Configura DMARC

DMARC les indica a los servidores de correo electrónico receptores qué acción tomar con los mensajes enviados desde tu dominio que no superan la autenticación del SPF o DKIM. Las opciones de acción son rechazar, poner en cuarentena o entregar el mensaje. También puedes obtener informes que te ayuden a identificar posibles problemas de autenticación y actividad maliciosa en los mensajes enviados desde tu dominio. Agrega un registro TXT de DNS de DMARC (registro DMARC) a tu dominio para configurar DMARC.

Un registro DMARC es una línea de texto que agregas a tu dominio siguiendo las instrucciones de tu proveedor de dominio. Este es un ejemplo de un registro DMARC:

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Cuando los servidores receptores reciben mensajes de correo electrónico de tu dominio que no pasan la autenticación del SPF o DKIM, verifican tu registro DMARC para determinar qué acción tomar con los mensajes: rechazarlos, ponerlos en cuarentena o entregarlos normalmente.

En esta página

Antes de comenzar

  • Debes activar SPF o DKIM para tu dominio antes de poder usar DMARC. Si no configuraste SPF o DKIM, consulta Ayuda a prevenir la falsificación de identidad, el phishing y el spam.
    • Si no configuras SPF o DKIM antes de habilitar DMARC, es probable que los mensajes que se envíen desde tu dominio tengan problemas para entregarse.
    • Para configurar DMARC, espera 48 horas después de configurar SPF o DKIM.
  • Para verificar si DMARC ya está configurado para tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet. Si DMARC ya está configurado, debes revisar tus informes de DMARC para verificar que DMARC esté autenticando los mensajes de manera eficaz y que se estén entregando según lo previsto.
  • No es necesario que hagas nada en la Consola del administrador de Google para configurar DMARC. En cambio, determina tu registro DMARC siguiendo las instrucciones de esta página. Luego, accede a tu host de dominio y agrega el registro DMARC siguiendo las instrucciones de DMARC del host de dominio.

Paso 1: Configura un grupo o un buzón de correo para los informes

La cantidad de informes de DMARC que recibes por correo electrónico puede variar y depende de la cantidad de correos electrónicos que envía tu dominio y la cantidad de dominios a los que envías correos electrónicos. Puedes recibir muchos informes todos los días. Las organizaciones grandes pueden recibir hasta cientos o incluso miles de informes por día. Google recomienda que crees un grupo o un buzón de correo dedicado para recibir y administrar los informes de DMARC.

Importante: Por lo general, la dirección de correo electrónico para los informes se encuentra en el mismo dominio que aloja tu registro DMARC. Si la dirección de correo electrónico tiene un dominio diferente, debes agregar un registro DNS en el otro dominio. Consulta Cómo enviar informes a una dirección de correo electrónico en un dominio diferente en la página de informes de DMARC.

Paso 2: Asegúrate de que se autentiquen los correos electrónicos de terceros

Si usas un servicio de terceros para enviar correos electrónicos en nombre de tu organización, debes asegurarte de que los mensajes enviados por los servicios de terceros estén autenticados y pasen las verificaciones de SPF y DKIM:

  • Comunícate con tu proveedor externo para asegurarte de que SPF y DKIM estén configurados correctamente.
  • Asegúrate de que el dominio del remitente del sobre del proveedor coincida con tu dominio. Agrega la dirección IP de los servidores de envío de correo electrónico del proveedor al registro SPF de tu dominio.
  • Enruta el correo electrónico saliente del proveedor a través de Google con el parámetro de configuración del servicio de retransmisión de SMTP.

Paso 3: Determina tu registro DMARC

Tu política de DMARC se define en una línea de valores de texto llamada registro de DMARC. Este registro define lo siguiente:

  • Qué tan estrictamente debe la DMARC verificar los mensajes
  • Acciones recomendadas para el servidor receptor cuando recibe mensajes que no pasan las verificaciones de autenticación

Ejemplo de un registro DMARC (reemplaza example.com por tu dominio):

v=DMARC1; p=reject; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s

Las etiquetas v y p deben aparecer en primer lugar. Las demás etiquetas se pueden enumerar en cualquier orden.

Cuando comiences a usar DMARC, te recomendamos que configures la opción de política (p) como none. A medida que aprendas cómo los servidores receptores autentican los mensajes de tu dominio, actualiza tu política. Con el tiempo, cambia la política del receptor a cuarentena (o rechazar). Consulta la Implementación recomendada de DMARC.

