Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará un registro TXT de DMARC en el LiveDNS de Gandi — escalonado con seguridad desde la observación hasta la aplicación.
Requisitos previos
- Un dominio en Gandi que use Gandi LiveDNS
- SPF y DKIM deben estar en su sitio — DMARC se apoya en ellos
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) se apoya en SPF y DKIM y, como dice la documentación de Gandi, ofrece una recomendación sobre qué hacer con un correo que falla esas comprobaciones. Además te permite recibir informes sobre los fallos. Se configura mediante un registro TXT bajo el subdominio _dmarc.
Las políticas
Gandi nombra los tres niveles de forma concisa y correcta:
none— no se toma ninguna medida, pero sigues recibiendo informes (observar)quarantine— el correo se trata como sospechoso, es decir, puede acabar en la carpeta de spam o marcarse como no fiablereject— el correo se rechaza y no se entrega
Ese es también el orden en que se activa DMARC. El ejemplo de Gandi salta directamente a p=reject — es más seguro empezar en none.
Guía paso a paso
1. Empieza con la observación
En LiveDNS, abre la pestaña DNS Records de tu dominio y pulsa el botón verde Add encima de la tabla. Crea un registro TXT _dmarc con una dirección de informes:
| Campo | Valor |
|---|---|
| Type | TXT |
| Name | _dmarc |
| Value | v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de |
Sustituye la dirección por aquella en la que quieras recibir los informes de los servidores receptores. Analiza los informes rua con un monitor de DMARC.
2. Lee los informes, sanea las fuentes
Tras una o dos semanas, los informes muestran qué fuentes aún no pasan SPF/DKIM. Solo cuando todos los remitentes legítimos estén limpios, endureces.
3. Escalona hasta reject
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
Cuidado con reject: Gandi advierte de que corres el riesgo de que el correo reenviado no se entregue — una lista de correo o una regla de reenvío puede tropezar con una política estricta. Pasa a reject solo cuando tus informes estén limpios.
4. Espera hasta que el cambio esté activo
En LiveDNS un registro nuevo se aplica en tiempo real, pero la propagación puede tardar hasta 72 horas en todas partes.
Las etiquetas más importantes
| Etiqueta | Significado |
|---|---|
v=DMARC1 | versión, debe ir al principio |
p= | política: none / quarantine / reject |
rua= | dirección para los informes agregados |
pct= | porcentaje del correo al que se aplica la política |
sp= | política para subdominios |
adkim= / aspf= | alineación (r relaxed, s strict) |
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.
Errores habituales
Directo a reject. El ejemplo de Gandi usa p=reject, pero sin fase none bloqueas fuentes legítimas. Escalona.
Sin rua. Sin dirección de informes vuelas a ciegas.
DMARC sin SPF/DKIM. Primero SPF y DKIM, después DMARC.
Nombre equivocado. El registro se llama _dmarc, no el dominio desnudo — un registro DMARC en @ no hace nada.
Más información
- Docs de Gandi: How To Protect Your Email Against Being Spoofed (consultado el 10 de julio de 2026)
- RFC 7489 — DMARC
