Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará un registro TXT DMARC en la zona DNS de Hetzner — escalonado con seguridad de la observación a la aplicación.
Requisitos previos
- Una zona DNS en Hetzner (Hetzner Console) o hosting web konsoleH
- SPF y DKIM deben estar en su sitio — DMARC se apoya en ellos
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) se apoya, como lo formula limpiamente la documentación de Hetzner, en SPF y DKIM “y especifica cómo deben tratar los servidores de correo receptores los emails que fallan estas comprobaciones”. Además te permite recibir informes sobre comprobaciones fallidas. Lo configuras mediante un registro TXT en tu zona DNS.
Las políticas
Hetzner nombra los tres niveles de forma concisa y correcta:
none— “entrega el email y solo realiza una evaluación” (observar)quarantine— “puede tratar el email como spam”reject— “rechaza el email”
Este es también el orden en el que pones DMARC en modo aplicación.
Guía paso a paso
1. Empieza con la observación
El registro de ejemplo típico de Hetzner reza _dmarc.example.com IN TXT "v=DMARC1; p=none". Para empezar, añades una dirección de informe. En tu zona DNS, crea:
| Campo | Valor |
|---|---|
| Tipo | TXT |
| Nombre | _dmarc |
| Valor | "v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de" |
Como con el registro SPF, rige la peculiaridad de Hetzner: el valor TXT debe ir entre comillas. Lo mejor es que analices los informes rua con un monitor DMARC como MARCo.
2. Lee los informes, depura las fuentes
Tras una o dos semanas los informes muestran qué fuentes aún no pasan SPF/DKIM. Solo cuando todos los remitentes legítimos estén limpios endureces.
3. Escala hasta reject
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
(Introduce de nuevo entre comillas en la Hetzner Console.)
4. Espera hasta que el cambio esté activo
Los cambios de DNS tardan — unas horas según el caché.
Las etiquetas más importantes
| Etiqueta | Significado |
|---|---|
v=DMARC1 | versión, debe ir al principio |
p= | política: none / quarantine / reject |
rua= | dirección para informes agregados |
pct= | porción de correo a la que se aplica la política |
sp= | política para subdominios |
adkim= / aspf= | alineación (r relaxed, s strict) |
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.
Errores habituales
Olvidar las comillas. En la Hetzner Console el valor TXT va entre comillas.
Directo a reject. Sin una fase none bloqueas fuentes legítimas.
Sin rua. Sin una dirección de informe vuelas a ciegas.
DMARC sin SPF/DKIM. Primero SPF y DKIM, luego DMARC.
Más información
- Docs de Hetzner: Seguridad de correo con DKIM, SPF y DMARC (consultado el 10 de julio de 2026)
- RFC 7489 — DMARC
