Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará un registro TXT DMARC en la zona DNS de Hetzner — escalonado con seguridad de la observación a la aplicación.

Requisitos previos

  • Una zona DNS en Hetzner (Hetzner Console) o hosting web konsoleH
  • SPF y DKIM deben estar en su sitio — DMARC se apoya en ellos

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) se apoya, como lo formula limpiamente la documentación de Hetzner, en SPF y DKIM “y especifica cómo deben tratar los servidores de correo receptores los emails que fallan estas comprobaciones”. Además te permite recibir informes sobre comprobaciones fallidas. Lo configuras mediante un registro TXT en tu zona DNS.

Las políticas

Hetzner nombra los tres niveles de forma concisa y correcta:

  • none — “entrega el email y solo realiza una evaluación” (observar)
  • quarantine — “puede tratar el email como spam”
  • reject — “rechaza el email”

Este es también el orden en el que pones DMARC en modo aplicación.

Guía paso a paso

1. Empieza con la observación

El registro de ejemplo típico de Hetzner reza _dmarc.example.com IN TXT "v=DMARC1; p=none". Para empezar, añades una dirección de informe. En tu zona DNS, crea:

CampoValor
TipoTXT
Nombre_dmarc
Valor"v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de"

Como con el registro SPF, rige la peculiaridad de Hetzner: el valor TXT debe ir entre comillas. Lo mejor es que analices los informes rua con un monitor DMARC como MARCo.

2. Lee los informes, depura las fuentes

Tras una o dos semanas los informes muestran qué fuentes aún no pasan SPF/DKIM. Solo cuando todos los remitentes legítimos estén limpios endureces.

3. Escala hasta reject

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

(Introduce de nuevo entre comillas en la Hetzner Console.)

4. Espera hasta que el cambio esté activo

Los cambios de DNS tardan — unas horas según el caché.

Las etiquetas más importantes

EtiquetaSignificado
v=DMARC1versión, debe ir al principio
p=política: none / quarantine / reject
rua=dirección para informes agregados
pct=porción de correo a la que se aplica la política
sp=política para subdominios
adkim= / aspf=alineación (r relaxed, s strict)

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.

Errores habituales

Olvidar las comillas. En la Hetzner Console el valor TXT va entre comillas.

Directo a reject. Sin una fase none bloqueas fuentes legítimas.

Sin rua. Sin una dirección de informe vuelas a ciegas.

DMARC sin SPF/DKIM. Primero SPF y DKIM, luego DMARC.

Más información