{"id":7129,"date":"2025-10-06T12:13:21","date_gmt":"2025-10-06T10:13:21","guid":{"rendered":"https:\/\/www.hostingtg.com\/blog\/?p=7129"},"modified":"2025-10-06T12:14:50","modified_gmt":"2025-10-06T10:14:50","slug":"dmarc","status":"publish","type":"post","link":"https:\/\/www.hostingtg.com\/blog\/dmarc\/","title":{"rendered":"DMARC: gu\u00eda pr\u00e1ctica para autenticar tu correo y blindar tu dominio"},"content":{"rendered":"\n<h2 class=\"wp-block-heading\">Qu\u00e9 es DMARC y por qu\u00e9 es innegociable<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">DMARC (Domain-based Message Authentication, Reporting &amp; Conformance) es la \u201cregla de la casa\u201d que le dices a Internet para tratar los mensajes que usan tu dominio: si deben aceptarse, ponerse en cuarentena o rechazarse cuando <strong>SPF<\/strong> y\/o <strong>DKIM<\/strong> no se alinean con el dominio visible en el <strong>From<\/strong>. Traducido: evita que cualquiera se haga pasar por tu marca con tu mismo dominio (spoofing) y te da informes para ver <strong>qui\u00e9n est\u00e1 enviando en tu nombre<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00bfPor qu\u00e9 es innegociable? Porque el correo corporativo sigue siendo la v\u00eda preferida para el fraude y el phishing. <strong>Sin una pol\u00edtica DMARC bien cerrada, separar lo leg\u00edtimo de lo malicioso es apostar a ciegas.<\/strong> Adem\u00e1s de proteger la reputaci\u00f3n del dominio (entregabilidad + marca), DMARC te da trazabilidad: ves IPs, fuentes y vol\u00famenes, y puedes actuar.<\/p>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">TIP: Puedes comprobar cualquier registro DMARC utilizando <a href=\"https:\/\/dnschecker.org\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/dnschecker.org\/\" rel=\"noreferrer noopener\">dnschecker<\/a> y seleccionando registros TXT<\/p>\n<\/blockquote>\n\n\n\n<p class=\"wp-block-paragraph\">Puntos clave que justifican implantarlo ya:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Bloquea intentos de suplantaci\u00f3n directa del dominio (el cl\u00e1sico \u201cCEO@tudominio.com\u201d falso).<\/li>\n\n\n\n<li>Alinea seguridad con negocio: menos riesgo, mejor entregabilidad a medio plazo.<\/li>\n\n\n\n<li>Te ofrece <strong>informes agregados (rua)<\/strong> y, si decides activarlos, <strong>forenses (ruf)<\/strong> para saber qu\u00e9 pasa con tu correo en el mundo real.<\/li>\n\n\n\n<li>No requiere cambiar tu plataforma de email: se publica v\u00eda <strong>DNS<\/strong> como un registro TXT.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">Para m\u00ed, DMARC es <strong>m\u00ednimo vital<\/strong>: protege marca y frena fraudes dirigidos a empleados y clientes.<\/p>\n<\/blockquote>\n\n\n\n<figure class=\"wp-block-image size-full\"><a href=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/10\/dmarc-cpanel.webp\"><img fetchpriority=\"high\" decoding=\"async\" width=\"872\" height=\"543\" src=\"https:\/\/www.hostingtg.com\/blog\/wp-content\/uploads\/2025\/10\/dmarc-cpanel.webp\" alt=\"dmarc cpanel\" class=\"wp-image-7131\" title=\"\"><\/a><\/figure>\n\n\n\n<h2 class=\"wp-block-heading\">C\u00f3mo funciona DMARC con SPF y DKIM (y qu\u00e9 significa la alineaci\u00f3n)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">DMARC no funciona solo. Se apoya en:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SPF<\/strong>: autoriza qu\u00e9 servidores pueden enviar correo en nombre de tu dominio. Se valida contra el <strong>Return-Path\/Envelope From<\/strong>.<\/li>\n\n\n\n<li><strong>DKIM<\/strong>: firma criptogr\u00e1fica del mensaje con un dominio (d=) y selector (s=), de modo que el receptor verifica que el contenido no se ha manipulado.