Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio en OVHcloud publicará un registro DMARC. Indica a los servidores receptores qué hacer con el correo que falla SPF y DKIM — y te envía informes sobre quién envía en tu nombre.
Requisitos previos
- Un dominio cuya zona DNS está alojada en OVHcloud
- SPF y/o DKIM ya configurados
- Acceso al panel de control de OVHcloud
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting and Compliance) une SPF y DKIM en una política. OVHcloud es explícito: se basa en los resultados de las comprobaciones SPF y DKIM — cuando ambas fallan, DMARC dice al receptor qué hacer — entregar, poner en cuarentena o rechazar — y puede enviarte informes agregados sobre quién envía correo con tu dominio.
De ahí la importancia del requisito. OVHcloud precisa que al menos uno de SPF o DKIM debe estar configurado en la zona DNS del dominio de la solución de correo antes de que DMARC sirva de algo. Configura primero SPF y DKIM.
El punto de partida en OVHcloud
OVHcloud te da dos vías en el asistente de zona DNS: hay dos formas de configurar DMARC en tu zona DNS de OVHcloud — un registro DMARC simplificado en el que rellenas campos, o un registro TXT plano en el que escribes tú mismo la cadena completa. Ambos acaban como TXT bajo _dmarc.
Guía paso a paso
1. Abre la zona DNS y añade una entrada
Inicia sesión en el panel de control de OVHcloud, pulsa la pestaña Web Cloud, elige el dominio en la sección Nombres de dominio y abre la pestaña Zona DNS. Pulsa Añadir una entrada y elige el asistente DMARC («registros Mail»).
2. Rellena los campos
- Subdominio: esta entrada debe empezar por
_dmarc. Para todo el dominio, introduce solo_dmarc. - Versión (
v=): OVHcloud habla de un campo obligatorio que determina la versión del protocolo DMARC — siempreDMARC1. - Política (
p=): qué deben hacer los receptores ante un fallo.nonesignifica que el titular del dominio no pide ninguna acción específica sobre la entrega.quarantinetrata el correo que falla como sospechoso;rejectrechaza los correos que fallan la verificación DMARC. rua=: las direcciones a las que deben enviarse los informes — el prefijomailto:es obligatorio.
Eso produce un registro como:
v=DMARC1; p=none; rua=mailto:dmarc@example.com
3. Empieza en p=none
Resiste la tentación de saltar directamente a reject. OVHcloud recomienda lo mismo: configurar p=none y hacer un análisis de los informes de fallos durante varias semanas, para resolver primero las anomalías. Para un despliegue gradual también puedes usar la etiqueta pct= — su propósito es permitir a los titulares de dominios una adopción lenta del mecanismo DMARC.
4. Endurece a quarantine y luego reject
Cuando los informes muestren que todas tus fuentes legítimas pasan SPF o DKIM, sube la política:
v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@beispiel.de
y por último, cuando estés seguro:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
5. Espera hasta que el cambio esté activo
Los cambios de DNS tardan unas horas según el TTL y el caché.
Las etiquetas en detalle
| Etiqueta | Significado |
|---|---|
v=DMARC1 | identificador de versión, obligatorio |
p= | política: none, quarantine o reject |
pct= | porcentaje del correo al que se aplica la política (0–100, por defecto 100) — para despliegue gradual |
rua= | dirección para los informes agregados (mailto: obligatorio) |
sp= | política aparte para subdominios |
aspf= / adkim= | modo de alineación SPF/DKIM (r relaxed, s strict) |
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — lee tu política y señala una configuración incoherente. O en el terminal:
dig TXT _dmarc.example.com +short
Errores habituales
DMARC sin SPF ni DKIM. DMARC evalúa los resultados de ambos — sin ninguno de los dos, no tiene sobre qué apoyarse. Configura primero SPF y DKIM.
Saltar directamente a p=reject. Sin fase de informes no ves qué fuentes legítimas siguen fallando — y rechazarás tu propio correo en silencio. Empieza en none y observa los informes.
Registro con el nombre equivocado. El registro DMARC vive en _dmarc.tu-dominio, no en el dominio desnudo. En el asistente de OVHcloud el campo de subdominio debe empezar por _dmarc.
Sin dirección rua. Sin dirección de informes vuelas a ciegas — nunca sabes quién envía con tu dominio ni si fallan remitentes legítimos.
Más información
- OVHcloud: How to improve email security with a DMARC record (consultado el 10 de julio de 2026)
- OVHcloud: Editing an OVHcloud DNS zone (consultado el 10 de julio de 2026)
- RFC 7489 — Domain-based Message Authentication, Reporting, and Conformance (DMARC)
