DMARC: qué es, cómo configurarlo y cómo evitar que usen tu dominio para estafas
Si alguna vez un cliente te dijo:
“Me llegó un correo desde tu empresa pidiendo un pago raro”
…puede que no haya sido tu equipo. Puede que estén suplantando tu dominio.
Ahí es donde DMARC se vuelve clave: reduce la suplantación (spoofing) y te ayuda a proteger reputación, clientes y cobros.
1) ¿Qué es DMARC (en simple)?
DMARC es una política que le dice a Gmail, Outlook y otros proveedores qué hacer cuando alguien intenta enviar correos “como si fuera” tu dominio, pero sin autorización.
DMARC se apoya en dos piezas previas:
- SPF (quién puede enviar correos por tu dominio)
- DKIM (firma digital del correo para probar que no fue alterado)
DMARC une todo y define:
✅ cómo validar (alineación)
✅ qué hacer si falla (p=none/quarantine/reject)
✅ a quién reportar (reportes)
DMARC es de esas implementaciones que parecen “solo DNS”
pero en realidad es control de fraude y reputación. Bien hecho, reduce suplantación y mejora entregabilidad.
2) ¿Qué ataques evita DMARC?
- Suplantación de dominio (spoofing) para pedir pagos, cambios de cuenta, “urgencias” del CEO
- Phishing usando tu marca para robar credenciales
- Fraudes BEC (Business Email Compromise) contra tesorería y proveedores
Daño reputacional: tu dominio termina en listas negras o pierde entregabilidad
3) Antes de “activar DMARC”: revisa esto
DMARC no es “poner un TXT y ya”. Si lo fuerzas sin preparar, puedes bloquear correos legítimos.
Checklist previo:
- ¿Tu dominio ya tiene SPF?
- ¿Tus correos salen firmados con DKIM?
- ¿Tienes identificados todos tus emisores? (Microsoft 365 / Google, CRM, ERP, facturación, marketing, formularios, proveedores, etc.)
4) Cómo configurar DMARC paso a paso (sin romper el correo)
Paso A — Publica DMARC en modo monitoreo (seguro)
Crea un registro TXT en DNS para tu dominio:
Nombre/Host: _dmarc
Tipo: TXT
Valor recomendado (inicio):
v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; ruf=mailto:dmarc@tudominio.com; fo=1; adkim=s; aspf=s; pct=100
Qué significa (en humano):
- p=none: solo observa, no bloquea
- rua: a dónde llegan reportes agregados
- ruf: reportes forenses (no siempre llegan por políticas de privacidad)
- adkim=s / aspf=s: alineación estricta (mejor seguridad, pero exige orden)
- pct=100: aplica a todos los mensajes
Pide una auditoría de tu DNS (SPF/DKIM/DMARC)
y recibe un plan de corrección por prioridades para evitar suplantación.
Paso B — Analiza quién está enviando por tu dominio
Durante 7–14 días revisa reportes (o usa un analizador DMARC) y valida:
- emisores legítimos que faltan en SPF
- servicios que no firman DKIM
- dominios “de marketing” que no alinean correctamente
Paso C — Sube el nivel: quarantine
Cuando tengas identificado y corregido lo necesario:
v=DMARC1; p=quarantine; rua=mailto:dmarc@tudominio.com; adkim=s; aspf=s; pct=100
- quarantine manda a spam lo que falle.
Paso D — Protección máxima: reject
Cuando estés seguro:
v=DMARC1; p=reject; rua=mailto:dmarc@tudominio.com; adkim=s; aspf=s; pct=100
- reject hace que el proveedor rechace correos falsos.
Solicita monitoreo y reportes DMARC
para detectar quién está enviando por tu dominio y cerrar brechas antes de pasar a reject.
5) Errores comunes que hacen fallar DMARC
- Tener dos SPF (solo debe existir uno)
- SPF con demasiados include y exceder el límite de 10 búsquedas DNS
- DKIM apagado o mal publicado (selector incorrecto)
- Servicios terceros enviando “por tu dominio” sin alineación (facturación, CRM, marketing)
- Pasar a reject sin monitoreo previo
6) Señales de que ya están usando tu dominio para estafas
- Clientes reportan “correos tuyos” que tú no enviaste
- Rebotes y quejas suben de golpe
- Caída de entregabilidad (tus correos llegan a spam)
- Alertas de tu proveedor de correo o cambios en reputación de dominio
DMARC es de esas implementaciones que parecen “solo DNS”
pero en realidad es control de fraude y reputación. Bien hecho, reduce suplantación y mejora entregabilidad.
Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.