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Alineaci\u00f3n<\/strong> (la palabra m\u00e1gica): DMARC exige que el dominio del <strong>From<\/strong> \u201ccoincida\u201d con el dominio de SPF y\/o DKIM:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Alineaci\u00f3n relajada (r)<\/strong>: subdominio cuenta como alineado. <code>ventas.midominio.com<\/code> alinea con <code>midominio.com<\/code>.<\/li>\n\n\n\n<li><strong>Alineaci\u00f3n estricta (s)<\/strong>: debe ser exactamente el mismo dominio.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Par\u00e1metros clave en DMARC:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><code>adkim<\/code> y <code>aspf<\/code>: eligen <strong>s<\/strong> (estricto) o <strong>r<\/strong> (relajado).<\/li>\n\n\n\n<li><code>p<\/code>: pol\u00edtica (none, quarantine, reject).<\/li>\n\n\n\n<li><code>sp<\/code>: pol\u00edtica para subdominios.<\/li>\n\n\n\n<li><code>pct<\/code>: porcentaje de mensajes a los que aplicar la pol\u00edtica (\u00fatil para <strong>despliegue gradual<\/strong>).<\/li>\n\n\n\n<li><code>rua<\/code>\/<code>ruf<\/code>: a d\u00f3nde enviar informes.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Regla de oro: <strong>o SPF alinea, o DKIM alinea<\/strong> (con uno basta) para que el mensaje pase DMARC. Si ninguno alinea, se aplica tu pol\u00edtica.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Pol\u00edticas DMARC: de <code>p=none<\/code> a <code>p=reject<\/code> sin romper la entregabilidad<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Pasar de observaci\u00f3n a bloqueo se hace por etapas:<\/p>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong><code>p=none<\/code> (solo monitorizar)<\/strong><br>Recoges datos (qui\u00e9n env\u00eda, desde d\u00f3nde, qu\u00e9 falla). No tocas la entregabilidad.<br>\u00datil para descubrir remitentes de terceros (CRM, herramientas de marketing, facturaci\u00f3n, ATS, etc.).<\/li>\n\n\n\n<li><strong><code>p=quarantine<\/code> (cuarentena)<\/strong><br>Empiezas a frenar lo que no alinea. Puedes combinarlo con <code>pct=25\/50\/75<\/code> para rodaje.<br>Ideal cuando ya tienes mapeado el 80\u201390% de fuentes leg\u00edtimas.<\/li>\n\n\n\n<li><strong><code>p=reject<\/code> (rechazo total)<\/strong><br>Cierra la puerta. Recomendado cuando todo tu tr\u00e1fico leg\u00edtimo <strong>alinea de forma consistente<\/strong> durante varias semanas.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">\u00c1rbol de decisi\u00f3n (texto):<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00bfTienes inventario de <strong>todas<\/strong> las fuentes que env\u00edan en tu nombre?\n<ul class=\"wp-block-list\">\n<li>No \u2192 <code>p=none<\/code> + informes (<code>rua<\/code>) + inventariado.<\/li>\n\n\n\n<li>S\u00ed \u2192 \u00bfVes fallos puntuales?\n<ul class=\"wp-block-list\">\n<li>S\u00ed \u2192 Corrige alineaci\u00f3n \u2192 sube a <code>quarantine<\/code> con <code>pct<\/code> gradual.<\/li>\n\n\n\n<li>No \u2192 Sube a <code>reject<\/code> y monitoriza.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">\u201cHoy no env\u00edas correos: <strong>construyes confianza<\/strong> mensaje a mensaje\u201d. El salto a <code>reject<\/code> es cuando ya puedes prometer esa confianza a tus destinatarios sin sustos.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Crear tu registro DMARC TXT paso a paso (con ejemplos reales)<\/h2>\n\n\n\n<ol class=\"wp-block-list\">\n<li><strong>Define tu buz\u00f3n de informes<\/strong> (suele ser un alias): <code>dmarc@tudominio.com<\/code>.<\/li>\n\n\n\n<li><strong>Elige la pol\u00edtica inicial<\/strong> (<code>p=none<\/code>).<\/li>\n\n\n\n<li><strong>Activa informes agregados<\/strong> (<code>rua<\/code>) y, si procede, forenses (<code>ruf<\/code>).<\/li>\n\n\n\n<li><strong>Marca alineaci\u00f3n<\/strong> (empieza relajada: <code>adkim=r; aspf=r<\/code>) y endur\u00e9celas despu\u00e9s.