Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará un registro TXT de DMARC en la zona alojada de Route 53 — escalonado con seguridad desde la observación hasta la aplicación.
Requisitos previos
- Una zona alojada pública en Amazon Route 53
- SPF y DKIM deben estar en su sitio — DMARC se apoya en ellos
¿Qué es DMARC?
DMARC (Domain-based Message Authentication, Reporting & Conformance) se apoya en SPF y DKIM y especifica cómo deben tratar los servidores receptores los correos que fallan esas comprobaciones. Además te permite recibir informes sobre los fallos. Se configura con un único registro TXT en el subdominio _dmarc de tu zona.
Las políticas
Hay tres niveles de aplicación, y ese es también el orden en que se activa DMARC:
none— entregar con normalidad y solo recopilar informes (observar)quarantine— el correo que falla puede tratarse como spamreject— el correo que falla se rechaza directamente
Guía paso a paso
1. Empieza con la observación
Abre tu zona alojada en la consola de Route 53 y pulsa Create record:
| Campo | Valor |
|---|---|
| Record name | _dmarc |
| Record type | TXT |
| Value | "v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de" |
Como con el registro SPF, se aplica la regla de Route 53: el valor va entre comillas dobles (un registro TXT contiene una o varias cadenas encerradas entre comillas dobles). El registro en sí, en términos DNS:
v=DMARC1; p=none; rua=mailto:dmarc@beispiel.de
Analiza los informes rua con un servicio de monitorización DMARC.
2. Lee los informes, sanea las fuentes
Tras una o dos semanas, los informes muestran qué fuentes aún no pasan SPF/DKIM. Solo cuando todos los remitentes legítimos estén limpios, endureces.
3. Escalona hasta reject
Edita el mismo registro _dmarc — primero una cuarentena parcial:
v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc@beispiel.de
y luego, cuando los informes se mantengan limpios, el rechazo completo:
v=DMARC1; p=reject; rua=mailto:dmarc@beispiel.de
(Introduce de nuevo el valor entre comillas dobles en el campo Value de Route 53.)
4. Espera hasta que el cambio esté activo
Según la documentación de AWS, los cambios se propagan generalmente a todos los servidores de nombres de Route 53 en 60 segundos — los cachés de los resolutores siguen al expirar el TTL.
Las etiquetas más importantes
| Etiqueta | Significado |
|---|---|
v=DMARC1 | versión, debe ir al principio |
p= | política: none / quarantine / reject |
rua= | dirección para los informes agregados |
pct= | porcentaje del correo al que se aplica la política |
sp= | política para subdominios |
adkim= / aspf= | alineación (r relaxed, s strict) |
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DMARC, SPF y DKIM de un vistazo.
Errores habituales
Olvidar las comillas. En el campo Value de Route 53 el valor TXT va entre comillas dobles.
Directo a reject. Sin fase none bloqueas fuentes legítimas.
Sin rua. Sin dirección de informes vuelas a ciegas.
DMARC sin SPF/DKIM. Primero SPF y DKIM, después DMARC.
Más información
- Guía para desarrolladores de Amazon Route 53: Supported DNS record types (consultado el 10 de julio de 2026)
- Guía para desarrolladores de Amazon Route 53: Creating records using the console (consultado el 10 de julio de 2026)
- RFC 7489 — DMARC
