Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará un registro DMARC en el CCP. Como Netcup no tiene asistente DMARC, creas tú mismo el registro TXT _dmarc — esta guía te lleva con seguridad de la observación a la aplicación.

Esta guía se aplica al hosting web de Netcup (CCP). En vServers con tu propio servidor de correo (p. ej. Mailcow) rige el mismo principio de DMARC, solo introduces el registro en tu respectiva zona DNS.

Requisitos previos

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) combina SPF y DKIM en una política aplicable: el registro TXT _dmarc define qué debe hacer un destinatario con el correo no autenticado, y a dónde envía los informes.

El punto de partida en Netcup

A diferencia de SPF y DKIM (donde hay especificaciones listas), Netcup no documenta DMARC por separado — no hay asistente DMARC. Eso no es problema: mediante la gestión de DNS del CCP creas tú mismo el registro TXT _dmarc. Los registros TXT, según Netcup, están pensados para exactamente esa “información textual (a menudo con fines de verificación o seguridad)”.

Guía paso a paso

1. Abre la gestión de DNS en el CCP

Inicia sesión en el CCP, abre Dominios, haz clic en el icono de la lupa junto a tu dominio y cambia a la pestaña DNS.

2. Empieza con la observación (p=none)

Crea un registro TXT:

  • Host: _dmarc
  • Tipo: TXT
  • Destino:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de

p=none no bloquea nada pero recopila informes. La dirección rua recibe los informes agregados diarios — un monitor DMARC como MARCo es muy adecuado para el análisis.

3. Escala hasta reject

Cuando los informes muestren que todas las fuentes legítimas pasan SPF/DKIM, endurece por etapas:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de

Luego la aplicación:

v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de

4. Espera hasta que el cambio esté activo

Los cambios de DNS tardan — unas horas según el caché.

Las etiquetas más importantes

EtiquetaSignificado
v=DMARC1versión, debe ir al principio
p=política: none / quarantine / reject
rua=dirección para informes agregados
pct=porción de correo a la que se aplica la política
sp=política para subdominios
adkim= / aspf=alineación (r relaxed, s strict)

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.

Errores habituales

Directo a p=reject. Sin una fase none bloqueas fuentes legítimas. Observa siempre, luego endurece.

Host mal definido. El registro va en _dmarc, no en @.

Sin rua. Sin una dirección de informe nunca ves qué fuentes fallan.

DMARC sin SPF/DKIM. Primero SPF y DKIM, luego DMARC.

Más información