Defaults.Exposed › Configuración › DMARC

Cómo configurar DMARC en Google Workspace

Añade un registro DMARC en tu DNS para indicar a los receptores qué hacer con los mensajes que no superan tus comprobaciones de SPF y DKIM.

Por qué le importa a tu negocio

DMARC es la política que une SPF y DKIM. Indica a los servidores de correo receptores qué hacer cuando un mensaje que dice venir de tu dominio no supera esas comprobaciones —ignorarlo, mandarlo a spam o rechazarlo de plano— y puede enviarte por correo informes mostrando quién está enviando (y falsificando) mensajes en tu nombre. Dicho claramente: DMARC es lo que de verdad impide que los delincuentes suplanten tu dominio para estafar a tus clientes y a tu personal. Es gratis, y convierte SPF y DKIM de un simple «estaría bien tenerlo» en protección real.

Configura primero SPF y DKIM

DMARC depende de SPF y DKIM. Configúralos antes que DMARC, o a la vez. Un registro DMARC por sí solo —sin un SPF/DKIM que funcione— puede provocar que tu propio correo legítimo quede bloqueado. Empieza con suavidad (mira la nota sobre la política más abajo) y endurece la configuración con el tiempo.

Importante: dónde se hace esto

Igual que SPF, DMARC es un registro DNS, no un ajuste dentro de la consola de administración de Google. Google Workspace gestiona tu correo, pero el registro DMARC se añade allí donde viva el DNS de tu dominio: tu registrador, tu proveedor de hosting, Cloudflare o quien controle tus nameservers. No hay nada que activar dentro de Google para DMARC; la parte de Google es sencillamente que un SPF y DKIM que funcionen (configurados aparte) son aquello en lo que DMARC se apoya.

Primero: ¿qué empresa gestiona tu DNS?

Un registro DMARC solo funciona si se añade allí donde apuntan los nameservers de tu dominio. Si no estás seguro, revisa la sección Nameservers en la cuenta de tu registrador, o pregunta a quien montó tu sitio web. Añade el registro en la configuración de DNS de esa empresa (busca DNS / Records / Advanced DNS).

Qué vas a añadir

Un único registro TXT en un nombre de host especial: _dmarc.

Un valor inicial seguro, que solo supervisa y nunca bloquea nada, es:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = solo supervisar; todavía no se bloquea nada. Apropiado para las primeras semanas.
• rua=mailto:... = a dónde se envían los informes resumidos. Usa un buzón real que revises.
• Una vez que hayas confirmado (mediante los informes y la comprobación gratuita) que tu correo legítimo pasa, puedes endurecer la política a p=quarantine (enviar los fallos a spam) y más adelante a p=reject (rechazar de plano los fallos).

Pasos

1. Inicia sesión en tu proveedor de DNS (tu registrador, proveedor de hosting o proveedor de DNS; no la consola de administración de Google).
2. Abre la configuración de DNS de tu dominio (busca DNS / Records / Advanced DNS).
3. Añade un registro nuevo y elige TXT.
4. En el campo Name / Host, escribe exactamente _dmarc (con el guion bajo inicial). No escribas _dmarc.tudominio.com: el proveedor de DNS añade tu dominio automáticamente.
5. En el campo Value, pega tu cadena DMARC, p. ej. v=DMARC1; p=none; rua=mailto:[email protected] (sustituye el correo por una dirección real que vigiles).
6. Deja TTL en su valor predeterminado.
7. Guarda.

Detalles que la gente suele errar

• No está en la consola de administración de Google. La gente busca «DMARC» por los ajustes de Google: no está ahí. Va en tu proveedor de DNS.
• El nombre de host es _dmarc, con el guion bajo. Omitir el guion bajo, o escribir el dominio completo después, coloca el registro en el lugar equivocado y DMARC no se encontrará.
• Cuidado con las comillas. Pega el valor tal cual; la mayoría de los proveedores de DNS añaden las comillas por ti. No lo envuelvas tú en "...".
• Un solo registro DMARC. Debe haber exactamente un registro TXT en _dmarc. Si ya existe uno, edítalo en lugar de añadir un segundo.
• Empieza con p=none. Saltar directamente a p=reject antes de que SPF/DKIM estén sólidos puede bloquear tus propias facturas y presupuestos. Supervisa primero, endurece después.
• Usa un buzón de informes real. La dirección de rua debe ser una en la que puedas recibir correo de verdad.
• Da tiempo. Los cambios de DNS pueden tardar desde minutos hasta un par de horas en aplicarse en todas partes.

Comprueba que funcionó

Una vez guardado, confirma que tu registro DMARC está activo y es razonable con la comprobación gratuita de Defaults.Exposed. Introduce tu dominio y te dirá en lenguaje claro si DMARC está bien configurado y qué hacer a continuación. Tus datos se procesan en la UE.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.