Defaults.Exposed › Soluciones › Guides
"DMARC policy not enabled": qué quieren decir los verificadores, y el primer paso honesto de 5 minutos (2026)
Publicado 2026-07-08
Cifras a fecha de 2026-06-29 · metodología v7. Datos agregados del censo sobre 261 millones de dominios calificados. Consulte cómo calificamos.
“DMARC policy not enabled” significa una de dos cosas distintas: su dominio no tiene registro DMARC en absoluto, o tiene uno configurado en p=none. Solo el 10,59% de los dominios — 27.640.987 de 261.086.232 — aplica una política DMARC, según el censo de Defaults.Exposed. Publicar un registro de monitorización lleva cinco minutos; la aplicación es un proyecto.
Esta guía descifra el aviso, le da el registro TXT exacto que publicar y exactamente dónde ponerlo, repasa los errores de sintaxis que hacen fracasar los primeros intentos y fija una expectativa honesta de cómo es su primera semana de informes DMARC. Deliberadamente no es una guía de “arregle DMARC en 5 minutos” — los cinco minutos le dan visibilidad, no protección.
¿Qué significa realmente “DMARC policy not enabled”?
Verificadores como MXToolbox funden dos hallazgos distintos en un solo aviso naranja, y el camino de corrección depende de cuál de los dos tenga:
| Lo que muestra el verificador | Lo que significa realmente | Dominios afectados (de 261.086.232 calificados) |
|---|---|---|
| “No DMARC record found” | No hay nada publicado en _dmarc.sudominio. Los receptores no aplican política alguna y no le envían informes. Usted es invisible ante sus propios problemas de correo. | 196.105.162 (75,11%) |
| “DMARC policy not enabled” / “policy is none” | Existe un registro pero dice p=none: los informes están activados, la protección apagada. Los receptores entregan el correo suplantado exactamente igual que antes. | 37.312.637 (14,29%) |
| “Policy: quarantine” o “reject” | Una política con aplicación. Los receptores actúan sobre los fallos. | 27.640.987 (10,59%) |
Datos a fecha de 2026-06-29.
La primera fila es donde vive la mayor parte de internet: el 75,11% de los dominios calificados no publica registro DMARC alguno, y otro 14,29% está en p=none. El inverso de la última fila es la cifra que importa: el 89,41% de los dominios no tiene una política DMARC con aplicación — de 261.086.232 dominios calificados en el censo. Si su verificador muestra el aviso, usted está en la abrumadora mayoría. Eso no es un consuelo; es la razón por la que suplantar sigue siendo barato.
Una aclaración que ahorra confusión más adelante: DMARC es la capa de política sobre SPF y DKIM, comprobada contra la cabecera From que su destinatario ve realmente. “Not enabled” significa que aún no ha dicho a los receptores que hagan nada. Si los tres valores de política le resultan nuevos, la explicación en lenguaje claro está en qué es DMARC: none, quarantine, reject.
¿Qué puede arreglar honestamente en cinco minutos?
Publicar un registro. Esa es toda la afirmación honesta.
v=DMARC1; p=none; rua=mailto:[email protected]
Cinco minutos después de que este registro TXT esté en vivo, los receptores que comprueban DMARC empezarán a compilar informes diarios sobre quién envía correo como su dominio — servidores legítimos e impostores por igual. Esa visibilidad es genuinamente valiosa y genuinamente instantánea.
Lo que no hace: p=none no protege nada. El correo suplantado se entrega exactamente igual que ayer, y un verificador que vuelva a analizar mañana puede seguir diciendo “policy not enabled” — con razón, porque la marca verde está reservada para quarantine o reject. Hemos escrito el porqué en p=none no es protección; el camino por etapas hacia una política que bloquee de verdad la suplantación está en de p=none a p=reject. El paso de cinco minutos de abajo es cómo se empieza; esa guía es cómo se termina.
¿Cómo publica su primer registro DMARC?
- Ejecute el análisis gratuito antes de tocar el DNS. Le dice cuál de los dos hallazgos tiene realmente — sin registro o
p=none— y si SPF y DKIM están en su sitio por debajo, lo que decide con qué rapidez podrá pasar después a la aplicación. - Elija una dirección para recibir los informes. Un buzón dedicado como
dmarc-reports@sudominiosirve para empezar. Si en su lugar usa un servicio de análisis de informes, vea las preguntas frecuentes de abajo — las direcciones de terceros tienen una trampa silenciosa. - Añada un registro TXT en el host
_dmarc. En la mayoría de los paneles de DNS (vea la guía de configuración de DMARC en IONOS como ejemplo práctico) usted escribe_dmarcen el campo de host/nombre — el panel añade su dominio automáticamente, produciendo_dmarc.sudominio.com. Valor:v=DMARC1; p=none; rua=mailto:[email protected] - Verifique que resolvió.
dig TXT _dmarc.yourdomain.com(o cualquier verificador en línea) debería devolver exactamente un registro que empiece porv=DMARC1. La mayoría de los cambios de DNS son visibles en minutos; un TTL bajo ayuda. - Vuelva a analizar. Su informe mostrará DMARC presente en modo de monitorización — un reflejo honesto de dónde está: informes activados, aplicación pendiente.
Un solo registro cubre también sus subdominios: los receptores que no encuentran registro en mail.sudominio.com recurren a la política del dominio organizativo, así que no necesita un registro por subdominio para empezar a monitorizar.
¿Cuáles son los errores más comunes al añadir el registro?
