Defaults.Exposed › Soluciones › DMARC (Protección contra la suplantación de correo)

Cómo arreglar DMARC (Protección contra la suplantación de correo)

El DMARC es el único ajuste que de verdad le dice a los proveedores de correo del mundo que BLOQUEEN los correos que falsifican el nombre de tu empresa. SPF y DKIM revisan las cerraduras; DMARC decide qué pasa cuando una falsificación no supera la comprobación: a la basura, marcado, o pasar sin más. Mal configurado, tu dominio es totalmente falsificable; bien configurado, la suplantación se detiene antes de la bandeja de entrada.

En resumen, para tu negocio: Sin la aplicación de DMARC, un delincuente puede enviar correos que parezcan exactamente venidos de tu empresa —a tus clientes, tu personal y tus proveedores— y aterrizan en su bandeja de entrada, no en su spam. La gente cae en estafas en tu nombre, y te echan la culpa a ti.

Lo que esto te puede costar

• Un estafador envía a tu cliente una factura de aspecto real «de tu equipo de contabilidad» con sus propios datos bancarios. El cliente la paga. Tú te enteras semanas después, cuando reclama la mercancía que ya pagó, y te responsabiliza a ti.
• Un correo falso de «pago urgente» llega a tu propia persona de finanzas, aparentando venir de ti, el dueño. Hace la transferencia antes de que nadie piense en comprobarlo dos veces, y una vez el dinero llega a la cuenta de un delincuente, casi nunca se recupera.
• El equipo de informática de un cliente importante hace una comprobación de seguridad de tu dominio antes de firmar. Vuelve con «correo no protegido: se puede falsificar». Pierdes el acuerdo frente a un competidor cuyo dominio sí pasó.
• Tu dominio se usa en una oleada de phishing. Los clientes engañados dejan reseñas furiosas y avisan a otros. El daño a la reputación dura meses más que el ataque.
• Incluso tu correo legítimo empieza a ir a la basura, porque Google y Yahoo desconfían cada vez más —y ahora a veces rechazan— de los dominios sin DMARC en vigor.

Por qué importa. El correo nunca se diseñó para demostrar quién lo envió de verdad, así que falsificar la dirección de remitente es trivial. El DMARC es el único control que convierte «podemos detectar falsificaciones» en «las falsificaciones se bloquean», y además te da los informes diarios que revelan quién está enviando correo con tu marca. Los grandes proveedores de buzón ahora tratan una política DMARC ausente o sin aplicar como una señal de desconfianza en tu contra, así que esto afecta también a si tu propio correo se entrega.

Qué es el DMARC, en palabras sencillas

El correo tiene un secreto sucio: la línea «de» es solo texto escrito a mano. Cualquiera, en cualquier sitio, puede escribir el nombre y la dirección de tu empresa en el campo «de» de un correo y enviarlo. Internet nunca se diseñó para impedírselo.

Hay tres ajustes que, juntos, arreglan esto. Imagínalos como la seguridad de un edificio:

• SPF es una lista de quién tiene permiso para entrar por la puerta principal (qué servicios de correo pueden enviar en tu nombre).
• DKIM es un sello a prueba de manipulaciones que demuestra que el mensaje no fue alterado por el camino.
• DMARC es el guardia de seguridad que comprueba la lista y el sello, y, lo crucial, decide qué hacer cuando no coinciden: dejarlo pasar, mandarlo a spam o rechazarlo en la puerta.

Puedes tener la lista (SPF) y el sello (DKIM) y aun así no tener guardia. Esa es la situación más común y más peligrosa: las cerraduras existen, pero nada las hace cumplir. El DMARC es esa aplicación. Es la diferencia entre «sabemos que este correo es falso» y «este correo falso nunca llega a tu cliente».

Lo que esto te puede costar

Esto no es teórico. Estas son las formas concretas en que un dominio sin proteger se convierte en dinero real y daño real:

1. El fraude de la factura falsa. Un delincuente envía a tu cliente lo que parece exactamente una factura genuina de tu equipo de contabilidad —mismo nombre, mismo dominio, presentación profesional— pero con sus propios datos bancarios. Como tu dominio no está en vigor, aterriza en la bandeja de entrada, no en spam. El cliente paga. Tú lo descubres semanas después, cuando pregunta dónde está su pedido. El dinero suele haber desaparecido, y el cliente a menudo te responsabiliza a ti de la brecha.

2. La transferencia por fraude del jefe. Un correo parece venir de ti, el dueño, a tu persona de finanzas: «¿Puedes tramitar este pago con urgencia? Estoy en una reunión.» Parece completamente real porque es tu dirección, solo que falsificada. El pago sale. Este patrón —el fraude del correo corporativo comprometido— es una de las estafas más costosas que golpean a las pequeñas empresas, precisamente porque el correo viene de verdad de tu propio dominio, así que pasa directo y sin sospechas.

