Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio en checkdomain publicará un registro DMARC que indica a los servidores receptores qué hacer con el correo no autenticado — y te muestra mediante informes quién envía en tu nombre.
Requisitos previos
- Un dominio en checkdomain con los servidores de nombres de checkdomain activos
- SPF y DKIM deben configurarse primero — la propia checkdomain señala que “además de DMARC, a menudo se necesitan también una entrada SPF válida y una entrada DKIM”
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) combina SPF y DKIM en una política aplicable. Es un registro TXT bajo el subdominio _dmarc (p. ej. _dmarc.example.com). En él defines dos cosas: qué debe hacer un destinatario con el correo que falla la comprobación (la política p), y dónde te envía los informes (la dirección rua).
Los informes son la parte ingeniosa: mediante rua recibes informes agregados diarios sobre qué servidores envían en tu nombre — tanto legítimos como falsificados. Eso es exactamente lo que abre el camino a una aplicación segura.
El punto de partida en checkdomain
checkdomain no crea DMARC automáticamente — las entradas DMARC no se crean por defecto. Introduces el registro tú mismo como entrada TXT en la configuración Pro de la gestión de servidores de nombres (el mismo lugar que el registro SPF).
La vía segura: none → quarantine → reject
No pones DMARC en modo aplicación de inmediato. Los tres niveles de política son una rampa:
p=none— observar, no bloquear nada. Empiezas aquí y recopilas informes.p=quarantine— el correo sospechoso acaba en spam. Opcionalmente conpct=para solo una porción, para probar con cuidado.p=reject— el correo no autenticado se rechaza. El objetivo.
Solo avanza cuando los informes muestren que todas tus fuentes de envío legítimas pasan SPF/DKIM. De lo contrario bloqueas tu propio correo.
Guía paso a paso
1. Empieza con p=none
Empieza con el registro de observación:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
La dirección rua es el buzón (o servicio) que recibe los informes agregados. Para el análisis, vale la pena un monitor DMARC como MARCo — hace legibles los informes XML diarios y te muestra qué fuentes aún no se autentican limpiamente.
2. Crea la entrada TXT en la configuración pro
Abre el área de clientes, haz clic en Dominios, abre la Configuración de tu dominio y luego el área Servidor de nombres de Checkdomain. En la configuración Pro, crea una entrada TXT:
- Nombre:
_dmarc - Tipo:
TXT - Valor: tu registro DMARC (sin comillas, como es habitual en checkdomain)
checkdomain advierte expresamente: “No uses el valor de ejemplo sin comprobar.” Usa el valor que encaje con tu dominio y tus fuentes de envío.
3. Analiza los informes, luego endurece
Tras una o dos semanas de p=none, los informes muestran si todas las fuentes están limpias. Entonces cambia a quarantine — puedes escalonar con pct:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
pct=25 aplica la política al 25% del correo — auméntalo paso a paso hasta 100.
4. Cambia a reject
Cuando quarantine funcione limpiamente, sigue la aplicación — opcionalmente con alineación estricta y una política de subdominios:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s
5. Espera hasta que el cambio esté activo
Según checkdomain, el cambio se guarda en segundos; hasta que sea visible en todo el mundo puede tardar hasta 48 horas.
Las etiquetas más importantes
| Etiqueta | Significado |
|---|---|
v=DMARC1 | versión, debe ir al principio |
p= | política: none (observar), quarantine (spam), reject (rechazar) |
rua= | dirección para informes de estado agregados |
ruf= | dirección para informes forenses de fallo |
sp= | política separada para subdominios |
adkim= / aspf= | alineación (r relaxed, s strict) para DKIM y SPF respectivamente |
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra la política DMARC, SPF y DKIM de un vistazo.
Errores habituales
Directo a p=reject. Sin una fase none previa casi con seguridad bloqueas fuentes legítimas (newsletter, CRM, herramienta de facturación) que aún no se autentican limpiamente. Empieza siempre con p=none y lee los informes.
No definir rua. Sin una dirección de informe vuelas a ciegas — nunca ves qué fuentes fallan. rua debe estar desde el principio.
DMARC sin SPF/DKIM. DMARC comprueba los resultados de SPF y DKIM. Si faltan ambos, ningún correo pasa la comprobación. Primero SPF y DKIM, luego DMARC.
Nombre de host incorrecto. El registro va en _dmarc — no en @ ni en el dominio a secas.
Más información
- Soporte de checkdomain: ¿Cómo defino una entrada DMARC? (en alemán) (consultado el 10 de julio de 2026)
- RFC 7489 — DMARC