Casi todos los primeros intentos fallidos son uno de estos — e importan, porque un registro que no se puede analizar se trata como si no hubiera registro. El censo cuenta 48.648 registros DMARC publicados que no pasan el análisis sintáctico; las erratas que la gente publica de verdad están catalogadas en el censo de erratas de DMARC.
- Host equivocado. El registro debe vivir en
_dmarc.yourdomain.com, no en el dominio raíz. En el dominio a secas no hace nada, y los verificadores siguen reportando “no DMARC record found”. - Añadir el dominio dos veces. Escribir
_dmarc.yourdomain.comen un panel que lo añade automáticamente le da_dmarc.yourdomain.com.yourdomain.com. Escriba solo_dmarc. - Comas en lugar de puntos y comas. Las etiquetas se separan con
;. Un registro que no se puede analizar se trata como si no existiera. v=DMARC1ausente o fuera de sitio. Debe ser la primera etiqueta, escrita exactamente así; los registros que empiezan porp=fallan el análisis.- Falta
mailto:en rua.rua=dmarc@yourdomaines inválido; debe serrua=mailto:[email protected]. - Dos registros DMARC. Los receptores que encuentran más de un registro
v=DMARC1los ignoran todos — la misma familia de fallo que el SPF con múltiples registros. - Comillas tipográficas del copiar-pegar. Comillas curvas o espacios de no separación colados desde un documento rompen el análisis. Vuelva a teclear el registro si un verificador dice que está malformado pero parece correcto.
¿Cómo serán los informes rua en la primera semana?
Ajuste las expectativas ahora para no concluir que está roto:
- Llegan aproximadamente a diario, por receptor. Google suele enviar un informe agregado cada 24 horas; Microsoft, Yahoo y otros con sus propios ciclos. Para un dominio pequeño, la primera semana suele significar un puñado de correos, en su mayoría de
[email protected]. - Son archivos XML comprimidos adjuntos, no un panel. En bruto son casi ilegibles; un analizador gratuito los convierte en una tabla de remitentes.
- El volumen sigue a su volumen de correo. Si envía poco correo, o sobre todo a proveedores que no reportan, espere datos escasos. Dos semanas tranquilas es normal para un dominio de bajo volumen — verifique el registro con
digen lugar de asumir que falló. - Espere sorpresas. La mayoría de los dominios descubre remitentes que había olvidado — el CRM, la herramienta de facturación, el formulario de contacto. Cada uno necesita SPF o DKIM alineado antes de poder aplicar la política. Si los informes muestran que DMARC falla mientras SPF y DKIM pasan individualmente, es un problema de alineación — consulte DMARC falla pero SPF y DKIM pasan.
Y pida los informes, para empezar: el 64,3% de los dominios con registro DMARC no publica ninguna dirección rua=, así que no recibe informes de él — el corte del censo sobre esto está en DMARC publicando a ciegas. Todo lo que aprenda aquí alimenta el despliegue de la aplicación — la monitorización es la primera semana de ese proyecto, no un destino. Quedarse aparcado en p=none indefinidamente es la forma más común en que los dominios acaban en el 89,41%.
Preguntas frecuentes
¿Publicar p=none perjudicará la entregabilidad de mi correo?
No. p=none no cambia nada en cómo los receptores tratan su correo — solo solicita informes. Puede ayudar: los requisitos para remitentes masivos de Google y Yahoo exigen al menos un registro DMARC p=none a los remitentes de gran volumen, así que publicar uno es un mínimo de cumplimiento, no un riesgo.
Publiqué el registro — ¿por qué el verificador sigue diciendo “policy not enabled”?
Porque le está diciendo la verdad: su política es none, y los verificadores reservan el aprobado para quarantine o reject. Se ha unido a los dominios que monitorizan pero no aplican — a fecha de 2026-06-29, solo el 10,59% de los 261.086.232 dominios calificados aplica la política. El aviso desaparece cuando complete el despliegue hacia la aplicación.
¿Necesito tener SPF y DKIM configurados antes de añadir DMARC?
Necesita al menos uno de ellos, alineado, para que su correo pase DMARC — pero no los necesita perfectos antes de publicar p=none. La monitorización es precisamente cómo se descubre lo que está roto: 70.368.600 de 261.086.232 dominios calificados (a fecha de 2026-06-29) tienen un SPF blando y ninguna aplicación de DMARC, y los informes son la forma en que sabrían qué los está frenando.
¿Puedo enviar los informes a un analizador de terceros en lugar de a mi propio buzón?
Sí — pero una dirección rua en un dominio distinto requiere que el proveedor publique un registro de autorización (yourdomain._report._dmarc.vendor.com), o los receptores retienen los informes en silencio. Los servicios de confianza lo hacen automáticamente; si los informes nunca llegan, compruebe esto primero.
Envíe el informe al propietario
Si está arreglando esto para un cliente o para su empresa, no deje que el trabajo sea invisible. Vuelva a ejecutar el análisis gratuito cuando el registro resuelva y reenvíe el informe calificado: muestra a DMARC pasando de ausente a monitorizado, con fecha y en lenguaje claro — y muestra qué viene después en el camino hacia la aplicación. Los propietarios necesitan cada vez más exactamente esta evidencia para las renovaciones de ciberseguro y los cuestionarios de seguridad de proveedores, y un informe calificado de una página responde a esas preguntas mejor de lo que jamás lo hará una captura de pantalla de un panel de DNS.
Compruebe su dominio gratis
Vea cuál de los dos hallazgos tiene — sin registro o p=none — y qué hay por debajo, de forma privada y solo para el propietario.
Compruebe su dominio → · Arreglar DMARC → · De p=none a p=reject → · Cómo calificamos → · Solo datos agregados. Datos almacenados y procesados en la UE.