Última actualización: julio de 2026

En resumen: La etiqueta p= (Policy) es el parámetro fundamental obligatorio en un registro DMARC. Indica a los servidores de correo receptores qué acción de control aplicar contra los mensajes que fallan la autenticación de SPF y DKIM.

Al desplegar Domain-based Message Authentication, Reporting, and Conformance (DMARC), la etiqueta p= define tu nivel de aplicación de política. Esta configuración se aplica a todo tu dominio y dicta si los correos no autenticados son simplemente monitorizados, filtrados o bloqueados por completo.

La especificación de la etiqueta p=

Según el RFC 7489, la etiqueta p= es obligatoria para los registros de política y cubre automáticamente tanto el dominio principal como todos los subdominios, salvo que se anule explícitamente mediante la etiqueta sp=: p: Requested Mail Receiver policy (plain-text; REQUIRED for policy records). Indicates the policy to be enacted by the Receiver at the request of the Domain Owner. Policy applies to the domain queried and to subdomains, unless subdomain policy is explicitly described using the "sp" tag.

El protocolo define tres modos de política distintos:

1. Modo de monitorización (p=none)

Un registro configurado con p=none solicita que no se interfiera en la entrega del correo:

v=DMARC1; p=none; rua=mailto:dmarc-reports@example.com

Según el RFC 7489, este modo significa: none: The Domain Owner requests no specific action be taken regarding delivery of messages.

En este estado, los servidores receptores entregan normalmente los mensajes incluso si fallan la alineación de SPF y DKIM. El propósito principal de p=none es la visibilidad: cuando se combina con una dirección de informes (rua=), los proveedores de buzones envían informes XML diarios que detallan todos los servidores que envían en nombre de tu dominio. Esto te permite identificar remitentes legítimos de terceros y corregir problemas de autenticación sin arriesgar el rechazo de correos.

2. Modo de cuarentena (p=quarantine)

Una vez que hayas verificado todas las fuentes de envío legítimas, el siguiente paso es p=quarantine:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@example.com

En este modo de control, los mensajes no autenticados se tratan con sospecha en lugar de enviarse a la bandeja de entrada. Según el RFC 7489: quarantine: The Domain Owner wishes to have email that fails the DMARC mechanism check be treated by Mail Receivers as suspicious. Depending on the capabilities of the Mail Receiver, this can mean "place into spam folder", "scrutinize with additional intensity", and/or "flag as suspicious".

En la práctica, los servidores de correo receptores suelen enrutar los correos fallidos directamente a la carpeta de spam o correo no deseado del destinatario.

3. Protección estricta (p=reject)

El objetivo definitivo de cualquier despliegue de DMARC es la protección total bajo p=reject:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@example.com

Según el RFC 7489, esta política instruye a los receptores a bloquear por completo los correos no autenticados durante la conexión inicial: reject: The Domain Owner wishes for Mail Receivers to reject email that fails the DMARC mechanism check. Rejection SHOULD occur during the SMTP transaction.

Aplicar p=reject cierra la puerta al spoofing de dominio exacto y a los ataques de phishing. Si un servidor no autorizado intenta enviar correos usando tu nombre de dominio, los servidores receptores finalizan la transacción SMTP de inmediato y rebotan el mensaje.

Progresión recomendada de despliegue

Un despliegue seguro de DMARC sigue un enfoque por fases:

  1. Publicar p=none durante al menos dos a cuatro semanas y analizar los informes agregados para descubrir todas las herramientas de envío legítimas.
  2. Avanzar a p=quarantine para detectar errores de configuración marginales, asegurando al mismo tiempo que los correos sigan accesibles en la carpeta de spam en caso de ser necesarios.
  3. Aplicar p=reject una vez que las comprobaciones de autenticación superen con éxito y de forma constante en todos los flujos legítimos.

Verificar tu configuración

Para comprobar qué modo de política aplica actualmente tu dominio y verificar que tu sintaxis cumple con las especificaciones del RFC, prueba tu dominio con el escáner gratuito MXAudit.

Para consultar más conceptos técnicos y guías de configuración específicas por proveedor, explora la guía central de DMARC y tutoriales como configurar DMARC en IONOS.

Más información