tu política de DMARC se define en una línea de valores de texto llamada registro DMARC. Este registro define lo siguiente:

La rigurosidad con la que DMARC debe verificar los mensajes
Las acciones recomendadas para el servidor receptor cuando recibe mensajes que no pasan las verificaciones de autenticación

Ejemplo de un registro DMARC (reemplaza example.com por tu dominio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Las etiquetas v y p deben aparecer en primer lugar. Las demás etiquetas se pueden enumerar en cualquier orden.

Cuando comiences a usar DMARC, te recomendamos que configures la opción de política (p) como none. A medida que aprendas cómo los servidores receptores autentican los mensajes de tu dominio, actualiza tu política. Con el tiempo, cambia la política del receptor a quarantine (o reject). Consulta Implementación recomendada de DMARC rollout.

Definiciones y valores de las etiquetas de registro DMARC

Etiqueta	Descripción y valores
v	(Obligatorio) Versión de DMARC. Debe ser DMARC1.
p	(Obligatorio) Indica al servidor de correo electrónico receptor qué hacer con los mensajes que no pasan la autenticación. none : No tomar ninguna medida sobre el mensaje y entregarlo al destinatario deseado. Registrar los mensajes en un informe diario (el informe se envía a la dirección de correo electrónico especificada con la opción rua en el registro). quarantine—Marcar los mensajes como spam y enviarlos a la carpeta de spam del destinatario. Los destinatarios pueden revisar los mensajes de spam para identificar los mensajes legítimos. reject—Rechazar el mensaje. Con esta opción, el servidor receptor suele enviar un mensaje de rebote al servidor de envío. Nota sobre BIMI: Si tu dominio usa BIMI, la opción p de DMARC debe configurarse como quarantine o reject. BIMI no admite políticas de DMARC con la opción p configurada como none.
pct	La etiqueta pct es opcional, pero Google recomienda que la incluyas en tu registro DMARC cuando implementes DMARC para que puedas administrar el porcentaje de correo electrónico al que se aplica tu política de DMARC. Especifica el porcentaje de mensajes no autenticados que están sujetos a la política de DMARC. Cuando implementes DMARC de forma gradual, puedes comenzar con un pequeño porcentaje de tus mensajes. A medida que más mensajes de tu dominio pasen la autenticación con los servidores receptores, actualiza tu registro con un porcentaje más alto hasta que alcances el 100%. Debe ser un número entero del 1 al 100. Si no usas esta opción en el registro, tu política de DMARC se aplica al 100% de los mensajes enviados desde tu dominio. Nota sobre BIMI: Si tu dominio usa BIMI, tu política de DMARC debe tener un valor pct de 100. BIMI no admite políticas de DMARC con el valor pct establecido en menos de 100.
rua	La etiqueta rua es opcional, pero Google recomienda que siempre la incluyas en tu registro DMARC. Envía informes de DMARC a una dirección de correo electrónico. La dirección de correo electrónico debe incluir mailto:. Por ejemplo: mailto:dmarc-reports@example.com (reemplaza example.com por tu dominio). Para enviar informes de DMARC a varios correos electrónicos, separa cada dirección de correo electrónico con una coma y agrega el prefijo mailto: antes de cada dirección. Por ejemplo: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (reemplaza example.com por tu dominio). Esta opción puede generar un gran volumen de correos electrónicos de informes. No recomendamos usar tu propia dirección de correo electrónico. En cambio, considera usar un buzón de correo dedicado, un grupo o un servicio de terceros que se especialice en informes de DMARC. Para enviar informes de DMARC a una dirección de correo electrónico que se encuentra en un dominio diferente del que aloja tu registro DMARC, agrega un registro TXT al DNS del dominio de correo electrónico. Para obtener más información, consulta Envía informes a una dirección de correo electrónico en un dominio diferente en la página Informes de DMARC.
ruf	(No compatible) Gmail no admite la etiqueta ruf, que se usa para enviar informes de fallas. Los informes de fallas también se denominan informes forenses.
sp	(Opcional) Establece la política para los mensajes de los subdominios de tu dominio principal. Usa esta opción si quieres usar una política de DMARC diferente para tus subdominios. none—No tomar ninguna medida sobre el mensaje y entregarlo al destinatario deseado. Registrar los mensajes en un informe diario (el informe se envía a la dirección de correo electrónico especificada con la opción rua en la política). quarantine—Marcar los mensajes como spam y enviarlos a la carpeta de spam del destinatario. Los destinatarios pueden revisar los mensajes de spam para identificar los mensajes legítimos. reject—reject : Rechazar el mensaje. Con esta opción, el servidor receptor debe enviar un mensaje de rebote al servidor de envío. Si no usas esta opción en el registro, los subdominios heredan la política de DMARC establecida para el dominio superior.
adkim	(Opcional) Establece la política de alineación para DKIM, que define la rigurosidad con la que la información del mensaje debe coincidir con las firmas DKIM. Obtén información sobre cómo funciona la alineación (más adelante en esta página). s— : Alineación estricta. El nombre de dominio del remitente debe coincidir exactamente con el d=domainname correspondiente en los encabezados de correo electrónico DKIM. r— : Alineación flexible (predeterminada). Permite coincidencias parciales. Se acepta cualquier subdominio válido de d=domain en los encabezados de correo electrónico DKIM.
aspf	(Opcional) Establece la política de alineación para SPF, que especifica la rigurosidad con la que la información del mensaje debe coincidir con las firmas SPF. Obtén información sobre cómo funciona la alineación (más adelante en esta página). s— : Alineación estricta. El encabezado De: del mensaje debe coincidir exactamente con el nombre de dominio en el comando SMTP MAIL FROM. r— : Alineación flexible (predeterminada). Permite coincidencias parciales. Se acepta cualquier subdominio válido del nombre de dominio.

