Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará un registro TXT de DMARC en el LiveDNS de Gandi — escalonado con seguridad desde la observación hasta la aplicación.

Requisitos previos

  • Un dominio en Gandi que use Gandi LiveDNS
  • SPF y DKIM deben estar en su sitio — DMARC se apoya en ellos

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) se apoya en SPF y DKIM y, como dice la documentación de Gandi, ofrece una recomendación sobre qué hacer con un correo que falla esas comprobaciones. Además te permite recibir informes sobre los fallos. Se configura mediante un registro TXT bajo el subdominio _dmarc.

Las políticas

Gandi nombra los tres niveles de forma concisa y correcta:

  • none — no se toma ninguna medida, pero sigues recibiendo informes (observar)
  • quarantine — el correo se trata como sospechoso, es decir, puede acabar en la carpeta de spam o marcarse como no fiable
  • reject — el correo se rechaza y no se entrega

Ese es también el orden en que se activa DMARC. El ejemplo de Gandi salta directamente a p=reject — es más seguro empezar en none.

Guía paso a paso

1. Empieza con la observación

En LiveDNS, abre la pestaña DNS Records de tu dominio y pulsa el botón verde Add encima de la tabla. Crea un registro TXT _dmarc con una dirección de informes:

CampoValor
TypeTXT
Name_dmarc
Valuev=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

Sustituye la dirección por aquella en la que quieras recibir los informes de los servidores receptores. Analiza los informes rua con un monitor de DMARC.

2. Lee los informes, sanea las fuentes

Tras una o dos semanas, los informes muestran qué fuentes aún no pasan SPF/DKIM. Solo cuando todos los remitentes legítimos estén limpios, endureces.

3. Escalona hasta reject

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

Cuidado con reject: Gandi advierte de que corres el riesgo de que el correo reenviado no se entregue — una lista de correo o una regla de reenvío puede tropezar con una política estricta. Pasa a reject solo cuando tus informes estén limpios.

4. Espera hasta que el cambio esté activo

En LiveDNS un registro nuevo se aplica en tiempo real, pero la propagación puede tardar hasta 72 horas en todas partes.

Las etiquetas más importantes

EtiquetaSignificado
v=DMARC1versión, debe ir al principio
p=política: none / quarantine / reject
rua=dirección para los informes agregados
pct=porcentaje del correo al que se aplica la política
sp=política para subdominios
adkim= / aspf=alineación (r relaxed, s strict)

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.

Errores habituales

Directo a reject. El ejemplo de Gandi usa p=reject, pero sin fase none bloqueas fuentes legítimas. Escalona.

Sin rua. Sin dirección de informes vuelas a ciegas.

DMARC sin SPF/DKIM. Primero SPF y DKIM, después DMARC.

Nombre equivocado. El registro se llama _dmarc, no el dominio desnudo — un registro DMARC en @ no hace nada.

Más información