Defaults.Exposed

Defaults.Exposed › Informes

¿Qué es DMARC? p=none, quarantine y reject explicados (2026)

Publicado 2026-07-01

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios evaluados. DMARC es la política DNS que indica a los servidores de correo receptores qué hacer con los mensajes que no superan la autenticación. Consulta cómo evaluamos.

DMARC es la instrucción que decide si un correo falsificado en tu nombre se rechaza, se pone en cuarentena o se entrega con normalidad. Tiene tres ajustes — none, quarantine, reject — y solo los dos últimos te protegen de verdad. De 261 millones de dominios, apenas el 10,59 % hace cumplir la política. La mayoría del resto no publica nada (75,11 %) o publica un registro de solo monitorización que parece protección pero no detiene nada (14,29 %). Esto es lo que hace cada política.

Qué significan las tres políticas de DMARC

DMARC vincula SPF y DKIM a la dirección “De” visible e indica a los receptores qué hacer cuando hay un fallo:

En conjunto, quarantine y reject —las dos políticas que hacen cumplir— cubren apenas el 10,59 % de los dominios. Solo el 8,89 % recopila los informes agregados (rua) que te dicen quién envía en tu nombre.

”Publicamos DMARC” no es lo mismo que “hacemos cumplir DMARC”

Esta es la trampa. Publicar un registro parece la meta, pero un registro p=none es un detector de humo sin pila: observa, pero no actúa. Y las erratas te degradan silenciosamente a no tener nada: 48.648 dominios (0,07 % de los registros DMARC) tienen un token de política que los receptores no pueden leer —errores de escritura como quarentine o el idioma equivocado— así que se trata como si no hubiera política. Consulta por qué p=none no es protección y erratas de DMARC.

¿Cómo configuro DMARC?

Hazlo en orden: hacer cumplir la política antes de que SPF y DKIM estén sólidos rebotará tu propio correo:

  1. Publica primero SPF y DKIM y confirma que tu correo legítimo supera ambos.
  2. Empieza en p=none con rua — un registro como v=DMARC1; p=none; rua=mailto:you@yourdomain. Observa los informes durante unas semanas para detectar a todos los remitentes reales.
  3. Pasa a p=quarantine y luego a p=reject cuando los informes estén limpios. Este último paso es el que realmente detiene la suplantación. Consulta corregir DMARC.

Cumplimiento por terminación de dominio

Cuanto más alto, mejor: la proporción que realmente bloquea la falsificación. A fecha de 2026-06-29:

Terminación de dominioDMARC que hace cumplir
.nl (Países Bajos)29,43 %
.de (Alemania)21,38 %
.uk (Reino Unido)13,42 %
.com9,50 %
.net10,08 %
.org10,01 %
.xyz5,15 %

Incluso la terminación grande más fuerte hace cumplir la política en una minoría de sus dominios.

Preguntas frecuentes

¿Qué es un registro DMARC? Un registro DNS de tipo TXT en _dmarc.yourdomain que empieza por v=DMARC1, cuyo valor p= indica a los receptores qué hacer con el correo que no supera la autenticación: none, quarantine o reject.

¿Es suficiente p=none? No. p=none es solo monitorización y no bloquea nada. El 14,29 % de los dominios se detiene aquí y sigue siendo suplantable. Solo quarantine o reject te protegen.

¿Cuál es la diferencia entre quarantine y reject? quarantine envía a spam el correo que falla; reject lo rechaza por completo. Reject es el más fuerte. A fecha de 2026-06-29, el 5,28 % de los dominios pone en cuarentena y el 5,31 % rechaza.

¿DMARC bloqueará mi propio correo? Solo si SPF o DKIM no se configuran correctamente primero. Por eso empiezas en p=none, observas los informes y ajustas cuando todos tus remitentes reales superan la autenticación.

¿DMARC es gratuito? Sí: es un registro DNS. El coste es el tiempo de implementarlo de forma segura, no dinero.

Comprueba gratis el DMARC de tu dominio

Comprueba si tu política DMARC realmente hace cumplir: de forma privada y solo para el propietario.

Comprueba tu dominio → · Corregir DMARC → · ¿Puede alguien suplantar mi dominio? → · Cómo evaluamos → · Solo datos agregados. Datos almacenados y procesados en la UE.