Defaults.Exposed › Informes
¿Qué es DMARC? p=none, quarantine y reject explicados (2026)
Publicado 2026-07-01
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios evaluados. DMARC es la política DNS que indica a los servidores de correo receptores qué hacer con los mensajes que no superan la autenticación. Consulta cómo evaluamos.
DMARC es la instrucción que decide si un correo falsificado en tu nombre se rechaza, se pone en cuarentena o se entrega con normalidad. Tiene tres ajustes — none, quarantine, reject — y solo los dos últimos te protegen de verdad. De 261 millones de dominios, apenas el 10,59 % hace cumplir la política. La mayoría del resto no publica nada (75,11 %) o publica un registro de solo monitorización que parece protección pero no detiene nada (14,29 %). Esto es lo que hace cada política.
Qué significan las tres políticas de DMARC
DMARC vincula SPF y DKIM a la dirección “De” visible e indica a los receptores qué hacer cuando hay un fallo:
p=none(solo monitorización) — “déjalo pasar, pero envíame informes”. Útil como primer paso temporal para ver quién envía en tu nombre. No bloquea las falsificaciones. El 14,29 % de todos los dominios se queda aquí: la mala configuración más habitual con diferencia, porque supera una auditoría superficial mientras deja la puerta abierta.p=quarantine— “envía el correo que falla a spam”. Protección real. La usa el 5,28 % de los dominios.p=reject— “rechaza de plano el correo que falla”. El ajuste más fuerte. Lo usa el 5,31 % de los dominios.
En conjunto, quarantine y reject —las dos políticas que hacen cumplir— cubren apenas el 10,59 % de los dominios. Solo el 8,89 % recopila los informes agregados (rua) que te dicen quién envía en tu nombre.
”Publicamos DMARC” no es lo mismo que “hacemos cumplir DMARC”
Esta es la trampa. Publicar un registro parece la meta, pero un registro p=none es un detector de humo sin pila: observa, pero no actúa. Y las erratas te degradan silenciosamente a no tener nada: 48.648 dominios (0,07 % de los registros DMARC) tienen un token de política que los receptores no pueden leer —errores de escritura como quarentine o el idioma equivocado— así que se trata como si no hubiera política. Consulta por qué p=none no es protección y erratas de DMARC.
¿Cómo configuro DMARC?
Hazlo en orden: hacer cumplir la política antes de que SPF y DKIM estén sólidos rebotará tu propio correo:
- Publica primero SPF y DKIM y confirma que tu correo legítimo supera ambos.
- Empieza en
p=noneconrua— un registro comov=DMARC1; p=none; rua=mailto:you@yourdomain. Observa los informes durante unas semanas para detectar a todos los remitentes reales. - Pasa a
p=quarantiney luego ap=rejectcuando los informes estén limpios. Este último paso es el que realmente detiene la suplantación. Consulta corregir DMARC.
Cumplimiento por terminación de dominio
Cuanto más alto, mejor: la proporción que realmente bloquea la falsificación. A fecha de 2026-06-29:
| Terminación de dominio | DMARC que hace cumplir |
|---|---|
| .nl (Países Bajos) | 29,43 % |
| .de (Alemania) | 21,38 % |
| .uk (Reino Unido) | 13,42 % |
| .com | 9,50 % |
| .net | 10,08 % |
| .org | 10,01 % |
| .xyz | 5,15 % |
Incluso la terminación grande más fuerte hace cumplir la política en una minoría de sus dominios.
Preguntas frecuentes
¿Qué es un registro DMARC?
Un registro DNS de tipo TXT en _dmarc.yourdomain que empieza por v=DMARC1, cuyo valor p= indica a los receptores qué hacer con el correo que no supera la autenticación: none, quarantine o reject.
¿Es suficiente p=none?
No. p=none es solo monitorización y no bloquea nada. El 14,29 % de los dominios se detiene aquí y sigue siendo suplantable. Solo quarantine o reject te protegen.
¿Cuál es la diferencia entre quarantine y reject?
quarantine envía a spam el correo que falla; reject lo rechaza por completo. Reject es el más fuerte. A fecha de 2026-06-29, el 5,28 % de los dominios pone en cuarentena y el 5,31 % rechaza.
¿DMARC bloqueará mi propio correo?
Solo si SPF o DKIM no se configuran correctamente primero. Por eso empiezas en p=none, observas los informes y ajustas cuando todos tus remitentes reales superan la autenticación.
¿DMARC es gratuito? Sí: es un registro DNS. El coste es el tiempo de implementarlo de forma segura, no dinero.
Comprueba gratis el DMARC de tu dominio
Comprueba si tu política DMARC realmente hace cumplir: de forma privada y solo para el propietario.
Comprueba tu dominio → · Corregir DMARC → · ¿Puede alguien suplantar mi dominio? → · Cómo evaluamos → · Solo datos agregados. Datos almacenados y procesados en la UE.