Defaults.Exposed › DMARC
DMARC: adopción, madurez y tablas clasificatorias
Datos a fecha de 2026-06-29 · Edición #1 · datos a fecha de 2026-06-29
DMARC es el registro DNS que le indica a las bandejas de entrada del mundo qué hacer con el correo que finge provenir de tu dominio — entregarlo, ponerlo en cuarentena o rechazarlo. No publiques nada (o déjalo en modo solo monitorización) y cualquiera podrá poner tu nombre en la línea "De" de un correo. Esta sección mide cómo usa DMARC realmente todo internet — y da a los resultados nombres claros y citables.
Censo, no muestra: 261 millones de dominios medidos. El 10.6% aplica DMARC; el 75.1% no publica ningún registro.
El modelo: el Modelo de Madurez de Adopción de DMARC (DAMM)
Las cifras de adopción solo significan algo frente a un mapa. El nuestro es el Modelo de Madurez de Adopción de DMARC — DAMM: seis etapas desde Sin protección hasta Reforzado, un paso por etapa, y un muro honesto en el medio — el paso de Observando (informes fluyendo) a Visibilidad (cada remitente contabilizado) que la mayoría de los dominios nunca escala. Cada tabla e informe de esta sección es DAMM aplicado al censo.
Es hora de dar un DAMM.
Los denominadores permanentes
Todas las páginas de DMARC de este sitio usan los mismos denominadores, de modo que ninguna estadística aquí puede cambiar discretamente su base:
- 65 millones de dominios publican un registro DMARC — el 24.9% de los 261 millones de dominios evaluados.
- 27.6 millones aplican (p=quarantine o p=reject) — el 42.5% de los registros, el 10.6% de todos los dominios evaluados.
- Cifras a fecha de 2026-06-29 (edición #1); actualizadas mensualmente con el censo.
¿En qué etapa estás? Seis preguntas
Empieza en la pregunta 0 y luego responde en orden — el primer "no" es tu etapa. No necesitas nada más que echar un vistazo a tus propios registros DNS y buzón — y si no puedes responder alguna, no adivines: la comprobación gratuita lee tu DNS en vivo y responde por ti las preguntas 1, 2, 3 y 5.
0. ¿Tu dominio envía correo electrónico?
No → tu camino se reduce a un solo paso: publica SPF v=spf1 -all y DMARC p=reject hoy mismo. Un dominio que nunca envía correo no tiene correo legítimo que proteger — nada que observar, ningún muro que escalar — así que pasa directamente a la Etapa 5 — Aplicada con un solo cambio de DNS. Sí → siguiente pregunta.
1. ¿Existen SPF y DKIM y pasan para el correo que envías?
No → probablemente estás en la Etapa 1 — Sin protección. Tu siguiente paso: configura SPF y DKIM para tu correo principal y confirma que ambos autentican y se alinean — alinear significa que el dominio que SPF o DKIM valida es el mismo que una persona ve en la línea "De:" visible, que es la coincidencia que DMARC realmente comprueba. DMARC se construye sobre ambos. Sí → siguiente pregunta.
2. ¿Publicas un registro DMARC?
No → probablemente estás en la Etapa 2 — Autenticada. Tu siguiente paso: publica un registro DMARC en p=none con una dirección de informes rua= — un registro DNS, nada se rompe. Sí → siguiente pregunta.
3. ¿Tu registro solicita informes (rua=) que alguien realmente recibe?
No → probablemente estás atascado entre las Etapas 2 y 3 — publicado, pero a ciegas. Tu siguiente paso: añade una dirección rua= (una edición de DNS) para que fluyan los informes agregados — un registro que no está vigilando no puede encontrar los remitentes que necesitarás alinear. Sí → siguiente pregunta.
4. ¿Has identificado a todos los remitentes legítimos del correo de tu dominio — y cada uno se alinea?
No → probablemente estás en la Etapa 3 — Observando, ante el muro donde la mayoría de los dominios se estanca. Tu siguiente paso: inventaría todos los servicios que envían en nombre de tu dominio (la herramienta de boletines, el sistema de facturación, el CRM) y consigue que cada uno se alinee. Esta es también la etapa en la que los propietarios recurren más a menudo a ayuda — un proveedor de TI o un servicio de monitorización de DMARC puede hacer el trabajo de identificación de remitentes; las etapas siguen siendo las mismas en cualquier caso. Sí → siguiente pregunta.
5. ¿Tu política es p=quarantine o p=reject?
No → probablemente estás en la Etapa 4 — Visibilidad, y puedes aplicar con seguridad. Tu siguiente paso: eleva la política por pasos — none → quarantine → reject. Sí → estás en la Etapa 5 — Aplicada. Tu siguiente paso: la capa de refuerzo — cobertura de np=, MTA-STS y TLS-RPT — más monitorización continua. Esa es la Etapa 6.
¿Cinco síes, refuerzo en marcha y alguien aún vigilando los informes? Esa es la Etapa 6 — Reforzada. El paso allí es mantenerse: aparecen nuevos remitentes, los proveedores cambian de IP, las configuraciones se degradan. ¿No estás seguro de una respuesta? Ejecuta la comprobación gratuita — resuelve las preguntas 1, 2, 3 y 5 a partir de tu DNS en vivo en menos de un minuto, de forma privada.
Las tablas clasificatorias y el informe mensual
- Madurez de DMARC por TLD
155 terminaciones de dominio clasificadas según la Puntuación de Madurez — los líderes, los rezagados y la regla de pertenencia congelada que mantiene honesta la clasificación. - Madurez de DMARC por país
68 países clasificados según sus terminaciones nacionales de dominio — quién aplica, quién vigila, quién no publica nada. - DAMMM — el informe de adopción de DMARC, mensual
La Matriz de Madurez de Adopción de DMARC — Mensual: etapas × cortes de población, Vigilancia del Muro, Vigilancia a Ciegas. La edición #1 es la de referencia.
Análisis en profundidad
- Las 6 etapas de madurez de DMARC — el modelo en sí
- Publicando a Ciegas — la mayoría de los registros DMARC no solicita informes
- SPF no basta — el recuento de dominios que dependen solo de SPF
- Los Pocos Totalmente Protegidos — qué hacen distinto los dominios que terminaron
¿Quieres saber cómo está tu dominio? Haz la comprobación gratuita → — privado; solo mostramos la calificación de un dominio a su propietario verificado.
Cómo calificamos → · Solo datos agregados; nunca publicamos la calificación de un dominio concreto.