Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará un registro DMARC que indica a los servidores receptores qué hacer con el correo no autenticado — y te muestra mediante informes quién envía en tu nombre.
Requisitos previos
- Una cuenta de Google Workspace con tu propio dominio
- SPF y DKIM deben configurarse primero — DMARC se apoya en ambos
- Acceso a la gestión de DNS de tu dominio (en el proveedor de dominio)
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) combina SPF y DKIM en una política aplicable. Es un registro TXT bajo el subdominio _dmarc. En él defines qué debe hacer un destinatario con el correo que falla la comprobación (la política p), y dónde te envía los informes (la dirección rua).
Para los grandes remitentes, DMARC es ahora obligatorio en Google — junto con SPF y DKIM. Los informes son la parte ingeniosa: mediante rua recibes informes agregados diarios sobre qué servidores envían en tu nombre.
El punto de partida en Google Workspace
Como con SPF y DKIM: no hay nada que hacer para DMARC en la consola de administración de Google. El registro se crea en el proveedor de dominio — la propia Google lo dice: “Luego inicia sesión en tu proveedor de dominio y añade el registro DMARC …”. Dónde exactamente lo muestran nuestras guías de proveedores, p. ej. IONOS, Strato o Netcup.
La vía segura: none → quarantine → reject
No pones DMARC en modo aplicación de inmediato — Google también recomienda empezar con p=none y elevar la política “con el tiempo” a quarantine o reject:
p=none— observar, no bloquear nada. El correo se registra en el informe diario.p=quarantine— el correo sospechoso acaba en spam.p=reject— el correo no autenticado se rechaza: “El mensaje se rechaza.”
Guía paso a paso
1. Configura un buzón para los informes
Crea un buzón o grupo que reciba los informes agregados rua (p. ej. dmarc@beispiel.de). Para el análisis, vale la pena un monitor DMARC como MARCo — hace legibles los informes XML diarios y te muestra qué fuentes aún no se autentican limpiamente.
2. Empieza con p=none
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
v y p deben ir primero — las demás etiquetas en cualquier orden. rua es opcional según Google, pero “Google recomienda incluirla siempre en tu registro DMARC”.
3. Crea la entrada DMARC en el proveedor de dominio
En el proveedor de DNS de tu dominio, crea un registro TXT en el host _dmarc, con tu valor DMARC.
4. Analiza los informes, luego endurece — con pct
Tras una o dos semanas los informes muestran si todas las fuentes están limpias. Entonces endurece por etapas. Google recomienda usar la etiqueta pct durante el despliegue (un número entero entre 1 y 100). El registro objetivo recomendado por Google con alineación estricta:
v=DMARC1; p=reject; rua=mailto:postmaster@beispiel.de, mailto:dmarc@beispiel.de; pct=100; adkim=s; aspf=s
5. Espera hasta que el cambio esté activo
Los cambios de DNS tardan — unas horas según el caché.
Las etiquetas más importantes
| Etiqueta | Significado |
|---|---|
v=DMARC1 | versión, debe ir al principio |
p= | política: none (observar), quarantine (spam), reject (rechazar) |
pct= | porcentaje de correo al que se aplica la política (1–100) |
rua= | dirección para informes de estado agregados |
sp= | política separada para subdominios |
adkim= / aspf= | alineación (r relaxed, s strict) para DKIM y SPF respectivamente |
Ten en cuenta BIMI
Si más adelante quieres usar BIMI (tu logo en Gmail), eso tiene consecuencias para DMARC: “BIMI no admite políticas DMARC en las que la opción p esté puesta en none” — y pct debe ser entonces 100. Así que BIMI requiere la aplicación de DMARC.
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra la política DMARC, SPF y DKIM de un vistazo.
Errores habituales
Directo a p=reject. Sin una fase none previa casi con seguridad bloqueas fuentes legítimas. Empieza siempre con p=none y lee los informes — Google también lo recomienda.
Buscar el registro en la consola de administración. DMARC es DNS puro — el registro va en el proveedor de dominio, no en la consola de administración de Google.
No definir rua. Sin una dirección de informe vuelas a ciegas. rua debe estar desde el principio.
DMARC sin SPF/DKIM. DMARC comprueba los resultados de SPF y DKIM. Primero SPF y DKIM, luego DMARC.
Más información
- Ayuda de administración de Google Workspace: Añadir un registro DMARC (consultado el 10 de julio de 2026)
- RFC 7489 — DMARC
