Defaults.Exposed › Configuración › DMARC

Cómo configurar DMARC en AWS Route 53

Añade un registro DMARC en tu zona alojada de Route 53 para indicar a los proveedores de correo qué hacer con los mensajes que no superan tus comprobaciones.

Por qué le importa a tu negocio

DMARC une SPF y DKIM y añade la instrucción que faltaba: ¿qué debería hacer un proveedor de correo cuando un mensaje que dice venir de ti no supera las comprobaciones? Sin DMARC, cada proveedor lo adivina. Con DMARC, lo decides tú, y además puedes pedir que te envíen informes mostrando quién está enviando correo en tu nombre.

Dicho claramente: DMARC es lo que de verdad impide que los delincuentes suplanten tu dominio para estafar a tus clientes o a tu personal. Es la política que se apoya sobre los candados que ya colocan SPF y DKIM: es gratis y bien merece los pocos minutos que lleva.

Configura primero SPF y DKIM

DMARC funciona comprobando los resultados de SPF y DKIM. Si todavía no los has añadido, hazlo primero: una política DMARC sin nada debajo no tiene nada que hacer cumplir.

Confirma que Route 53 gestiona tu DNS

Como con cualquier registro DNS, esto solo funciona si Route 53 es quien responde el DNS de tu dominio. Route 53 es tu proveedor de DNS, no tu proveedor de buzones. En la consola de Route 53, abre Hosted zones, selecciona tu dominio y anota los cuatro valores NS (nameservers); deben coincidir con los nameservers establecidos en tu registrador. Si registraste el dominio a través de Route 53, suelen coincidir ya; si está registrado en otro sitio —o si tienes más de una zona alojada para el dominio— compruébalo con cuidado. Si los nameservers activos apuntan a otro sitio, añade el registro DMARC en el proveedor que realmente gestione tu DNS.

Paso a paso en Route 53

1. Inicia sesión en la consola de AWS y abre Route 53.
2. En el menú de la izquierda, elige Hosted zones y luego haz clic en el nombre de tu dominio.
3. Haz clic en Create record.
4. Si aparece un asistente con opciones de enrutamiento, cambia al formulario sencillo (busca Quick create record).
5. En Record name, escribe exactamente: _dmarc No escribas tu nombre de dominio después: Route 53 lo añade por ti (muestra tu dominio junto al campo).
6. Pon Record type en TXT.
7. En Value, empieza con suavidad mediante una política solo de supervisión, entre comillas dobles: "v=DMARC1; p=none; rua=mailto:[email protected]" Sustituye la dirección por un buzón que leas de verdad. Esto pide a los proveedores que te envíen informes resumidos por correo sin cambiar todavía cómo se trata ningún mensaje.
8. Deja TTL en su valor predeterminado.
9. Haz clic en Create records.

Cómo elegir tu política (la parte p=)

• p=none — solo supervisar. No se bloquea nada; solo recibes informes. Empieza aquí.
• p=quarantine — envía el correo que falla a spam o correo no deseado.
• p=reject — rechaza de plano el correo que falla (la protección más fuerte).

Mantén p=none unas semanas, lee los informes para confirmar que todo tu correo legítimo pasa, y luego sube a quarantine y finalmente a reject. Saltar directamente a reject antes de revisar los informes corre el riesgo de bloquear tu propio correo legítimo.

Detalles de Route 53 que la gente suele errar

• El valor debe ir entre comillas dobles. Route 53 espera que escribas tú mismo las comillas: "v=DMARC1; p=none; ...". Omitirlas es el error más común en Route 53.
• El Record name es _dmarc, con el guion bajo. Un error frecuente es quitar el guion bajo o escribir _dmarc.tudominio.com; en Route 53 se pone solo _dmarc y la zona se añade por ti. Escribir el dominio completo crea un host roto _dmarc.tudominio.com.tudominio.com que nunca llega a comprobarse.
• Un único registro DMARC. Igual que con SPF, debe existir un solo registro TXT de DMARC en _dmarc. Si ya hay uno, edítalo en lugar de añadir un segundo.
• Usa un buzón de informes real. La dirección que va después de rua=mailto: debe ser una que revises de verdad, o los informes se desperdician. Puede estar en el mismo dominio o en otro distinto. (Si diriges los informes a un dominio que no controlas, ese dominio tiene que autorizarlo; pero con tu propio dominio no hay problema.)
• Zona alojada correcta, cuenta correcta. Con varias zonas o cuentas de AWS es fácil editar la equivocada. Confirma que los cuatro valores NS de la zona coinciden con tus nameservers activos.
• Dale tiempo. Los cambios de DNS pueden tardar desde unos minutos hasta un par de horas en aplicarse.

Comprueba que funcionó

Una vez guardado y propagado, ejecuta la comprobación gratuita de este sitio. Te dirá en lenguaje claro si tu registro DMARC está en su sitio y qué política has establecido.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.