Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará un registro DMARC que indica a los servidores receptores qué hacer con el correo no autenticado — y te muestra mediante informes quién envía en tu nombre.

Requisitos previos

  • Una cuenta de Google Workspace con tu propio dominio
  • SPF y DKIM deben configurarse primero — DMARC se apoya en ambos
  • Acceso a la gestión de DNS de tu dominio (en el proveedor de dominio)

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) combina SPF y DKIM en una política aplicable. Es un registro TXT bajo el subdominio _dmarc. En él defines qué debe hacer un destinatario con el correo que falla la comprobación (la política p), y dónde te envía los informes (la dirección rua).

Para los grandes remitentes, DMARC es ahora obligatorio en Google — junto con SPF y DKIM. Los informes son la parte ingeniosa: mediante rua recibes informes agregados diarios sobre qué servidores envían en tu nombre.

El punto de partida en Google Workspace

Como con SPF y DKIM: no hay nada que hacer para DMARC en la consola de administración de Google. El registro se crea en el proveedor de dominio — la propia Google lo dice: “Luego inicia sesión en tu proveedor de dominio y añade el registro DMARC …”. Dónde exactamente lo muestran nuestras guías de proveedores, p. ej. IONOS, Strato o Netcup.

La vía segura: none → quarantine → reject

No pones DMARC en modo aplicación de inmediato — Google también recomienda empezar con p=none y elevar la política “con el tiempo” a quarantine o reject:

  1. p=none — observar, no bloquear nada. El correo se registra en el informe diario.
  2. p=quarantine — el correo sospechoso acaba en spam.
  3. p=reject — el correo no autenticado se rechaza: “El mensaje se rechaza.”

Guía paso a paso

1. Configura un buzón para los informes

Crea un buzón o grupo que reciba los informes agregados rua (p. ej. dmarc@beispiel.de). Para el análisis, vale la pena un monitor DMARC como MARCo — hace legibles los informes XML diarios y te muestra qué fuentes aún no se autentican limpiamente.

2. Empieza con p=none

v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

v y p deben ir primero — las demás etiquetas en cualquier orden. rua es opcional según Google, pero “Google recomienda incluirla siempre en tu registro DMARC”.

3. Crea la entrada DMARC en el proveedor de dominio

En el proveedor de DNS de tu dominio, crea un registro TXT en el host _dmarc, con tu valor DMARC.

4. Analiza los informes, luego endurece — con pct

Tras una o dos semanas los informes muestran si todas las fuentes están limpias. Entonces endurece por etapas. Google recomienda usar la etiqueta pct durante el despliegue (un número entero entre 1 y 100). El registro objetivo recomendado por Google con alineación estricta:

v=DMARC1; p=reject; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s

5. Espera hasta que el cambio esté activo

Los cambios de DNS tardan — unas horas según el caché.

Las etiquetas más importantes

EtiquetaSignificado
v=DMARC1versión, debe ir al principio
p=política: none (observar), quarantine (spam), reject (rechazar)
pct=porcentaje de correo al que se aplica la política (1–100)
rua=dirección para informes de estado agregados
sp=política separada para subdominios
adkim= / aspf=alineación (r relaxed, s strict) para DKIM y SPF respectivamente

Ten en cuenta BIMI

Si más adelante quieres usar BIMI (tu logo en Gmail), eso tiene consecuencias para DMARC: “BIMI no admite políticas DMARC en las que la opción p esté puesta en none” — y pct debe ser entonces 100. Así que BIMI requiere la aplicación de DMARC.

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra la política DMARC, SPF y DKIM de un vistazo.

Errores habituales

Directo a p=reject. Sin una fase none previa casi con seguridad bloqueas fuentes legítimas. Empieza siempre con p=none y lee los informes — Google también lo recomienda.

Buscar el registro en la consola de administración. DMARC es DNS puro — el registro va en el proveedor de dominio, no en la consola de administración de Google.

No definir rua. Sin una dirección de informe vuelas a ciegas. rua debe estar desde el principio.

DMARC sin SPF/DKIM. DMARC comprueba los resultados de SPF y DKIM. Primero SPF y DKIM, luego DMARC.

Más información