Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará un registro DMARC para Microsoft 365 — escalonado con seguridad de la observación a la aplicación, incluidas las consecuencias específicas de Microsoft.
Requisitos previos
- Un tenant de Microsoft 365 con un dominio personalizado
- Acceso a la gestión de DNS de tu dominio (en el proveedor de dominio)
- SPF y DKIM deben estar en su sitio
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) combina SPF y DKIM en una política aplicable. El registro TXT _dmarc define qué debe hacer un destinatario con el correo no autenticado — y a dónde envía los informes.
El punto de partida en Microsoft 365
Importan dos peculiaridades de Microsoft:
El registro se crea en el proveedor de dominio, no en Microsoft 365 — para tu dominio personalizado. La excepción: para el dominio *.onmicrosoft.com creas el TXT DMARC en el centro de administración de Microsoft 365.
El pool de salida de alto riesgo. Si defines p=quarantine o p=reject, Microsoft enruta el correo saliente que falla DMARC en el destino a través de un “pool de entrega de alto riesgo” — y sin excepción: “No hay anulación para este comportamiento.” En la práctica esto significa: realmente debes haber recogido todos los remitentes autenticados limpiamente antes de endurecer, de lo contrario tu reputación de salida sufre.
Guía paso a paso
1. Empieza con p=none
En el proveedor de dominio, crea un registro TXT — host _dmarc, valor:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
p=none, según Microsoft, es expresamente “para probar y ajustar la política DMARC”. Lo mejor es que analices los informes rua (diarios, XML) con un monitor DMARC como MARCo.
2. Lee los informes y depura las fuentes
El informe agregado te muestra todas las direcciones IP que envían a través de tu dominio, y si pasan DMARC. Consigue que todas las fuentes legítimas pasen SPF/DKIM. Consejo de Microsoft: pon a los grandes remitentes externos en un subdominio (marketing.example.com), para que sus problemas no afecten a la reputación de tu dominio principal.
3. Escala hasta reject
Usa primero pct, luego aplica del todo:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@beispiel.de
El propio registro de ejemplo completo de Microsoft con informes forenses reza v=DMARC1; p=reject; pct=100; rua=mailto:rua@contoso.com; ruf=mailto:ruf@contoso.com.
4. Espera hasta que el cambio esté activo
Los cambios de DNS tardan — de unas horas a un día según el proveedor y el TTL.
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.
Errores habituales
Demasiado pronto a reject — y luego el pool de alto riesgo. Con Microsoft 365, un reject prematuro tiene una desventaja extra: el correo saliente fallido pasa por el pool de alto riesgo. Depura primero todas las fuentes.
Olvidar .onmicrosoft.com. Su registro DMARC se define en el centro de administración, no en el proveedor de dominio.
Envío masivo por el dominio principal. Traslada los servicios de newsletter a un subdominio.
DMARC sin SPF/DKIM. Primero SPF y DKIM, luego DMARC.
Más información
- Microsoft Learn: Configurar DMARC para validar el correo (consultado el 10 de julio de 2026)
- RFC 7489 — DMARC
