Defaults.Exposed

Defaults.ExposedSolucionesGuides

"DMARC policy not enabled": qué quieren decir los verificadores, y el primer paso honesto de 5 minutos (2026)

Publicado 2026-07-08

Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios calificados. Consulte cómo calificamos.

“DMARC policy not enabled” significa una de dos cosas distintas: su dominio no tiene registro DMARC en absoluto, o tiene uno configurado en p=none. Solo el 10,59% de los dominios — 27.640.987 de 261.086.232 — aplica una política DMARC, según el censo de Defaults.Exposed. Publicar un registro de monitorización lleva cinco minutos; la aplicación es un proyecto.

Esta guía descifra el aviso, le da el registro TXT exacto que publicar y exactamente dónde ponerlo, repasa los errores de sintaxis que hacen fracasar los primeros intentos y fija una expectativa honesta de cómo es su primera semana de informes DMARC. Deliberadamente no es una guía de “arregle DMARC en 5 minutos” — los cinco minutos le dan visibilidad, no protección.

¿Qué significa realmente “DMARC policy not enabled”?

Verificadores como MXToolbox funden dos hallazgos distintos en un solo aviso naranja, y el camino de corrección depende de cuál de los dos tenga:

Lo que muestra el verificadorLo que significa realmenteDominios afectados (de 261.086.232 calificados)
“No DMARC record found”No hay nada publicado en _dmarc.sudominio. Los receptores no aplican política alguna y no le envían informes. Usted es invisible ante sus propios problemas de correo.196.105.162 (75,11%)
“DMARC policy not enabled” / “policy is none”Existe un registro pero dice p=none: los informes están activados, la protección apagada. Los receptores entregan el correo suplantado exactamente igual que antes.37.312.637 (14,29%)
“Policy: quarantine” o “reject”Una política con aplicación. Los receptores actúan sobre los fallos.27.640.987 (10,59%)

Datos a fecha de 2026-06-29.

La primera fila es donde vive la mayor parte de internet: el 75,11% de los dominios calificados no publica registro DMARC alguno, y otro 14,29% está en p=none. El inverso de la última fila es la cifra que importa: el 89,41% de los dominios no tiene una política DMARC con aplicación — de 261.086.232 dominios calificados en el censo. Si su verificador muestra el aviso, usted está en la abrumadora mayoría. Eso no es un consuelo; es la razón por la que suplantar sigue siendo barato.

Una aclaración que ahorra confusión más adelante: DMARC es la capa de política sobre SPF y DKIM, comprobada contra la cabecera From que su destinatario ve realmente. “Not enabled” significa que aún no ha dicho a los receptores que hagan nada. Si los tres valores de política le resultan nuevos, la explicación en lenguaje claro está en qué es DMARC: none, quarantine, reject.

¿Qué puede arreglar honestamente en cinco minutos?

Publicar un registro. Esa es toda la afirmación honesta.

v=DMARC1; p=none; rua=mailto:[email protected]

Cinco minutos después de que este registro TXT esté en vivo, los receptores que comprueban DMARC empezarán a compilar informes diarios sobre quién envía correo como su dominio — servidores legítimos e impostores por igual. Esa visibilidad es genuinamente valiosa y genuinamente instantánea.

Lo que no hace: p=none no protege nada. El correo suplantado se entrega exactamente igual que ayer, y un verificador que vuelva a analizar mañana puede seguir diciendo “policy not enabled” — con razón, porque la marca verde está reservada para quarantine o reject. Hemos escrito el porqué en p=none no es protección; el camino por etapas hacia una política que bloquee de verdad la suplantación está en de p=none a p=reject. El paso de cinco minutos de abajo es cómo se empieza; esa guía es cómo se termina.

¿Cómo publica su primer registro DMARC?

  1. Ejecute el análisis gratuito antes de tocar el DNS. Le dice cuál de los dos hallazgos tiene realmente — sin registro o p=none — y si SPF y DKIM están en su sitio por debajo, lo que decide con qué rapidez podrá pasar después a la aplicación.
  2. Elija una dirección para recibir los informes. Un buzón dedicado como dmarc-reports@sudominio sirve para empezar. Si en su lugar usa un servicio de análisis de informes, vea las preguntas frecuentes de abajo — las direcciones de terceros tienen una trampa silenciosa.
  3. Añada un registro TXT en el host _dmarc. En la mayoría de los paneles de DNS (vea la guía de configuración de DMARC en IONOS como ejemplo práctico) usted escribe _dmarc en el campo de host/nombre — el panel añade su dominio automáticamente, produciendo _dmarc.sudominio.com. Valor: v=DMARC1; p=none; rua=mailto:[email protected]
  4. Verifique que resolvió. dig TXT _dmarc.yourdomain.com (o cualquier verificador en línea) debería devolver exactamente un registro que empiece por v=DMARC1. La mayoría de los cambios de DNS son visibles en minutos; un TTL bajo ayuda.
  5. Vuelva a analizar. Su informe mostrará DMARC presente en modo de monitorización — un reflejo honesto de dónde está: informes activados, aplicación pendiente.