3. El contrato perdido. Un cliente serio hace una comprobación de seguridad o de compras antes de firmar. Sus herramientas informan de tu dominio como «falsificable: sin aplicación de autenticación de correo». Esa única bandera roja puede bastar para adjudicar el contrato a un competidor cuyo dominio sí pasó. Tú nunca llegas a oír el motivo real.

4. El golpe a la reputación que no puedes deshacer. Tu dominio queda arrastrado a una campaña de phishing. Decenas de personas engañadas en tu nombre publican advertencias y reseñas. El ataque dura una semana; la pregunta «¿es esta empresa siquiera segura?» perdura meses.

5. Tu propio correo yendo a spam. Google y Yahoo ahora desconfían activamente de los dominios sin DMARC en vigor. Presupuestos, facturas y respuestas que enviaste de verdad empiezan a caer silenciosamente en carpetas de spam. Los acuerdos se atascan y nunca averiguas por qué.

Qué es en realidad (y cómo se ve lo «bueno»)

El DMARC vive como una única línea de texto en la configuración de tu dominio: un registro «TXT» de DNS publicado en el nombre especial _dmarc.tudominio. Dentro hay unas pocas instrucciones breves. Dos de ellas importan más, y son exactamente las dos cosas que esta evaluación comprueba.

1. La política (p=) — las órdenes del guardia. Esta es la parte de mucho peso de la comprobación. Puede ser una de tres cosas:

• p=none — solo observar. El guardia anota quién pasó, pero no detiene a nadie. Esto no te protege de nada; es una fase de vigilancia, no una configuración terminada. (Nuestro motor lo puntúa como un suspenso: mejor que no tener DMARC en absoluto, pero no es protección.)
• p=quarantine — enviar las falsificaciones a spam. Protección real, pero un atacante decidido cuenta con que la gente revise su carpeta de spam. Un peldaño sólido: obtiene aproximadamente media nota.
• p=reject — rechazar las falsificaciones en la puerta. El correo falsificado nunca se entrega. Es el único ajuste que te protege del todo y obtiene la nota máxima.

Cómo se ve lo «bueno»: p=reject. Cualquier cosa por debajo deja un hueco.

Dos detalles técnicos que nuestra comprobación también revisa, que conviene conocer para que no te pillen:

• La política de subdominios (sp=). Puedes poner una política fuerte para tu dominio principal pero dejar sin querer los subdominios (como mail.tudominio o news.tudominio) de par en par. Nuestro motor penaliza esto con dureza: un dominio con p=reject pero sp=none se puntúa a la baja, cerca de no tener aplicación alguna, porque los atacantes simplemente falsificarán un subdominio en su lugar. La buena práctica es dejar que sp herede tu política principal fuerte, o ponerlo explícitamente en reject.
• El porcentaje (pct=). Durante un despliegue cuidadoso puedes aplicar la aplicación solo a una fracción del correo (por ejemplo, pct=25). Es una herramienta legítima de transición, pero un despliegue parcial solo da protección parcial, y nuestra puntuación lo refleja: sube de forma constante a medida que vas del 25 % hacia el 100 %, pero la nota máxima necesita cobertura completa.

2. La dirección de informes (rua=) — tu visibilidad. Esta es la segunda comprobación de esta página. La etiqueta rua= pide a todos los proveedores de correo del mundo que te envíen un resumen diario de quién intentó enviar correo en nombre de tu dominio —tus propios sistemas y cualquier suplantador—. Sin ella, vuelas a ciegas: no tienes ni idea de quién abusa de tu nombre. Con ella, las empresas suelen descubrir entre 5 y 50 remitentes no autorizados el primer día.

Cómo se ve lo «bueno» para los informes: una dirección rua=mailto: válida (o una URL https: de un servicio de informes) que reciba realmente los informes. Nuestra comprobación valida el formato: una dirección mal escrita o malformada significa que los informes van silenciosamente a ninguna parte, lo que se puntúa como resultado parcial o fallido aunque una etiqueta esté técnicamente «presente».

Cómo solucionarlo (gratis, ~30 minutos repartidos en dos semanas)

Pasa esta sección a quien gestione tu dominio, tu web o tu informática: la solución es completamente gratis. Solo cobramos por vigilar que se mantenga correcto con el tiempo, por gestionar una cartera de dominios o por una auditoría. El cambio en sí no cuesta nada.

La regla de oro: nunca saltes directamente a reject. Activa primero la vigilancia, observa los informes, confirma que tu correo real se reconoce, y luego endurece. Hecho en este orden es seguro; hecho con prisas puede mandar a la basura tu propio correo.

Paso 1 — Asegúrate de tener SPF y DKIM en su sitio primero. El DMARC depende de ellos. Si falta alguno, resuélvelo antes de hacer cumplir el DMARC (ver las páginas de SPF y DKIM).

