Dominios

Cómo añadir un registro DMARC en cPanel paso a paso

Un registro DMARC (Domain-based Message Authentication, Reporting & Conformance) es un registro DNS de tipo TXT que define cómo deben tratar los servidores de correo receptores los mensajes que pretenden venir de tu dominio pero no superan la autenticación SPF o DKIM. Es la tercera capa de la triada de autenticación de correo (junto con SPF y DKIM) y protege tu dominio frente al spoofing — la suplantación de tu identidad en correos fraudulentos.

Este registro se configura directamente en el editor de zonas DNS de cPanel. Esta guía explica el proceso completo y todos los valores disponibles.

ℹ️ Antes de añadir DMARC, asegúrate de tener configurados SPF y DKIM en la zona DNS de tu dominio. DMARC valida los correos usando estos dos protocolos, por lo que si no están configurados correctamente, activar DMARC con la política reject puede provocar que correos legítimos sean rechazados. Consulta la guía ver SPF y DKIM para verificar que están activos.

Cómo configurar el registro DMARC en cPanel

Paso 1 — Acceder a cPanel

Accede a tu cuenta cPanel.

Pantalla de acceso a cPanel de Nicalia con los campos de usuario y contraseña

Paso 2 — Ir al Editor de zonas DNS

Accede a la herramienta «Editor de Zonas» en la sección Dominios. Si no lo encuentras, usa el buscador de cPanel y escribe “Zone Editor”. Consulta la guía del editor de zona DNS para más detalles.

Paso 3 — Seleccionar el dominio

Se mostrará la lista de dominios de tu cuenta. Haz clic en «Administrar» o «Manage» junto al dominio al que quieres añadir el registro DMARC.

Paso 4 — Añadir un nuevo registro

Haz clic en el botón «+ Añadir Registro».

Botón Añadir Registro en el Zone Editor de cPanel para crear un nuevo registro DNS de tipo TXT para DMARC

Paso 5 — Completar los campos del registro

En la fila de nuevo registro, completa los campos:

ℹ️ Si introduces directamente _dmarc en el campo Nombre y pulsas la tecla Tab, el campo se completará automáticamente con el formato correcto: _dmarc.tudominio.com.

Campo Ajuste del registro DMARC
Name _dmarc
TTL 14400
Type TXT
Datos TXT El valor depende de la política que quieras aplicar. Consulta la tabla de políticas en la sección siguiente.

None (monitorización):
v=DMARC1; p=none; sp=none; rf=afrf; pct=100; ri=86400

Quarantine (cuarentena):
v=DMARC1; p=quarantine; sp=none; rf=afrf; pct=100; ri=86400

Reject (rechazo):
v=DMARC1; p=reject; sp=none; rf=afrf; pct=100; ri=86400

Para recibir también informes de fallos por email, añade la etiqueta ruf:
v=DMARC1; p=reject; sp=none; ruf=mailto:usuario@tudominio.com; rf=afrf; pct=100; ri=86400

Paso 6 — Guardar el registro

Haz clic en «Añadir registro» para guardar. El registro DMARC aparecerá en el listado del editor de zona DNS del dominio.

Políticas DMARC — Etiqueta «p»

La etiqueta p (política) define cómo deben tratar los servidores receptores los correos que fallan la autenticación DMARC. Hay tres valores posibles:

  • p=none (Ninguno — modo monitorización): el dominio está en modo de prueba. Se generan informes sobre los correos que fallan la autenticación, pero no se toma ninguna acción sobre ellos. Los correos se entregan con normalidad. Es el punto de partida recomendado antes de activar políticas más restrictivas — te permite identificar fuentes legítimas de correo antes de bloquearlas accidentalmente.
  • p=quarantine (Cuarentena): se pide a los receptores que pongan en cuarentena los correos que no superan la autenticación. Generalmente el mensaje se mueve a la carpeta de spam del destinatario en lugar de ser rechazado.
  • p=reject (Rechazo): se pide a los receptores que rechacen completamente los correos que fallan la autenticación, sin entregarlos al destinatario. Es la política más estricta y la que proporciona mayor protección frente al spoofing, pero también la que puede causar más falsos positivos si SPF y DKIM no están correctamente configurados.

