v=DMARC1Versión
Indica que es un registro DMARC versión 1.
Domain-based Message Authentication, Reporting & Conformance
Domain-based Message Authentication, Reporting & Conformance toma SPF y DKIM y los junta con una política: qué hacer cuando alguien envía con tu dominio sin autorización. Es lo que cierra el círculo de la autenticación.
DMARC (RFC 7489) no autentica por sí mismo. Lo que hace es decirle al receptor "cuando un mail no pasa ni SPF ni DKIM alineados con mi dominio, hacé X". Ese X es la política.
Las tres políticas posibles: p=none (no hagas nada, solo reportame), p=quarantine (mandalo a spam) y p=reject (rechazá directamente).
Además de la política, DMARC habilita reportes: el receptor te manda XMLs con todos los intentos de envío usando tu dominio. Eso te muestra spoofing real, includes que te falta agregar y subdominios que no controlás.
Ejemplo real
_dmarc.tudominio.com TXT "v=DMARC1; p=quarantine; rua=mailto:reports@tudominio.com; pct=100; sp=quarantine; adkim=s; aspf=s"
v=DMARC1Versión
Indica que es un registro DMARC versión 1.
p=quarantinePolítica principal
p=none (monitoreo), p=quarantine (a spam) o p=reject (rechazo). Empezás siempre en none.
rua=mailto:reports@tudominio.comAggregate reports
Email donde recibir los reportes agregados diarios de los receptores (XMLs).
pct=100Porcentaje
Qué porcentaje de mails aplican la política. Empezás en pct=10 si querés ir gradual.
sp=quarantinePolítica subdominios
Política para subdominios. Si no se especifica, heredan la principal.
adkim=s · aspf=sAlineación estricta
s = strict (exact match). r = relaxed (relaxed match, default). Empezá en relaxed.
Pasos en orden. Saltar uno suele derivar en problemas que tardan días en diagnosticar.
DMARC requiere al menos uno de los dos alineado con tu dominio. Si SPF está roto y DKIM también, DMARC fallará en todo.
Empezá con monitoreo puro: v=DMARC1; p=none; rua=mailto:reports@tudominio.com. No bloqueás nada, solo recibís reportes.
Tip: Esto es crucial. Saltar este paso e ir directo a quarantine es la causa #1 de mails legítimos perdidos.
Los reportes XML que llegan a rua= muestran qué servidores envían en tu nombre, cuáles pasan SPF/DKIM y cuáles no. Detectás includes que te faltan y posibles spoofers.
Tip: Hay herramientas que parsean los XML automáticamente (Postmark DMARC, Dmarcian, Valimail).
Si ves servidores legítimos que no pasan, sumalos al SPF y configurales DKIM. Si ves spoofers, ya tenés data para escalar luego.
Cuando los reportes muestren que 95%+ de tus mails están autenticados, subí a p=quarantine pct=10. Después pct=25, 50, 100. Recién cuando todo esté limpio, p=reject.
Pasar directo a reject sin monitorear es garantía de perder mails legítimos.
Cómo arreglarlo: Respetá el camino: none → quarantine pct gradual → reject. Mínimo 1 mes en cada etapa.
Los reportes son XMLs que llegan a tu mail. Sin parsearlos, no aprendés nada y DMARC no agrega valor más allá del bloqueo.
Cómo arreglarlo: Usá Dmarcian, Postmark DMARC, Valimail o un parser propio. Los reportes son oro.
Si no especificás sp=, los subdominios heredan p=. Pero si tenés subdominios que no usás, conviene poner sp=reject explícito.
Cómo arreglarlo: Definí sp= explícito según uso real. Subdominios sin uso van directo a sp=reject.
Si configurás adkim=s o aspf=s pero tu plataforma usa subdominios para tracking, la alineación falla y DMARC bloquea.
Cómo arreglarlo: Arrancá con adkim=r y aspf=r (relaxed). Subí a strict solo si confirmás que no rompe nada.
Tres maneras de verificar — desde tu terminal o desde herramientas online. Si todas devuelven OK, ya está.
Linux/Mac terminal
dig TXT _dmarc.tudominio.com +short
Devuelve el registro DMARC publicado.
Mail de prueba a Gmail
Headers > Show original > DMARC
Aparece "dmarc=pass action=none header.from=tudominio.com".
Online
mxtoolbox.com/dmarc.aspx
Validación del registro + diagnóstico de SPF/DKIM relacionados.
Cómo lo hace arrobaMail
En arrobaMail te asistimos con el armado del registro DMARC, la interpretación de los primeros reportes y la migración escalonada de p=none a p=reject sin romper tus envíos legítimos.
Sí, son cosas distintas. SPF y DKIM autentican. DMARC aplica política sobre lo que pasa cuando fallan. Sin DMARC, cada receptor decide por su cuenta qué hacer con un mail que no pasa autenticación.
Cuando los reportes muestran que 99%+ de tus mails legítimos están autenticando OK y monitoreaste sin sorpresas durante varias semanas. No hay apuro: p=quarantine ya protege contra phishing.
Que el dominio del Header-From visible (lo que ve el usuario) coincida con el dominio autenticado por SPF/DKIM. Sin alineación, DMARC falla aunque SPF y DKIM individualmente pasen.
No. Los reportes agregados son estadísticas: cuántos mails, de qué IPs, con qué resultados. No incluyen contenido. Los reportes forenses (RUF) sí, pero casi nadie los envía por privacidad.
Gmail, Yahoo y Microsoft están endureciendo los requisitos para senders bulk (más de 5.000 mails/día). Sin DMARC, te enviarán cada vez más a spam o directamente bloquearán. Lo que era opcional hoy es virtualmente obligatorio.
Sender Policy Framework
Lista blanca de servidores autorizados a enviar mail con tu dominio.
Leer guíaDomainKeys Identified Mail
Firma criptográfica que prueba autenticidad e integridad del mensaje.
Leer guíaCalentamiento de dominio e IP
Aumento gradual del volumen para construir reputación buena.
Leer guíaPlan Gratuito, generaciones de IA incluidas, sin tarjeta de crédito y soporte real en español.