Definiciones y valores de etiquetas de registros DMARC

Etiqueta Descripción y valores
v

(Obligatorio) Versión de DMARC. Debe ser DMARC1.
p (Obligatorio) Indica al servidor de correo electrónico receptor qué hacer con los mensajes que no pasan la autenticación.
  • none—No tomar ninguna medida sobre el mensaje y entregarlo al destinatario previsto Registrar mensajes en un informe diario El informe se envía a la dirección de correo electrónico especificada con la opción rua en el registro.
  • quarantine—Marcar los mensajes como spam y enviarlos a la carpeta de spam del destinatario Los destinatarios pueden revisar los mensajes de spam para identificar los mensajes legítimos.
  • reject—Rechaza el mensaje. Con esta opción, el servidor receptor suele enviar un mensaje de rebote al servidor emisor.

Nota sobre BIMI: Si tu dominio usa BIMI, la opción p de DMARC debe establecerse en cuarentena o rechazar. BIMI no admite políticas de DMARC con la opción p establecida en none.
pct

La etiqueta pct es opcional, pero Google recomienda que la incluyas en tu registro DMARC cuando implementes DMARC para que puedas administrar el porcentaje de correos electrónicos al que se aplica tu política de DMARC.

Especifica el porcentaje de mensajes no autenticados que están sujetos a la política de DMARC. Cuando implementes DMARC de forma gradual, puedes comenzar con un pequeño porcentaje de tus mensajes. A medida que más mensajes de tu dominio pasen la autenticación con los servidores receptores, actualiza tu registro con un porcentaje más alto hasta que alcances el 100%.

Debe ser un número entero del 1 al 100. Si no usas esta opción en el registro, tu política de DMARC se aplicará al 100% de los mensajes enviados desde tu dominio.

Nota sobre BIMI: Si tu dominio usa BIMI, tu política de DMARC debe tener un valor de pct de 100. BIMI no admite políticas de DMARC con el valor pct establecido en menos de 100.
rua

La etiqueta rua es opcional, pero Google recomienda que siempre la incluyas en tu registro DMARC.

Enviar informes de DMARC a una dirección de correo electrónico La dirección de correo electrónico debe incluir mailto:.
Por ejemplo: mailto:dmarc-reports@example.com (reemplaza example.com por tu dominio).

  • Para enviar informes de DMARC a varias direcciones de correo electrónico, separa cada dirección con una coma y agrega el prefijo mailto: antes de cada dirección. Por ejemplo: mailto:dmarc-reports@example.com, mailto:dmarc-admin@example.com (reemplaza example.com por tu dominio).
  • Esta opción puede generar una gran cantidad de correos electrónicos de informes. No te recomendamos que uses tu propia dirección de correo electrónico. En su lugar, considera usar un buzón de correo dedicado, un grupo o un servicio de terceros que se especialice en informes de DMARC.
  • Para enviar informes de DMARC a una dirección de correo electrónico que se encuentre en un dominio diferente del que aloja tu registro de DMARC, agrega un registro TXT al DNS del dominio de correo electrónico. Para obtener más información, consulta Cómo enviar informes a una dirección de correo electrónico en un dominio diferente en la página Informes de DMARC.
ruf

(No compatible) Gmail no admite la etiqueta ruf, que se usa para enviar informes de errores. Los informes de fallas también se denominan informes forenses.
sp (Opcional) Establece la política para los mensajes de los subdominios de tu dominio principal. Usa esta opción si deseas usar una política de DMARC diferente para tus subdominios.
  • noneTake no action on the message and deliver it to the intended recipient. Log messages in a daily report. The report is sent to the email address specified with the rua option in the policy.
  • quarantineMarcar los mensajes como spam y enviarlos a la carpeta de spam del destinatario Los destinatarios pueden revisar los mensajes de spam para identificar los mensajes legítimos.
  • rejectRechaza el mensaje. Con esta opción, el servidor receptor debe enviar un mensaje de rebote al servidor emisor.

