Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará un registro DMARC que indica a los servidores receptores qué hacer con el correo no autenticado — y te muestra mediante informes quién envía en tu nombre.
Requisitos previos
- Una cuenta de IONOS con acceso a la gestión de DNS
- SPF y DKIM deben configurarse primero — DMARC se apoya en ellos y no funciona sin esta base
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) combina SPF y DKIM en una política aplicable. Es un registro TXT que IONOS crea bajo el subdominio _dmarc (p. ej. _dmarc.example.com). En él defines dos cosas: qué debe hacer un destinatario con el correo que falla la comprobación (la política p), y dónde te envía los informes (la dirección rua).
Los informes son la parte ingeniosa: mediante rua recibes informes agregados diarios sobre qué servidores envían en tu nombre — tanto legítimos como falsificados. Eso es exactamente lo que abre el camino a una aplicación segura.
La vía segura: none → quarantine → reject
No pones DMARC en modo aplicación de inmediato. Los tres niveles de política son una rampa:
p=none— observar, no bloquear nada. Según IONOS “no tiene efecto sobre la entrega de correo y es especialmente adecuado para pruebas”. Empiezas aquí y recopilas informes.p=quarantine— el correo sospechoso acaba en spam. Opcionalmente conpct=para solo una porción, para probar con cuidado.p=reject— el correo no autenticado se rechaza. El objetivo.
Solo avanza cuando los informes muestren que todas tus fuentes de envío legítimas pasan SPF/DKIM. De lo contrario bloqueas tu propio correo.
Guía paso a paso
1. Empieza con p=none
Empieza con el registro de observación:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
La dirección rua es el buzón (o servicio) que recibe los informes agregados. Para el análisis, vale la pena un monitor DMARC como MARCo — hace legibles los informes XML diarios y te muestra qué fuentes aún no se autentican limpiamente.
2. Crea la entrada DNS en tu cuenta de IONOS
Para tu dominio, bajo Acciones, haz clic en el icono de los tres puntos, luego en DNS. Elige Añadir registro → tipo TXT. En el campo Nombre de host introduce _dmarc — el subdominio _dmarc.example.com se crea automáticamente. En Valor introduces el registro (etiquetas separadas por punto y coma).
3. Analiza los informes, luego endurece
Tras una o dos semanas de p=none, los informes muestran si todas las fuentes están limpias. Entonces cambia a quarantine — puedes escalonar con pct:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
pct=25 aplica la política al 25% del correo — auméntalo paso a paso hasta 100.
4. Cambia a reject
Cuando quarantine funcione limpiamente, sigue la aplicación — opcionalmente con alineación estricta y una política de subdominios:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de; sp=reject; adkim=s; aspf=s
5. Espera hasta que el cambio esté activo
Los cambios de DNS tardan — unas horas según el caché.
Las etiquetas más importantes
| Etiqueta | Significado |
|---|---|
v=DMARC1 | versión, debe ir al principio |
p= | política: none (observar), quarantine (spam), reject (rechazar) |
rua= | dirección para informes de estado agregados |
ruf= | dirección para informes forenses de fallo |
sp= | política separada para subdominios |
adkim= / aspf= | alineación (r relaxed, s strict) para DKIM y SPF respectivamente |
Sobre adkim=s: “La cabecera de los emails debe coincidir exactamente con el valor d=name en las cabeceras de email DKIM” — estricto, pero lo más seguro cuando tus configuraciones están limpias.
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra la política DMARC, SPF y DKIM de un vistazo.
Errores habituales
Directo a p=reject. Sin una fase none previa casi con seguridad bloqueas fuentes legítimas (newsletter, CRM, herramienta de facturación) que aún no se autentican limpiamente. Empieza siempre con p=none y lee los informes.
No definir rua. Sin una dirección de informe vuelas a ciegas — nunca ves qué fuentes fallan. rua debe estar desde el principio.
DMARC sin SPF/DKIM. DMARC evalúa los resultados de SPF y DKIM. Si faltan ambos, ningún correo pasa la comprobación. Primero SPF y DKIM, luego DMARC.
Nombre de host incorrecto. El registro va en _dmarc — no en @ ni en el dominio a secas.
Más información
- Ayuda de IONOS: Configurar un registro DMARC para un dominio (consultado el 10 de julio de 2026)
- RFC 7489 — DMARC