Paso 2 — Publica un registro de vigilancia con los informes activados. Añade un registro TXT de DNS:

• Host / nombre: _dmarc.tudominio (tu proveedor de DNS puede mostrarlo solo como _dmarc)
• Tipo: TXT
• Valor: v=DMARC1; p=none; rua=mailto:dmarc@tudominio; adkim=s; aspf=s

Esto observa e informa sin bloquear nada todavía. Las partes adkim=s; aspf=s solicitan alineación estricta; déjalas fuera al principio si no estás seguro, y añádelas cuando confirmes que tu correo está limpio.

Paso 3 — Lee los informes durante ~2 semanas. Los informes DMARC en bruto son XML denso. Usa un servicio de informes gratuito (por ejemplo, dmarcian o la herramienta DMARC gratuita de Postmark) para convertirlos en un panel legible. Confirma que todos los remitentes legítimos —tu proveedor de buzón, tu herramienta de boletines, tu CRM, tu mesa de ayuda, tu aplicación de facturación— pasan. Corrige cualquier remitente legítimo que no lo haga.

Paso 4 — Pasa a quarantine. Una vez tu correo real esté limpio, cambia p=none por p=quarantine. Observa unos días más.

Paso 5 — Pasa a reject. Por último, cambia p=quarantine por p=reject. Ya estás completamente protegido. El registro final tiene este aspecto:

v=DMARC1; p=reject; rua=mailto:dmarc@tudominio; adkim=s; aspf=s

Paso 6 — No olvides los subdominios. Asegúrate de no haber dejado sp=none puesto. Si no publicas ningún sp, los subdominios heredan tu política principal p=, que es lo que quieres.

Notas por plataforma habitual:

• Google Workspace / Microsoft 365: Ambos admiten el DMARC por completo. El registro DMARC en sí va en tu proveedor de DNS, no en la consola de administración de Google o Microsoft; asegúrate primero de tener SPF y DKIM activados en la consola de administración, y luego publica el registro TXT de DMARC en tu registrador o proveedor de DNS.
• Cloudflare: DNS > Registros > Añadir registro > TXT, nombre _dmarc, pega el valor. Cloudflare también ofrece una gestión de DMARC integrada que puede configurar esto y recoger los informes por ti.
• Proveedores y registradores habituales (GoDaddy, etc.): Busca «DNS», «Zona DNS» o «DNS avanzado», añade un registro TXT con nombre _dmarc y el valor de arriba. La propagación suele llevar de unos minutos a una hora.

Errores habituales

• Quedarse en p=none. El error más común con diferencia. La vigilancia es el principio, no el final: un dominio atascado en none sigue siendo totalmente falsificable. Nuestro motor lo puntúa como un suspenso por exactamente esta razón.
• Saltar directamente a reject sin vigilancia. El error opuesto. Sin la fase de informes puede que no te des cuenta de que un remitente legítimo (a menudo una herramienta de boletines o de facturación) no está alineado, y empezarás a bloquear tu propio correo.
• Olvidar la política de subdominios. Un p=reject fuerte con sp=none deja una puerta lateral de par en par; los atacantes simplemente falsifican un subdominio en su lugar.
• Una dirección de informes rota. Un rua= mal escrito (o al que le falta el prefijo mailto:) significa que los informes van a ninguna parte y sigues a ciegas sin darte cuenta. El formato tiene que ser un URI mailto: o https: válido, o los informes nunca se entregan.
• «No enviamos correo, así que nos lo saltamos.» Un dominio que no envía es un objetivo de primera precisamente porque nadie lo vigila. Publica una política estricta de reject para cerrarlo del todo.

Una nota sobre la calificación

La comprobación de la política (p=) es uno de los elementos de mayor peso de toda la evaluación, porque es el factor más determinante de si tu empresa puede ser suplantada. reject obtiene la nota completa; quarantine obtiene aproximadamente la mitad; none y la ausencia de registro se puntúan como suspenso. Una política de subdominios más débil o un despliegue parcial con pct= rebajan la puntuación para igualar el nivel real de protección que tienes de verdad.

La comprobación de informes (rua=) también pesa de verdad, pero piénsala menos como una casilla que marcar y más como la herramienta que te permite llegar a reject con seguridad. Configúrala al mismo tiempo que tu registro de vigilancia, y se amortiza en visibilidad desde el primer día.

Configúralo en tu proveedor

Paso a paso para los proveedores más populares:

• Configurar DMARC en GoDaddy
• Configurar DMARC en Namecheap
• Configurar DMARC en Cloudflare
• Configurar DMARC en Google Workspace
• Configurar DMARC en Microsoft 365
• Configurar DMARC en Squarespace
• Configurar DMARC en Wix
• Configurar DMARC en AWS Route 53
• Configurar DMARC en Hostinger
• Configurar DMARC en Porkbun
• Configurar DMARC en IONOS
• Configurar DMARC en Bluehost

Preguntas frecuentes