Ir al contenido principal
Seguridad web en la UE: 10 pasos para una mejor calificación · Parte 2

DMARC: de "none" a "reject" — en tres pasos

El 46,8% de los sitios web de la UE tiene DMARC, pero el 63% configura la política en "none". Por qué eso no protege a nadie, y cómo hacerlo bien.

· SiteGuardian

Parte 2 de la serie "Seguridad web en la UE: 10 pasos para una mejor calificación"

El problema

Alguien envía un correo electrónico desde ceo@tu-dominio.com a tu cliente. El correo contiene una solicitud de pago. No fue enviado por ti.

Sin DMARC: El servidor de correo del destinatario no tiene forma de verificar si el dominio del remitente es legítimo. El correo llega a la bandeja de entrada.

Con DMARC configurado en reject: El servidor de correo comprueba SPF y DKIM, determina que el correo no está autorizado, y lo rechaza. Nunca se entrega.

El 46,8% de los sitios web europeos tiene un registro DMARC. Pero el 63% de ellos configura la política en none — es decir, sin aplicación. El dominio sigue siendo suplantable, como si DMARC no estuviera configurado en absoluto.

Qué vemos en el benchmark

De más de 700.000 sitios web europeos:

  • SPF: 75,7% — la mayoría tiene la base en su lugar
  • DKIM: 31,1% — menos de uno de cada tres firma sus correos electrónicos
  • DMARC: 46,8% — pero de esos:
  • policy=none: 63% (solo monitorización, no bloquea nada)
  • policy=quarantine: 17% (envía al spam)
  • policy=reject: 20% (rechaza directamente — la única protección efectiva)

Y luego las configuraciones erróneas: quarantaine, rejet, keiner, brak, beleidsnaam — erratas que hacen que el registro sea ignorado por completo. El estándar DMARC es estricto: una sola errata en el campo de política y toda la configuración se descarta.

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting & Conformance) se construye sobre SPF y DKIM:

  1. SPF comprueba: ¿Está este servidor de correo autorizado para enviar en nombre de mi dominio?
  2. DKIM comprueba: ¿Se alteró el mensaje en tránsito?
  3. DMARC dice: ¿Qué debería ocurrir cuando tanto SPF como DKIM fallan?

Sin DMARC, cada servidor de correo receptor decide por su cuenta. Con DMARC, decides.

Los tres pasos

Paso 1: Configurar DMARC en none (Día 1)

Crea un registro TXT para _dmarc.tu-dominio.com:

v=DMARC1; p=none; rua=mailto:dmarc-reports@tu-dominio.com
  • p=none — sin aplicación, solo monitorización
  • rua=mailto:... — los servidores receptores envían informes agregados aquí

Los informes te muestran quién está enviando correos en tu nombre. A menudo descubrirás herramientas de newsletter, sistemas CRM o servicios de terceros que habías olvidado.

Espera 2-4 semanas. Analiza los informes. Asegúrate de que todos los remitentes legítimos estén alineados con SPF o DKIM.

Paso 2: Escalar a quarantine (Semana 3-4)

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc-reports@tu-dominio.com
  • p=quarantine — los correos no autenticados van a la carpeta de spam
  • pct=10 — solo el 10% de los correos se tratan así (despliegue gradual)

Supervisa los informes. ¿Sin quejas? Aumenta pct a 50, luego a 100.

Paso 3: Escalar a reject (Semana 5-6)

v=DMARC1; p=reject; rua=mailto:dmarc-reports@tu-dominio.com

Ahora los correos falsificados se rechazan directamente. Tu dominio está protegido.

SPF y DKIM deben estar correctos

DMARC solo funciona si al menos SPF o DKIM está correctamente configurado:

SPF: Un registro TXT para tu-dominio.com que lista todos los servidores de correo autorizados:

v=spf1 include:_spf.google.com include:spf.brevo.com -all

El -all al final es crítico — dice "rechazar todos los demás". ~all (tilde) es un softfail y a menudo se ignora.

DKIM: Tu proveedor de correo genera un par de claves. La clave pública se publica como registro TXT bajo selector._domainkey.tu-dominio.com. Consulta con tu proveedor — la mayoría tiene una guía de configuración.

Errores comunes

1. Olvidar los remitentes de terceros. Plataformas de newsletter (Mailchimp, Brevo), sistemas de tickets (Zendesk, Freshdesk), CRMs (HubSpot) — todos envían correos en tu nombre. Todos deben estar incluidos en tu registro SPF o firmar con DKIM.

2. Ignorar los subdominios. DMARC se aplica a los subdominios por defecto. Si marketing.tu-dominio.com envía correos, también debe estar cubierto. Usa sp=reject para una política de subdominios separada.

3. No leer los informes. Los informes agregados de DMARC en XML no son legibles para humanos. Usa un analizador de informes gratuito (dmarcian, Postmark DMARC Tool) para entender lo que está ocurriendo.

Contexto regulatorio

  • NIS2 Art. 21(2)(j) exige medidas para la "seguridad de la cadena de suministro" — esto incluye asegurar la comunicación por correo electrónico con socios y proveedores.
  • RGPD Art. 32 exige "medidas técnicas apropiadas" — la suplantación de correo electrónico facilita el phishing, que lleva a brechas de datos.
  • DORA Art. 7 exige al sector financiero identificar y clasificar todos los riesgos TIC — los ataques basados en correo electrónico están entre los más comunes.

Comprueba tu dominio

SiteGuardian comprueba SPF, DKIM, DMARC, STARTTLS y MTA-STS en un solo análisis — y te muestra no solo si los registros existen, sino si realmente funcionan:

https://siteguardian.io/scan

La próxima semana en la Parte 3: Content Security Policy — la defensa más efectiva contra XSS, ausente en el 89% de los sitios web de la UE.

Este artículo forma parte de la serie "Seguridad web en la UE: 10 pasos para una mejor calificación". Datos del SiteGuardian EU Web Security Benchmark con más de 700.000 sitios web europeos.

¿Cómo se compara tu sitio web?

SiteGuardian analiza tu dominio en seis dimensiones de seguridad — gratis, al instante y sin registro.

Analiza tu sitio web

Seguridad web en la UE: 10 pasos para una mejor calificación

Este artículo forma parte de una serie semanal sobre buenas prácticas de seguridad web en la UE.

SiteGuardian

2026-04-20

RSS