<\/li>\n\n\n\n<li><strong>Publica en <a href=\"https:\/\/www.hostingtg.com\/blog\/propagacion-dns\/\" data-type=\"link\" data-id=\"https:\/\/www.hostingtg.com\/blog\/propagacion-dns\/\">DNS<\/a><\/strong> en <code>_dmarc.tudominio.com<\/code> como TXT.<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Ejemplo base (monitorizaci\u00f3n):<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>Host: _dmarc.tudominio.com\nTXT: v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; fo=1; aspf=r; adkim=r; pct=100\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Ejemplo paso intermedio (cuarentena 50% + subdominios):<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>v=DMARC1; p=quarantine; sp=quarantine; pct=50; rua=mailto:dmarc@tudominio.com; fo=1; aspf=s; adkim=s\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Ejemplo final (rechazo total):<\/strong><\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc@tudominio.com; fo=1; aspf=s; adkim=s\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Buenas pr\u00e1cticas r\u00e1pidas<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Empieza con <code>rua<\/code> (agregados). Activa <code>ruf<\/code> solo si sabes gestionarlos (volumen y privacidad).<\/li>\n\n\n\n<li>Usa <code>pct<\/code> para avanzar por tramos y evita \u201capagones\u201d.<\/li>\n\n\n\n<li>Endurece alineaci\u00f3n (<code>s<\/code>) cuando ya controles tus remitentes.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">Informes DMARC (rua\/ruf): leer, interpretar y decidir acciones<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Informes agregados (rua)<\/strong>: llegan como XML comprimidos (diarios o por ventana de tiempo) y resumen qui\u00e9n env\u00eda con tu dominio, desde qu\u00e9 IPs\/ASNs, con qu\u00e9 resultados SPF\/DKIM\/DMARC y vol\u00famenes.<br>\u00bfQu\u00e9 mirar primero?<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Fuentes nuevas<\/strong> con alto volumen y <strong>fail<\/strong> sistem\u00e1tico.<\/li>\n\n\n\n<li><strong>Remitentes leg\u00edtimos<\/strong> que env\u00edan pero no alinean (pistas de mal config).<\/li>\n\n\n\n<li><strong>Tendencia<\/strong> de fails vs passes semana a semana.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Informes forenses (ruf)<\/strong>: copias parciales por evento de fallo. \u00datiles para casos puntuales, pero pueden ser ruidosos. Act\u00edvalos si tienes un proceso claro de an\u00e1lisis.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Decisiones t\u00edpicas:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Autorizar<\/strong> un tercero (configurar su DKIM y\/o SPF con tu dominio).<\/li>\n\n\n\n<li><strong>Endurecer<\/strong> alineaci\u00f3n (<code>adkim\/aspf=s<\/code>) una vez estable.<\/li>\n\n\n\n<li><strong>Ajustar<\/strong> <code>sp<\/code> para subdominios con usos distintos (p. ej., marketing en <code>mail.tu\u2026<\/code>).<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">\u201cSin una pol\u00edtica de DMARC correctamente implementada, resulta casi imposible distinguir un correo leg\u00edtimo de uno malicioso\u201d. Los informes son tu radar para separar trigo de paja.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">Errores comunes y c\u00f3mo solucionarlos (alineaci\u00f3n, subdominios, terceros)<\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Confundir \u201cpasar SPF\/DKIM\u201d con alinear<\/strong>: puede pasar SPF pero <strong>no alinear<\/strong> si el dominio del Return-Path no coincide (seg\u00fan modo r\/s) con el From.<br><strong>Soluci\u00f3n<\/strong>: aseg\u00farate de que el proveedor env\u00eda con Return-Path en tu dominio o firma DKIM con tu dominio (d=).<\/li>\n\n\n\n<li><strong>DKIM firmado por el proveedor<\/strong> (d=proveedor.com) y From en tu dominio \u2192 <strong>no alinea<\/strong>.