ℹ️ Progresión recomendada: empieza siempre con p=none para monitorizar durante unas semanas. Revisa los informes, identifica todos los sistemas que envían correo en nombre de tu dominio, y solo entonces escala a p=quarantine y finalmente a p=reject.

Informes DMARC — Etiquetas «rua» y «ruf»

DMARC permite recibir informes automáticos sobre el estado de autenticación del correo de tu dominio:

  • Etiqueta rua (informes agregados): envía informes diarios en formato XML con estadísticas agregadas sobre todos los correos enviados con tu dominio. Útil para monitorizar el estado general.
  • Etiqueta ruf (informes de fallos): envía notificaciones individuales por cada correo que falle la autenticación DMARC. Útil para depurar problemas concretos.

Ejemplo básico con informes agregados:

v=DMARC1; p=reject; rua=mailto:reports@tudominio.com

El destino de los informes debe ser una dirección de correo que puedas consultar regularmente. Si no quieres gestionar los informes manualmente, existen servicios especializados en análisis de informes DMARC como dmarcian o Postmark.

Errores frecuentes al configurar DMARC

Activar p=reject sin tener SPF y DKIM correctamente configurados

Es el error más grave. Si activas la política reject antes de haber verificado que todos tus sistemas de envío (servidor de correo, plataformas de email marketing, servicios externos) están incluidos en los registros SPF y DKIM correctamente, los correos legítimos que envíes pueden ser rechazados. Empieza siempre con p=none y revisa los informes antes de escalar.

El registro DMARC no se detecta por herramientas externas

Los cambios DNS pueden tardar hasta 48 horas en propagarse. Espera al menos 1 hora tras guardar el registro y verifica con una herramienta como MXToolbox DMARC lookup introduciendo tu dominio. Si no aparece, verifica en el Zone Editor de cPanel que el registro está guardado correctamente con el nombre _dmarc.tudominio.com.

El nombre del registro es incorrecto

El campo Name debe ser exactamente _dmarc (con guion bajo al principio). cPanel lo completará automáticamente como _dmarc.tudominio.com. al pulsar Tab. Si introduces el nombre completo manualmente, asegúrate de incluir el punto final.

Los informes DMARC no llegan al correo configurado en rua

No todos los servidores de correo envían informes DMARC. Además, si el dominio del correo de destino en rua es diferente al dominio del registro DMARC, el servidor destino puede requerir un registro de autorización adicional. Si usas una dirección externa (por ejemplo un servicio de análisis DMARC), este problema no ocurre. Si usas una dirección de tu propio dominio en Nicalia, los informes deberían llegar sin problema adicional.

Preguntas frecuentes sobre DMARC

¿Qué es DMARC y para qué sirve?

DMARC es un protocolo de autenticación de correo electrónico que define cómo deben actuar los servidores receptores cuando reciben un correo que dice venir de tu dominio pero no supera las validaciones SPF o DKIM. Protege tu dominio frente al spoofing (suplantación de identidad en correos) y el phishing, y proporciona informes sobre el estado de autenticación del correo enviado con tu dominio.

¿Es obligatorio tener DMARC para enviar correo?

Técnicamente no, pero desde febrero de 2024 Google y Yahoo exigen que los dominios que envían grandes volúmenes de correo tengan al menos p=none configurado. Además, sin DMARC, cualquiera puede enviar correos suplantando tu dominio sin ningún mecanismo que lo detenga o que te notifique.

¿Qué política DMARC debo usar?

Empieza con p=none para monitorizar sin bloquear. Revisa los informes durante 2-4 semanas para identificar todos los sistemas que envían correo con tu dominio. Cuando estés seguro de que todos los remitentes legítimos están en SPF y DKIM, escala a p=quarantine y finalmente a p=reject.

¿DMARC funciona sin SPF o DKIM?

No de forma efectiva. DMARC necesita al menos uno de los dos (SPF o DKIM) para funcionar correctamente. Si ninguno de los dos está configurado o si los correos fallan ambas validaciones, DMARC no puede hacer nada útil. Verifica que tienes SPF y DKIM activos desde ver SPF y DKIM antes de configurar DMARC.

¿Cómo verificar que el registro DMARC está correctamente configurado?

Usa herramientas online como MXToolbox DMARC lookup o dmarcian DMARC Inspector. Introduce tu dominio y verás si el registro existe, su contenido y si tiene algún error de sintaxis.