Defaults.Exposed

Defaults.Exposed › Informes

«quarentine», «ninguno», «non»: los errores de DMARC más comunes de internet (2026)

Publicado 2026-06-29

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo: el token de política p= de cada registro _dmarc publicado en 261 millones de dominios evaluados, deduplicados por dominio. Consulta cómo evaluamos.

Configurar DMARC es delicado, y los datos lo demuestran: 48.648 dominios publicaron un registro DMARC cuya política está mal escrita, escrita en otro idioma o ausente por completo — así que no hace nada. Hicieron la parte difícil (publicar un registro) y cayeron en la última palabra. Una política DMARC solo te protege si dice exactamente p=quarantine o p=reject; cualquier otra cosa, y los servidores de correo receptores la ignoran y el dominio aún puede ser suplantado.

Cómo se ve un error tipográfico en DMARC

DMARC tiene exactamente tres políticas válidas: none (solo monitorizar), quarantine y reject. Las dos últimas son las que realmente detienen la suplantación de correo. Pero la política no es más que texto que una persona escribe en un registro DNS — y a lo largo de 65 millones de registros DMARC, estas son las cosas más comunes que la gente escribió en lugar de una política válida:

Publicado en lugar de una política válidaDominios
(no-p-token)31.553
quarentine4806
policy4134
quarantaine1321
ninguno380
non351

Aparecen dos tipos de error. Los estructurales — un registro sin ningún token p=, o la palabra literal policy o una p suelta — significan que se equivocaron en la sintaxis. Los lingüísticos son más humanos: quarentine y quarantaine son simples errores de ortografía de “quarantine”, mientras que ninguno (en español) y non (en francés) son propietarios que escriben la palabra de la política en su propio idioma. Cada uno de ellos es inválido, y cada uno significa lo mismo: ninguna protección, a pesar de que hay un registro DMARC presente.

Por qué esto importa más de lo que parece

Una política mal escrita es posiblemente peor que no tener DMARC en absoluto, porque parece hecha. El registro existe; un vistazo rápido — o una casilla básica de cumplimiento — dice “DMARC: presente”. Pero los receptores rechazan todo lo que no sea una palabra clave de política válida, así que el dominio sigue siendo totalmente suplantable. El propietario cree que está protegido; los atacantes saben que no.

Para contextualizar, solo el 10,59% de todos los dominios alcanza una política de aplicación válida (27.639.358 dominios). Los 48.648 con una política rota son una pequeña porción de los registros DMARC que existen — pero son el fallo más evitable en la seguridad del correo electrónico: una sola palabra mal escrita entre una empresa y una defensa que funciona.

Preguntas frecuentes

¿Cuáles son las políticas DMARC válidas? Exactamente tres: p=none (solo monitorizar, sin protección), p=quarantine y p=reject. Solo las dos últimas detienen la suplantación. Cualquier otra cosa — un error ortográfico, otro idioma o un p= ausente — es inválida y se ignora.

¿Por qué aparecería “quarentine” o “ninguno” en un registro DMARC? Error humano. quarentine/quarantaine son errores ortográficos de “quarantine”; ninguno (español) y non (francés) son propietarios que escriben la palabra en su propio idioma. DMARC solo acepta las palabras clave exactas en inglés, por lo que todas estas fallan silenciosamente.

¿Es una política DMARC mal escrita peor que no tener ninguna? En la práctica, sí — ofrece la misma protección nula pero parece un control configurado, así que el problema pasa desapercibido.

¿Cómo sé si mi política DMARC es válida? Comprueba tu dominio (abajo) — lee tu política publicada real y te dice si está aplicando, solo monitorizando o si es inválida.

Comprueba que tu política DMARC sea realmente válida

Un registro que funciona está a una palabra mal escrita de quedar roto. Comprueba el tuyo de forma privada y gratuita — verás tu política exacta y cómo arreglarla.

Comprueba tu dominio → · Arreglar DMARC → · ¿Puede alguien suplantar tu dominio? → · Solo datos agregados. Datos almacenados y procesados en la UE.