<br><strong>Soluci\u00f3n<\/strong>: pide <strong>DKIM propio<\/strong> (d=tudominio.com) con selector dedicado.<\/li>\n\n\n\n<li><strong>SPF demasiado largo<\/strong> (m\u00e1s de 10 lookups) \u2192 fallos intermitentes.<br><strong>Soluci\u00f3n<\/strong>: consolida includes, elimina obsoletos, usa subdominios dedicados por proveedor si complica.<\/li>\n\n\n\n<li><strong>Subdominios con usos distintos<\/strong> y una \u00fanica pol\u00edtica en el dominio ra\u00edz.<br><strong>Soluci\u00f3n<\/strong>: usa <code>sp<\/code> para pol\u00edtica global de subdominios o crea registros DMARC espec\u00edficos por subdominio cr\u00edtico.<\/li>\n\n\n\n<li><strong>Terceros no inventariados<\/strong> (p. ej., herramienta de RR. HH. que env\u00eda notificaciones).<br><strong>Soluci\u00f3n<\/strong>: inventariado trimestral; cruza facturaci\u00f3n SaaS + cabeceras de correo.<\/li>\n\n\n\n<li><strong>Confiar en DMARC contra \u201cdisplay name spoofing\u201d<\/strong>: DMARC no valida el nombre visible (\u201cJuan P\u00e9rez \u2013 Banco X\u201d).<br><strong>Soluci\u00f3n<\/strong>: formaci\u00f3n al usuario y filtros adicionales; eval\u00faa <strong>BIMI<\/strong> para identidad visual cuando DMARC est\u00e1 en <code>reject\/quarantine<\/code>.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\">DMARC para dominios que no env\u00edan correo (configuraci\u00f3n recomendada)<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Para dominios \u201cde marca\u201d o parked que <strong>no deber\u00edan enviar emails<\/strong>, lo sensato es <strong>cerrar a cal y canto<\/strong>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SPF<\/strong>: <code>v=spf1 -all<\/code><\/li>\n\n\n\n<li><strong>DMARC<\/strong>: <code>p=reject; sp=reject<\/code><\/li>\n\n\n\n<li><strong>MX<\/strong>: opcionalmente nulo o m\u00ednimo (seg\u00fan tu pol\u00edtica de recepci\u00f3n)<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Ejemplo:<\/p>\n\n\n\n<pre class=\"wp-block-code\"><code>v=DMARC1; p=reject; sp=reject; pct=100; rua=mailto:dmarc@tudominio.com; aspf=s; adkim=s\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\">As\u00ed, cualquier intento de usar ese dominio para enviar ser\u00e1 rechazado en destino. \u00datil para evitar fraudes en dominios similares a la marca y subdominios \u201colvidados\u201d.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Medir el \u00e9xito: KPIs de seguridad y reputaci\u00f3n de dominio<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">La seguridad tambi\u00e9n se gestiona con datos. <a href=\"https:\/\/www.hostingtg.com\/blog\/inteligencia-emocional-marketing\/\" target=\"_blank\" data-type=\"link\" data-id=\"https:\/\/www.hostingtg.com\/blog\/inteligencia-emocional-marketing\/\" rel=\"noreferrer noopener\">KPIs \u00fatiles<\/a>:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Cobertura de autenticaci\u00f3n<\/strong>: % de mensajes leg\u00edtimos que pasan y <strong>alinean<\/strong> (por origen y total).<\/li>\n\n\n\n<li><strong>Reducci\u00f3n de fails DMARC<\/strong> mes a mes (y su <strong>mix por origen<\/strong>).<\/li>\n\n\n\n<li><strong>Porcentaje bajo pol\u00edtica<\/strong> (<code>pct<\/code>) y <strong>tiempo en cada fase<\/strong> (none \u2192 quarantine \u2192 reject).<\/li>\n\n\n\n<li><strong>Fuentes autorizadas mapeadas<\/strong> vs detectadas en informes (gap \u22645% es objetivo realista).<\/li>\n\n\n\n<li><strong>Quejas\/Spam rate<\/strong> y <strong>entregabilidad<\/strong> en principales ISPs, antes\/despu\u00e9s.<\/li>\n\n\n\n<li><strong>Incidentes de spoofing del dominio<\/strong> reportados por usuarios\/CS.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Consejo operativo: mant\u00e9n un <strong>tablero mensual<\/strong> (informe ejecutivo + t\u00e9cnico) con top 10 fuentes por volumen, top 10 por fallos y acciones tomadas.