Un solo registro cubre también sus subdominios: los receptores que no encuentran registro en mail.sudominio.com recurren a la política del dominio organizativo, así que no necesita un registro por subdominio para empezar a monitorizar.

¿Cuáles son los errores más comunes al añadir el registro?

Casi todos los primeros intentos fallidos son uno de estos — e importan, porque un registro que no se puede analizar se trata como si no hubiera registro. El censo cuenta 48.648 registros DMARC publicados que no pasan el análisis sintáctico; las erratas que la gente publica de verdad están catalogadas en el censo de erratas de DMARC.

¿Cómo serán los informes rua en la primera semana?

Ajuste las expectativas ahora para no concluir que está roto:

Y pida los informes, para empezar: el 64,3% de los dominios con registro DMARC no publica ninguna dirección rua=, así que no recibe informes de él — el corte del censo sobre esto está en DMARC publicando a ciegas. Todo lo que aprenda aquí alimenta el despliegue de la aplicación — la monitorización es la primera semana de ese proyecto, no un destino. Quedarse aparcado en p=none indefinidamente es la forma más común en que los dominios acaban en el 89,41%.

Preguntas frecuentes

¿Publicar p=none perjudicará la entregabilidad de mi correo? No. p=none no cambia nada en cómo los receptores tratan su correo — solo solicita informes. Puede ayudar: los requisitos para remitentes masivos de Google y Yahoo exigen al menos un registro DMARC p=none a los remitentes de gran volumen, así que publicar uno es un mínimo de cumplimiento, no un riesgo.

Publiqué el registro — ¿por qué el verificador sigue diciendo “policy not enabled”? Porque le está diciendo la verdad: su política es none, y los verificadores reservan el aprobado para quarantine o reject. Se ha unido a los dominios que monitorizan pero no aplican — a fecha de 2026-06-29, solo el 10,59% de los 261.086.232 dominios calificados aplica la política. El aviso desaparece cuando complete el despliegue hacia la aplicación.

¿Necesito tener SPF y DKIM configurados antes de añadir DMARC? Necesita al menos uno de ellos, alineado, para que su correo pase DMARC — pero no los necesita perfectos antes de publicar p=none. La monitorización es precisamente cómo se descubre lo que está roto: 70.368.600 de 261.086.232 dominios calificados (a fecha de 2026-06-29) tienen un SPF blando y ninguna aplicación de DMARC, y los informes son la forma en que sabrían qué los está frenando.

¿Puedo enviar los informes a un analizador de terceros en lugar de a mi propio buzón? Sí — pero una dirección rua en un dominio distinto requiere que el proveedor publique un registro de autorización (yourdomain._report._dmarc.vendor.com), o los receptores retienen los informes en silencio. Los servicios de confianza lo hacen automáticamente; si los informes nunca llegan, compruebe esto primero.

Envíe el informe al propietario

Si está arreglando esto para un cliente o para su empresa, no deje que el trabajo sea invisible. Vuelva a ejecutar el análisis gratuito cuando el registro resuelva y reenvíe el informe calificado: muestra a DMARC pasando de ausente a monitorizado, con fecha y en lenguaje claro — y muestra qué viene después en el camino hacia la aplicación. Los propietarios necesitan cada vez más exactamente esta evidencia para las renovaciones de ciberseguro y los cuestionarios de seguridad de proveedores, y un informe calificado de una página responde a esas preguntas mejor de lo que jamás lo hará una captura de pantalla de un panel de DNS.

Compruebe su dominio gratis

Vea cuál de los dos hallazgos tiene — sin registro o p=none — y qué hay por debajo, de forma privada y solo para el propietario.

Compruebe su dominio → · Arreglar DMARC → · De p=none a p=reject → · Cómo calificamos → · Solo datos agregados. Datos almacenados y procesados en la UE.