Defaults.Exposed › Configuración › DMARC

Cómo configurar DMARC en Microsoft 365

Añade un registro DMARC en tu DNS para indicar a los receptores qué hacer con los mensajes que no superan tus comprobaciones de SPF y DKIM.

Por qué le importa a tu negocio

DMARC es la política que une SPF y DKIM. Indica a los servidores de correo receptores qué hacer cuando un mensaje que dice venir de tu dominio no supera esas comprobaciones —ignorarlo, mandarlo a spam o rechazarlo de plano— y puede enviarte por correo informes mostrando quién está enviando (y falsificando) mensajes en tu nombre. Dicho claramente: DMARC es lo que de verdad impide que los delincuentes suplanten tu dominio para estafar a tus clientes y a tu personal. Es gratis, y convierte SPF y DKIM de un simple «estaría bien tenerlo» en protección real.

Configura primero SPF y DKIM

DMARC depende de SPF y DKIM. Configúralos antes que DMARC, o a la vez. Un registro DMARC por sí solo —sin un SPF/DKIM que funcione— puede provocar que tu propio correo legítimo quede bloqueado. Empieza con suavidad (mira la nota sobre la política más abajo) y endurece la configuración con el tiempo.

Importante: dónde se hace esto

Igual que SPF, DMARC es un registro DNS, no un ajuste dentro de Microsoft 365. Microsoft 365 es tu plataforma de correo (gestiona los buzones), pero el registro DMARC se añade allí donde viva el DNS de tu dominio: tu registrador, tu proveedor de hosting, Cloudflare o quien controle tus nameservers. Si dejas que Microsoft gestione tu DNS, lo añadirías en el centro de administración de Microsoft 365 → Configuración → Dominios → Registros DNS; de lo contrario, va en tu proveedor de DNS. No hay ningún «interruptor de DMARC» aparte dentro de Microsoft; la parte de Microsoft es sencillamente que un SPF y DKIM que funcionen (configurados aparte) son aquello en lo que DMARC se apoya.

Primero: ¿qué empresa gestiona tu DNS?

Un registro DMARC solo funciona si se añade allí donde apuntan los nameservers de tu dominio. Si no estás seguro, revisa la sección Nameservers en la cuenta de tu registrador, o pregunta a quien montó tu sitio web. Añade el registro en la configuración de DNS de esa empresa (busca DNS / Records / Advanced DNS).

Qué vas a añadir

Un único registro TXT en un nombre de host especial: _dmarc.

Un valor inicial seguro, que solo supervisa y nunca bloquea nada, es:

v=DMARC1; p=none; rua=mailto:[email protected]

• p=none = solo supervisar; todavía no se bloquea nada. Apropiado para las primeras semanas.
• rua=mailto:... = a dónde se envían los informes resumidos. Usa un buzón real que revises.
• Una vez que hayas confirmado (mediante los informes y la comprobación gratuita) que tu correo legítimo pasa, puedes endurecer la política a p=quarantine (enviar los fallos a spam) y más adelante a p=reject (rechazar de plano los fallos). Microsoft recomienda avanzar hacia p=reject cuando tengas confianza.

Pasos

1. Inicia sesión en tu proveedor de DNS (tu registrador, proveedor de hosting o proveedor de DNS; o el centro de administración de Microsoft 365 si Microsoft gestiona tu DNS).
2. Abre la configuración de DNS de tu dominio (busca DNS / Records / Advanced DNS).
3. Añade un registro nuevo y elige TXT.
4. En el campo Name / Host, escribe exactamente _dmarc (con el guion bajo inicial). No escribas _dmarc.tudominio.com: el proveedor de DNS añade tu dominio automáticamente.
5. En el campo Value, pega tu cadena DMARC, p. ej. v=DMARC1; p=none; rua=mailto:[email protected] (sustituye el correo por una dirección real que vigiles).
6. Deja TTL en su valor predeterminado.
7. Guarda.

Detalles que la gente suele errar

• No es un ajuste del buzón. La gente busca «DMARC» por los ajustes de Microsoft 365: no está ahí como un interruptor. Va en tu DNS.
• El nombre de host es _dmarc, con el guion bajo. Omitir el guion bajo, o escribir el dominio completo después, coloca el registro en el lugar equivocado y DMARC no se encontrará.
• Cuidado con las comillas. Pega el valor tal cual; la mayoría de los proveedores de DNS añaden las comillas por ti. No lo envuelvas tú en "...".
• Un solo registro DMARC. Debe haber exactamente un registro TXT en _dmarc. Si ya existe uno, edítalo en lugar de añadir un segundo.
• Empieza con p=none. Saltar directamente a p=reject antes de que SPF/DKIM estén sólidos puede bloquear tus propias facturas y presupuestos. Supervisa primero, endurece después.
• Usa un buzón de informes real. La dirección de rua debe ser una en la que puedas recibir correo de verdad.
• Da tiempo. Los cambios de DNS pueden tardar desde minutos hasta un par de horas en aplicarse en todas partes.

Comprueba que funcionó

Una vez guardado, confirma que tu registro DMARC está activo y es razonable con la comprobación gratuita de Defaults.Exposed. Introduce tu dominio y te dirá en lenguaje claro si DMARC está bien configurado y qué hacer a continuación. Tus datos se procesan en la UE.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.