Alineación de DMARC

DMARC aprueba o rechaza un mensaje según el nivel de coincidencia entre el dominio en el encabezado De: del mensaje y el dominio de envío especificado por SPF o DKIM. Esto se llama alineación.

Puedes elegir entre dos modos de alineación: estricto o flexible. Configuras el modo de alineación para SPF y DKIM en el registro DMARC con las etiquetas de registro DMARC aspf y adkim DMARC record tags.

Método de autenticación	Alineación estricta	Alineación flexible
SPF	Una coincidencia exacta entre el dominio en la dirección Envelope-Sender (también llamada Return-Path o rebote) y el dominio en la dirección del encabezado De:	El dominio en la dirección del encabezado De: debe coincidir con el dominio en la dirección Envelope-Sender (también llamada Return-Path o rebote) o ser un subdominio de este.
DKIM	Una coincidencia exacta entre el dominio DKIM pertinente y el dominio en la dirección del encabezado De:	El dominio en la dirección del encabezado De: debe coincidir con el dominio especificado en la etiqueta d= de la firma DKIM o ser un subdominio de este.

En algunos casos, Google recomienda que consideres cambiar a la alineación estricta para aumentar la protección contra la falsificación de identidad:

Se envían correos electrónicos para tu dominio desde un subdominio fuera de tu control.
Tienes subdominios que administra otra entidad.

Para pasar DMARC, un mensaje debe pasar al menos una de estas verificaciones:

Autenticación SPF y alineación SPF
Autenticación DKIM y alineación DKIM

Un mensaje no pasa la verificación DMARC si falla en ambos casos:

SPF (o alineación SPF)
DKIM (o alineación DKIM)

Paso 4: Agrega tu registro DMARC a tu dominio

Importante: Usa la documentación de ayuda de DMARC del host de tu dominio para este paso. Los pasos para agregar un registro DMARC varían según el host del dominio.

Agrega o actualiza tu registro

Importante: Asegúrate de configurar DKIM y SPF antes de configurar DMARC. DKIM y SPF deben autenticar los mensajes durante al menos 48 horas antes de activar DMARC.

Ten listo el archivo de texto o la línea para tu registro DMARC listo.
Accede al host de tu dominio, por lo general, donde compraste el nombre de dominio. Si no sabes bien cuál es tu host de dominio, consulta Cómo identificar a tu registrador de dominios.
Ve a la página en la que actualizaste los registros TXT de DNS para tu dominio. Para obtener ayuda sobre cómo encontrar esta página, consulta la documentación para tu dominio.

Agrega o actualiza el registro TXT con esta información (consulta la documentación de tu dominio):

Mismo nombre del campo	Valor para ingresar
Tipo	El tipo de registro es TXT.
Host (nombre, nombre de host, alias)	Este valor debe ser _dmarc.example.com (reemplaza example.com por tu nombre de dominio).
Valor	Es la cadena que compone el registro TXT. Por ejemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para obtener más información, consulta Determina tu registro DMARC (anteriormente en esta página).

Nota: Algunos hosts de dominio agregan automáticamente el nombre de dominio. Después de agregar o actualizar el registro TXT, verifica el nombre de dominio en el registro DMARC para asegurarte de que tenga el formato correcto.

Guarda los cambios.
Si configuras DMARC para más de un dominio, completa estos pasos para cada dominio. Cada dominio puede tener una política diferente y diferentes opciones de informes, como se define en el registro.
Para verificar que DMARC esté configurado para tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet.

Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.