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\">Plantillas de pol\u00edticas DMARC para distintos escenarios<\/h2>\n\n\n\n<h3 class=\"wp-block-heading\">A) Empresa que empieza (monitoriza 30 d\u00edas)<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com; fo=1; aspf=r; adkim=r; pct=100\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cu\u00e1ndo usar<\/strong>: primer mes. <strong>Meta<\/strong>: inventariar 100% de remitentes.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">B) Transici\u00f3n segura (cuarentena gradual)<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>v=DMARC1; p=quarantine; sp=quarantine; rua=mailto:dmarc@tudominio.com; fo=1; aspf=s; adkim=s; pct=50\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Cu\u00e1ndo usar<\/strong>: mes 2\u20133. <strong>Meta<\/strong>: fallos &lt;2% y sin impactos en correo leg\u00edtimo.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">C) Endurecimiento final (rechazo total)<\/h3>\n\n\n\n<pre class=\"wp-block-code\"><code>v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@tudominio.com; fo=1; aspf=s; adkim=s; pct=100\n<\/code><\/pre>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>u\u00e1ndo usar<\/strong>: despu\u00e9s de 2\u20134 semanas con fallos residuales y fuentes controladas.<\/p>\n\n\n\n<h3 class=\"wp-block-heading\">D) Multi-dominio \/ marcas<\/h3>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Dominio ra\u00edz m\u00e1s conservador; subdominios operativos con <code>sp=reject<\/code> y registros propios afinados por cada unidad de negocio.<\/li>\n<\/ul>\n\n\n\n<blockquote class=\"wp-block-quote is-layout-flow wp-block-quote-is-layout-flow\">\n<p class=\"wp-block-paragraph\">\u201cSin una pol\u00edtica DMARC correctamente implementada\u2026 deja la puerta abierta a fraudes como el phishing o la suplantaci\u00f3n.\u201d Aqu\u00ed es donde un <strong>\u00e1rbol de decisi\u00f3n<\/strong> y estas <strong>plantillas<\/strong> te ahorran semanas.<\/p>\n<\/blockquote>\n\n\n\n<h2 class=\"wp-block-heading\">FAQs sobre DMARC<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfQu\u00e9 hace exactamente la pol\u00edtica <code>p<\/code>?<\/strong><br>Define qu\u00e9 hacer con mensajes <strong>que no pasan\/alian<\/strong>: nada (<code>none<\/code>), cuarentena (<code>quarantine<\/code>) o rechazo (<code>reject<\/code>). <code>sp<\/code> replica esto para subdominios.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfQu\u00e9 son <code>adkim<\/code> y <code>aspf<\/code>?<\/strong><br>Controlan la <strong>alineaci\u00f3n<\/strong> de DKIM y SPF: <code>r<\/code> (relajada) o <code>s<\/code> (estricta). Empieza relajado y endurece cuando tengas controladas las fuentes.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfC\u00f3mo paso de <code>p=none<\/code> a <code>p=reject<\/code> sin romper nada?<\/strong><br>Hazlo por fases: usa <code>pct<\/code>, analiza informes, corrige remitentes que no alinean, sube a <code>quarantine<\/code>, valida estabilidad y finalmente <code>reject<\/code>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Mis correos leg\u00edtimos fallan DMARC. \u00bfPor qu\u00e9?<\/strong><br>Suele ser <strong>desalineaci\u00f3n<\/strong>: DKIM firmado por el dominio del proveedor, Return-Path de un tercero o subdominios no cubiertos. Pide <strong>DKIM propio<\/strong> y\/o ajusta SPF y <code>sp<\/code>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>\u00bfDMARC detiene el \u201cdisplay name spoofing\u201d?<\/strong><br>No. Valida dominios, no nombres visibles. Complementa con formaci\u00f3n y pol\u00edticas anti-fraude; considera <strong>BIMI<\/strong> cuando tengas DMARC en cuarentena\/rechazo.