El correo electrónico tiene una falla de diseño más vieja que la mayoría de los negocios: cualquiera puede poner cualquier dirección en la línea "De". El protocolo que mueve el correo por internet no verifica el remitente por defecto — igual que un sobre de papel no verifica el remitente escrito en él.

DMARC (Domain-based Message Authentication, Reporting and Conformance) es la política publicada que cierra esa brecha para su dominio. Es un pequeño registro de texto en el DNS público de su dominio que le dice a todos los servidores de correo del mundo qué hacer con los mensajes que dicen venir de su dominio pero fallan la autenticación.

Los tres niveles de política

  • p=none — "solo monitorear." El correo falsificado se entrega igual; usted solo recibe reportes. Aquí están la mayoría de los dominios de pequeñas empresas, y no bloquea nada.
  • p=quarantine — "enviar fallas a spam." Mejor, pero el correo falsificado aún llega a la carpeta de spam, donde algunas personas lo leen de todos modos.
  • p=reject — "rechazar fallas de plano." Los servidores receptores reciben la instrucción de rechazar el correo que falle la autenticación de su dominio exacto. Esto es cumplimiento — el nivel que realmente detiene la suplantación del dominio exacto.

Qué hace DMARC — y honestamente, qué no hace

En cumplimiento, DMARC impide que los atacantes envíen correo como su dominio exacto (suempresa.com). No detiene dominios parecidos (suempr3sa.com), y no detiene correo enviado desde un buzón comprometido. Esos son riesgos separados con controles separados. Quien le diga que DMARC detiene "todo el phishing" está exagerando.

Por qué importa más desde 2024–2025

En febrero de 2024, Google y Yahoo comenzaron a exigir autenticación de correo (SPF, DKIM y DMARC) a quienes envían en volumen a sus usuarios — y Microsoft aplica ya los mismos requisitos (Outlook, 2025). En general, los grandes proveedores filtran o rechazan el correo sin autenticar mucho más agresivamente que antes — lo que significa que una autenticación débil ahora también afecta la capacidad de su propio correo legítimo de llegar a sus clientes, no solo su exposición al fraude.

Cómo saber dónde está su dominio

Su política DMARC es pública — cualquiera puede consultarla, incluidos los atacantes. Nuestro escaneo gratis la lee (junto con SPF, DKIM, MX, MTA-STS, TLS-RPT y BIMI) y le da un puntaje de 0 a 100 con hallazgos en lenguaje claro en unos 10 segundos.