Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará un registro TXT de DMARC en la zona DNS de Cloudflare — escalonado con seguridad desde la observación hasta la aplicación.

Requisitos previos

  • Un dominio cuyo DNS se gestiona en Cloudflare (DNS > Records)
  • SPF y DKIM deben estar en su sitio — DMARC se apoya en ellos

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) une SPF y DKIM. Como dice la documentación de Cloudflare, DMARC garantiza que los emails que dicen venir de tu dominio pasan de verdad las comprobaciones SPF y DKIM, e indica a los receptores qué hacer con los correos que fallan la autenticación. Además te permite recibir informes agregados. Se configura mediante un registro TXT en tu zona DNS. No es obligatorio, pero Cloudflare señala que DMARC mejora notablemente la entregabilidad.

Las políticas

Cloudflare nombra los tres niveles de forma concisa:

  • none — solo monitorizar (recomendado para empezar)
  • quarantine — poner en cuarentena los correos sospechosos
  • reject — rechazar los correos no autenticados

Ese es también el orden de despliegue: empieza en none y pasa a p=reject solo tras confirmar que el correo legítimo se autentica.

Guía paso a paso

1. Empieza con la observación

Ve a DNS > Records, elige Add record y crea:

CampoValor
TypeTXT
Name_dmarc
Contentv=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
TTLAuto

El ejemplo propio de Cloudflare es v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com — para un primer despliegue empiezas en p=none, así no se bloquea nada mientras lees los informes. Analiza los informes rua con un monitor de DMARC.

¿Informes en otro dominio? Si tu dirección rua vive en otro dominio (habitual con un agregador DMARC), Cloudflare precisa que el dominio receptor debe publicar un registro TXT _report._dmarc.tudominio.com para autorizar los informes.

2. Lee los informes, sanea las fuentes

Monitoriza los informes DMARC durante varias semanas. Muestran qué fuentes aún no pasan SPF/DKIM. Solo cuando todos los remitentes legítimos estén limpios, endureces.

3. Escalona hasta reject

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

4. Espera hasta que el cambio esté activo

Los cambios de DNS tardan un rato según el caché.

Las etiquetas más importantes

EtiquetaSignificado
v=DMARC1versión, debe ir al principio
p=política: none / quarantine / reject
rua=dirección para los informes agregados
pct=porcentaje del correo al que se aplica la política
sp=política para subdominios
adkim= / aspf=alineación (r relaxed, s strict)

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.

O directamente:

dig TXT _dmarc.example.com +short

Errores habituales

Directo a reject. Sin fase none bloqueas fuentes legítimas — Cloudflare recomienda empezar con p=none.

Sin rua. Sin dirección de informes vuelas a ciegas.

DMARC sin SPF/DKIM. Primero SPF y DKIM, después DMARC.

Dos registros _dmarc. Solo un registro DMARC por dominio — un segundo invalida la política.

Más información