Defaults.Exposed

Defaults.Exposed › DMARC

DMARC: adopción, madurez y tablas clasificatorias

Datos a fecha de 2026-06-29 · Edición #1 · datos a fecha de 2026-06-29

DMARC es el registro DNS que le indica a las bandejas de entrada del mundo qué hacer con el correo que finge provenir de tu dominio — entregarlo, ponerlo en cuarentena o rechazarlo. No publiques nada (o déjalo en modo solo monitorización) y cualquiera podrá poner tu nombre en la línea "De" de un correo. Esta sección mide cómo usa DMARC realmente todo internet — y da a los resultados nombres claros y citables.

Censo, no muestra: 261 millones de dominios medidos. El 10.6% aplica DMARC; el 75.1% no publica ningún registro.

El modelo: el Modelo de Madurez de Adopción de DMARC (DAMM)

Las cifras de adopción solo significan algo frente a un mapa. El nuestro es el Modelo de Madurez de Adopción de DMARC — DAMM: seis etapas desde Sin protección hasta Reforzado, un paso por etapa, y un muro honesto en el medio — el paso de Observando (informes fluyendo) a Visibilidad (cada remitente contabilizado) que la mayoría de los dominios nunca escala. Cada tabla e informe de esta sección es DAMM aplicado al censo.

Es hora de dar un DAMM.

Los denominadores permanentes

Todas las páginas de DMARC de este sitio usan los mismos denominadores, de modo que ninguna estadística aquí puede cambiar discretamente su base:

¿En qué etapa estás? Seis preguntas

Empieza en la pregunta 0 y luego responde en orden — el primer "no" es tu etapa. No necesitas nada más que echar un vistazo a tus propios registros DNS y buzón — y si no puedes responder alguna, no adivines: la comprobación gratuita lee tu DNS en vivo y responde por ti las preguntas 1, 2, 3 y 5.

0. ¿Tu dominio envía correo electrónico?

No → tu camino se reduce a un solo paso: publica SPF v=spf1 -all y DMARC p=reject hoy mismo. Un dominio que nunca envía correo no tiene correo legítimo que proteger — nada que observar, ningún muro que escalar — así que pasa directamente a la Etapa 5 — Aplicada con un solo cambio de DNS. Sí → siguiente pregunta.

1. ¿Existen SPF y DKIM y pasan para el correo que envías?

No → probablemente estás en la Etapa 1 — Sin protección. Tu siguiente paso: configura SPF y DKIM para tu correo principal y confirma que ambos autentican y se alinean — alinear significa que el dominio que SPF o DKIM valida es el mismo que una persona ve en la línea "De:" visible, que es la coincidencia que DMARC realmente comprueba. DMARC se construye sobre ambos. Sí → siguiente pregunta.

2. ¿Publicas un registro DMARC?

No → probablemente estás en la Etapa 2 — Autenticada. Tu siguiente paso: publica un registro DMARC en p=none con una dirección de informes rua= — un registro DNS, nada se rompe. Sí → siguiente pregunta.

3. ¿Tu registro solicita informes (rua=) que alguien realmente recibe?

No → probablemente estás atascado entre las Etapas 2 y 3 — publicado, pero a ciegas. Tu siguiente paso: añade una dirección rua= (una edición de DNS) para que fluyan los informes agregados — un registro que no está vigilando no puede encontrar los remitentes que necesitarás alinear. Sí → siguiente pregunta.

4. ¿Has identificado a todos los remitentes legítimos del correo de tu dominio — y cada uno se alinea?

No → probablemente estás en la Etapa 3 — Observando, ante el muro donde la mayoría de los dominios se estanca. Tu siguiente paso: inventaría todos los servicios que envían en nombre de tu dominio (la herramienta de boletines, el sistema de facturación, el CRM) y consigue que cada uno se alinee. Esta es también la etapa en la que los propietarios recurren más a menudo a ayuda — un proveedor de TI o un servicio de monitorización de DMARC puede hacer el trabajo de identificación de remitentes; las etapas siguen siendo las mismas en cualquier caso. Sí → siguiente pregunta.

5. ¿Tu política es p=quarantine o p=reject?

No → probablemente estás en la Etapa 4 — Visibilidad, y puedes aplicar con seguridad. Tu siguiente paso: eleva la política por pasos — none → quarantine → reject. Sí → estás en la Etapa 5 — Aplicada. Tu siguiente paso: la capa de refuerzo — cobertura de np=, MTA-STS y TLS-RPT — más monitorización continua. Esa es la Etapa 6.

¿Cinco síes, refuerzo en marcha y alguien aún vigilando los informes? Esa es la Etapa 6 — Reforzada. El paso allí es mantenerse: aparecen nuevos remitentes, los proveedores cambian de IP, las configuraciones se degradan. ¿No estás seguro de una respuesta? Ejecuta la comprobación gratuita — resuelve las preguntas 1, 2, 3 y 5 a partir de tu DNS en vivo en menos de un minuto, de forma privada.

Las tablas clasificatorias y el informe mensual

Análisis en profundidad

¿Quieres saber cómo está tu dominio? Haz la comprobación gratuita → — privado; solo mostramos la calificación de un dominio a su propietario verificado.

Cómo calificamos → · Solo datos agregados; nunca publicamos la calificación de un dominio concreto.