2check.click

4 min de lectura Actualizado: junio de 2026

DMARC explicado: cómo protege su dominio del spoofing

DMARC (Domain-based Message Authentication, Reporting and Conformance) es el protocolo que une SPF y DKIM y añade una capa de política: indica a los servidores receptores qué deben hacer con los correos que no superan la autenticación. Sin DMARC, incluso cuando SPF o DKIM fallan, el correo puede llegar igualmente al destinatario.

Por qué SPF y DKIM no son suficientes solos

SPF verifica el servidor emisor usando el dominio del envelope (Return-Path). DKIM verifica la integridad del contenido usando el dominio firmante. Pero ninguno de los dos exige que esos dominios coincidan con el header From que el usuario ve en su cliente de correo. Un atacante puede cumplir con SPF en su propio dominio bbva-alertas.net y mostrar noreply@bbva.es en el campo "De:". DMARC detecta esa discordancia.

Cómo DMARC alinea el header From

DMARC introduce el concepto de alineación de dominio: el dominio que aparece en el header From debe coincidir con el dominio verificado por SPF (Return-Path) o por DKIM (campo d= de la firma). Si ninguna de las dos coincide, DMARC declara el mensaje como no autenticado y aplica la política del dominio.

La alineación puede ser:

  • Estricta (strict): los dominios deben coincidir exactamente.
  • Relajada (relaxed): se permite que sean subdominios del mismo dominio organizacional, lo que facilita el uso de servicios de envío externos.

Las tres políticas DMARC

El propietario del dominio publica su política en un registro DNS TXT en _dmarc.dominio.com. Las opciones son:

  • p=none: solo monitoreo. Los correos se entregan aunque fallen la autenticación. El dominio recibe informes para identificar quién envía en su nombre.
  • p=quarantine: los correos que fallan van a la carpeta de spam del destinatario.
  • p=reject: los correos que fallan son rechazados por el servidor receptor y nunca llegan al destinatario. Es la política más protectora.

Los bancos, administraciones públicas y grandes plataformas deberían usar p=reject para que sea imposible enviar correo falso en su nombre. Una organización nueva en DMARC suele empezar con p=none para ver qué envíos legítimos tiene, subir a quarantine y finalmente llegar a reject.

Informes DMARC

DMARC incluye un sistema de informes. Los servidores receptores envían dos tipos de reportes al dominio emisor:

  • Informes agregados (RUA): resúmenes diarios en XML con estadísticas de todos los mensajes que pasaron o fallaron DMARC. Permiten identificar servicios de correo no autorizados.
  • Informes forenses (RUF): copias de mensajes individuales que fallaron, útiles para investigar ataques concretos. Muchos proveedores no los envían por privacidad.

Lo que DMARC no puede evitar

DMARC protege el dominio exacto. Los atacantes responden usando dominios similares: agencia-tributaria.com en lugar de agenciatributaria.es, o sustituyendo letras por homoglifos. Contra esas técnicas, DMARC no ayuda. Por eso es esencial revisar el dominio completo del remitente, no solo si la autenticación pasó.

Compruebe un enlace sospechoso

Pegue una URL, mensaje o código QR en 2check.click para analizar el destino, las redirecciones y otras señales de phishing.

Abrir el analizador de 2check.click

Preguntas frecuentes

¿DMARC evita el phishing por completo?

No. DMARC evita que se suplante el dominio exacto de quien lo implementa. Pero los atacantes usan dominios distintos, con nombres similares, y pueden configurar DMARC correctamente en esos dominios falsos. La autenticación técnica y la revisión humana son complementarias.

¿Cómo sé si un correo pasó DMARC?

En las cabeceras del mensaje, busque Authentication-Results. Verá una línea con dmarc=pass o dmarc=fail. La mayoría de proveedores (Gmail, Outlook) aplican DMARC automáticamente; los resultados no siempre se muestran en la interfaz de usuario pero sí en las cabeceras completas.

¿Cuál es la diferencia entre DMARC, SPF y DKIM?

SPF verifica que el servidor emisor está autorizado. DKIM verifica que el contenido no fue alterado. DMARC exige que ambos dominios coincidan con el header From y define qué hacer cuando fallan. Los tres juntos forman la defensa completa de autenticación del correo.

¿Puedo implementar DMARC en mi dominio si uso varios servicios de envío?

Sí, pero requiere planificación. Cada servicio (CRM, plataforma de marketing, soporte) debe estar autorizado en SPF o firmar con DKIM para el dominio. Empiece con p=none y los informes RUA para identificar todos sus flujos de correo antes de subir la política.

¿Qué pasa si implemento p=reject demasiado pronto?

Los correos legítimos enviados desde servicios no correctamente configurados serán rechazados y no llegarán a sus clientes. Por eso se recomienda la progresión gradual: none → quarantine (con porcentaje parcial) → reject, monitoreando los informes en cada paso.

Guías populares

¿Recibió un enlace sospechoso?

Analícelo ahora →

Artículos relacionados