Defaults.Exposed › Configuración › DMARC

Cómo configurar DMARC en Cloudflare

Añade un registro DMARC en Cloudflare para indicar a los proveedores de correo qué hacer con los mensajes que no superan tus comprobaciones.

Por qué le importa a tu negocio

DMARC une SPF y DKIM y añade la instrucción que faltaba: ¿qué debería hacer un proveedor de correo cuando un mensaje que dice venir de ti no supera las comprobaciones? Sin DMARC, cada proveedor lo adivina. Con DMARC, lo decides tú, y además puedes pedir que te envíen informes mostrando quién está enviando correo en tu nombre.

Dicho claramente: DMARC es lo que de verdad impide que los delincuentes suplanten tu dominio para estafar a tus clientes o a tu personal. Es la política que se apoya sobre los candados que ya colocan SPF y DKIM: es gratis y bien merece los pocos minutos que lleva.

Configura primero SPF y DKIM

DMARC funciona comprobando los resultados de SPF y DKIM. Si todavía no los has añadido, hazlo primero: una política DMARC sin nada debajo no tiene nada que hacer cumplir.

Confirma que Cloudflare gestiona tu DNS

Como con cualquier registro DNS, esto solo funciona si Cloudflare es quien responde el DNS de tu dominio. Cloudflare es tu proveedor de DNS, no tu proveedor de buzones, y su DNS solo está activo cuando los nameservers de tu dominio apuntan a los nameservers de Cloudflare que se muestran en tu panel. Abre tu dominio en Cloudflare y revisa la página Overview para confirmar que Cloudflare está activo. Si tus nameservers apuntan a otro sitio, añade el registro DMARC en el proveedor que realmente gestione tu DNS.

Paso a paso en Cloudflare

1. Inicia sesión en Cloudflare y selecciona tu dominio.
2. En el menú de la izquierda, ve a la configuración de DNS (busca DNS / Records).
3. Haz clic en Add record.
4. Pon Type en TXT.
5. En el campo Name, escribe exactamente: _dmarc No escribas tu nombre de dominio después: Cloudflare lo añade por ti.
6. En el campo Content, empieza con suavidad mediante una política solo de supervisión: v=DMARC1; p=none; rua=mailto:[email protected] Sustituye la dirección por un buzón que leas de verdad. Esto pide a los proveedores que te envíen informes resumidos por correo sin cambiar todavía cómo se trata ningún mensaje.
7. Deja TTL en Auto.
8. Haz clic en Save.

Cómo elegir tu política (la parte p=)

• p=none — solo supervisar. No se bloquea nada; solo recibes informes. Empieza aquí.
• p=quarantine — envía el correo que falla a spam o correo no deseado.
• p=reject — rechaza de plano el correo que falla (la protección más fuerte).

Mantén p=none unas semanas, lee los informes para confirmar que todo tu correo legítimo pasa, y luego sube a quarantine y finalmente a reject. Saltar directamente a reject antes de revisar los informes corre el riesgo de bloquear tu propio correo legítimo.

Detalles de Cloudflare que la gente suele errar

• El Name es _dmarc, con el guion bajo. Un error frecuente es omitir el guion bajo o escribir _dmarc.tudominio.com; en Cloudflare se pone solo _dmarc. El guion bajo inicial es obligatorio; no lo quites.
• No añadas tus propias comillas. Pega el valor tal cual, empezando por v=DMARC1;. Cloudflare añade las comillas por sí mismo; las comillas " manuales pueden romper el registro.
• Un único registro DMARC. Igual que con SPF, debe existir un solo registro TXT de DMARC. Si ya hay uno, edítalo en lugar de añadir un segundo.
• Sin proxy en un registro TXT. DMARC vive en un registro TXT, que nunca pasa por el proxy; aquí no hay ningún interruptor de nube naranja/gris que te preocupe.
• Usa un buzón de informes real. La dirección que va después de rua=mailto: debe ser una que revises de verdad, o los informes se desperdician. Puede estar en el mismo dominio o en otro distinto.
• Dale tiempo. Los cambios de DNS pueden tardar desde unos minutos hasta un par de horas en aplicarse.

Comprueba que funcionó

Una vez guardado y propagado, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si tu registro DMARC está en su sitio y qué política has establecido.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.