Si no usas esta opción en el registro, los subdominios heredan la política de DMARC establecida para el dominio principal.
adkim (Opcional) Establece la política de alineación para DKIM, que define qué tan estrictamente debe coincidir la información del mensaje con las firmas DKIM. Obtén más información sobre cómo funciona la alineación (más adelante en esta página).
  • sAlineación estricta. El nombre del dominio del remitente debe coincidir exactamente con el d=nombredeldominio correspondiente en los encabezados de correo electrónico DKIM.
  • rRelaxed alignment (default). Allows partial matches. Any valid subdomain of d=domain in the DKIM mail headers is accepted.
aspf (Opcional) Establece la política de alineación para SPF, que especifica qué tan estrictamente la información del mensaje debe coincidir con las firmas de SPF. Obtén más información sobre cómo funciona la alineación (más adelante en esta página).
  • sAlineación estricta. El encabezado De: del mensaje debe coincidir exactamente con el nombre de dominio del comando SMTP MAIL FROM.
  • rAlineación relajada (predeterminada). Permite coincidencias parciales. Se acepta cualquier subdominio válido del nombre de dominio.

Alineación de DMARC

DMARC aprueba o rechaza un mensaje según el nivel de coincidencia entre el dominio del encabezado De: y el dominio de envío especificado por SPF o DKIM. Esto se llama alineación.

Puedes elegir entre dos modos de alineación: estricto o flexible. Puedes establecer el modo de alineación para SPF y DKIM en el registro DMARC con las etiquetas de registro DMARC aspf y adkim.

Método de autenticación Alineación estricta Alineación relajada
SPF Una concordancia exacta entre el dominio en la dirección Envelope-Sender (también llamada Return-Path o rebote) y el dominio en la dirección del encabezado From: El dominio de la dirección del encabezado De: debe coincidir con el dominio de la dirección de Envelope-Sender (también llamada Return-Path o rebote) o ser un subdominio de este.
DKIM Una coincidencia exacta entre el dominio DKIM pertinente y el dominio en la dirección del encabezado De: El dominio en la dirección del encabezado De: debe coincidir con el dominio especificado en la etiqueta d= de la firma DKIM o ser un subdominio de este.

En algunos casos, Google recomienda que consideres cambiar a la alineación estricta para aumentar la protección contra la suplantación:

  • Se envía correo electrónico para tu dominio desde un subdominio que no controlas.
  • Tienes subdominios que administra otra entidad.
Importante: Por lo general, la alineación flexible proporciona suficiente protección contra la falsificación de identidad. Una alineación estricta puede provocar que los mensajes de los subdominios asociados se rechacen o se envíen a la carpeta de spam.

Para pasar la autenticación DMARC, un mensaje debe pasar al menos una de estas verificaciones:

  • Autenticación SPF y alineación de SPF
  • Autenticación y alineación de DKIM

Un mensaje no pasa la verificación de DMARC si falla en ambos casos:

  • SPF (o alineación de SPF)
  • DKIM (o alineación de DKIM)

Paso 4: Agrega tu registro DMARC a tu dominio

Importante: Para este paso, usa la documentación de ayuda sobre DMARC del host de tu dominio. Los pasos para agregar un registro DMARC varían según el host del dominio.

Cómo agregar o actualizar tu registro

Importante: Asegúrate de configurar DKIM y SPF antes de configurar DMARC. DKIM y SPF deben autenticar mensajes durante al menos 48 horas antes de activar DMARC.

  1. Ten listo el archivo de texto o la línea de tu registro DMARC.
  2. Accede a tu host de dominio, por lo general, donde compraste el nombre de dominio. Si no sabes cuál es el host de tu dominio, consulta Cómo identificar el registrador de tu dominio.
  3. Ve a la página en la que actualizaste los registros TXT de DNS para tu dominio. Para obtener ayuda sobre cómo encontrar esta página, consulta la documentación para tu dominio.

  4. Agrega o actualiza el registro TXT con esta información (consulta la documentación de tu dominio):

    Nombre del campo Valor para ingresar
    Tipo El tipo de registro es TXT.
    Host (nombre, nombre de host, alias) Este valor debe ser _dmarc.example.com (reemplaza example.com por el nombre de tu dominio).
    Valor Es la cadena que conforma el registro TXT. Por ejemplo: v=DMARC1; p=none; rua=mailto:postmaster@example.com, mailto:dmarc@example.com; pct=100; adkim=s; aspf=s. Para obtener más información, consulta Cómo determinar tu registro DMARC (anteriormente en esta página).

    Nota: Algunos hosts de dominio agregan automáticamente el nombre de dominio. Después de agregar o actualizar el registro TXT, verifica el nombre de dominio en el registro de DMARC para asegurarte de que tenga el formato correcto.

  5. Guarda los cambios.
  6. Si configuras DMARC para más de un dominio, completa estos pasos para cada uno. Cada dominio puede tener una política y opciones de informes diferentes, como se define en el registro.
  7. Para verificar que DMARC esté configurado para tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.