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\">Sobre DMARC<\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Si tuviera que condensarlo: <strong>DMARC no es opcional<\/strong>. Es higiene b\u00e1sica de seguridad y reputaci\u00f3n. Empieza midiendo (none), corrige (alineaci\u00f3n), y cierra (reject) cuando controles tus fuentes. Con informes bien le\u00eddos y una transici\u00f3n por etapas, blindas el dominio sin sacrificar negocio. <strong>Para m\u00ed, DMARC es el m\u00ednimo vital para enviar con confianza<\/strong>.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\"><strong>Opini\u00f3n Personal<\/strong><\/p>\n\n\n\n<p class=\"wp-block-paragraph\">La mayor\u00eda de las empresas siguen tratando el correo como un canal \u201cde toda la vida\u201d, cuando en realidad es la autopista favorita del atacante. En mi experiencia, sin una pol\u00edtica DMARC bien cerrada es casi imposible separar lo leg\u00edtimo de lo malicioso: cualquiera puede intentar firmar como tu dominio y, si no pones reglas, el receptor decide por ti. Para m\u00ed, DMARC no es un extra t\u00e9cnico; es higiene b\u00e1sica de marca. Protege tu reputaci\u00f3n, reduce fraudes y, sobre todo, construye confianza mensaje a mensaje.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00bfObjeciones t\u00edpicas? \u201cEs complejo\u201d, \u201cpuede romper entregabilidad\u201d. Se entiende. Por eso existe el despliegue por fases: empieza en <code>p=none<\/code>, inventar\u00eda remitentes, alinea SPF\/DKIM y sube a <code>quarantine<\/code> con <code>pct<\/code> gradual antes de ir a <code>reject<\/code>. Con datos en mano (informes <code>rua\/ruf<\/code>), la conversaci\u00f3n deja de ser opini\u00f3n y pasa a ser gesti\u00f3n.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">Mi postura es clara: posponer DMARC es aceptar riesgos innecesarios. Si env\u00edas con tu dominio, tambi\u00e9n debes responsabilizarte de c\u00f3mo lo usan terceros. Hoy no se trata solo de entregar correos; se trata de demostrar que eres t\u00fa quien los env\u00eda.<\/p>\n\n\n\n<p class=\"wp-block-paragraph\">\u00bfT\u00fa c\u00f3mo lo ves? \u00bfD\u00f3nde est\u00e1s en el camino <code>none \u2192 quarantine \u2192 reject<\/code>? \u00bfQu\u00e9 te frena: falta de inventario, miedo a rebotes, o coordinaci\u00f3n con proveedores? D\u00e9jame tus dudas, aciertos o tropiezos en los comentarios y lo resolvemos juntos.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Qu\u00e9 es DMARC y por qu\u00e9 es innegociable DMARC (Domain-based Message Authentication, Reporting &amp; Conformance) es la \u201cregla de la casa\u201d que le dices a Internet para tratar los mensajes que usan tu dominio: si deben aceptarse, ponerse en cuarentena o rechazarse cuando SPF y\/o DKIM no se alinean con el dominio visible en el [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":7130,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_aifi_custom_prompt":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[952],"tags":[1128,236],"class_list":["post-7129","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-guias","tag-dmarc","tag-seguridad"],"_links":{"self":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7129","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/comments?post=7129"}],"version-history":[{"count":2,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7129\/revisions"}],"predecessor-version":[{"id":7133,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/posts\/7129\/revisions\/7133"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media\/7130"}],"wp:attachment":[{"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/media?parent=7129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/categories?post=7129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.hostingtg.com\/blog\/wp-json\/wp\/v2\/tags?post=7129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}