DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo que indica a los servidores receptores qué hacer con los correos que no superan ni SPF ni DKIM. Tiene tres opciones: ignorar el resultado, enviar el mensaje a cuarentena o rechazarlo.
Además genera informes periódicos y los remite al dominio. Así su responsable ve quién envía correo en su nombre. Su función principal es proteger contra la suplantación de identidad. Está definido en el RFC 7489, publicado en 2015 por el IETF.
La política: none, quarantine o reject
DMARC se apoya en SPF y DKIM, y añade una capa de decisión. El dominio publica un registro TXT en el DNS, donde declara una política con uno de estos tres valores:
- none: solo observa y recibe informes, sin alterar la entrega. Es el punto de partida recomendado.
- quarantine: los correos que fallan la autenticación van a la carpeta de spam.
- reject: se rechazan directamente y no llegan al destinatario.
El recorrido habitual sigue tres pasos. Primero empiezas en none. Después analizas los informes para confirmar que el correo legítimo pasa. Por último endureces la política de forma progresiva hasta reject.
Obligatorio para enviar a Gmail y Yahoo
DMARC dejó de ser opcional para quien envía volumen. Desde febrero de 2024, Google y Yahoo exigen DMARC a quienes envían correo masivo: más de 5.000 mensajes al día (fuente: Google, Yahoo).
Es un requisito para aceptar esos envíos. Un dominio que manda boletines o transaccionales en ese volumen sin DMARC bien alineado lo paga caro. Los dos mayores proveedores de buzones del mundo rechazarán o degradarán sus correos.
Cómo lo usamos en SMedialab
Publicamos el registro DMARC en la zona DNS de cada dominio que alojamos en nuestros VPS con panel Hestia. Partimos siempre de una política none con dirección de informes activa.
Revisamos esos informes durante las primeras semanas. Así verificamos que el correo legítimo del cliente —firmado con DKIM y autorizado por SPF— pasa sin incidencias. Solo entonces endurecemos la política hacia quarantine o reject.
Gestionamos a la vez dominio, correo y DNS de estos clientes. Por eso alineamos los tres mecanismos de forma coordinada, sin dependencias externas.
Esto forma parte de nuestro alojamiento web gestionado. En concreto, del hosting de correo y de la gestión de dominios y DNS, donde reside el registro DMARC.
¿Envías boletines o quieres blindar tu dominio frente a la suplantación? Escríbenos y configuramos tu DMARC paso a paso.