Ir al contenido principal
CaptainDNS
NUEVO·Monitorización de seguridad y entregabilidad del correo. Recibe una alerta en cuanto un cambio de puntuación o de registro DNS pone en riesgo tu dominio.Más información

DMARC Generator

Crea un registro DMARC y detén el spoofing de email en 30 segundos

¿Quieres detener la suplantación de identidad email en tu dominio? Crea un registro DMARC en 30 segundos. Configura política, alineación, informes - copia el registro y publica. Sin sintaxis que memorizar.

1Su dominio

El registro se publicará en _dmarc.sudominio. Comprobamos si ya existe uno.

¿Este dominio envía correos?
2¿A dónde quiere llegar?

Elija su objetivo. La herramienta le indicará por dónde empezar para alcanzarlo sin romper sus correos.

Sin informes, DMARC está ciego: no puede saber si puede endurecer la política. Es el combustible de la transición.

3Opciones avanzadasOpcional
Subdominios, alineación, informes forenses, modo de prueba

Sin sp, los subdominios heredan la política principal. Fuerce sp=reject en los subdominios que no envían.

np (DMARCbis) protege los subdominios que no existen. np=reject es una victoria rápida contra la suplantación sin riesgo: ningún mensaje legítimo sale jamás de un subdominio inexistente.

Modo de prueba (t)

Monitorización DMARC automática

Recibe automáticamente informes DMARC y supervisa la conformidad de autenticación de correo de tus dominios en tiempo real.

Configurar monitorización DMARC

Política configurable

Elige none (observar), quarantine (spam) o reject (bloquear). Define una política diferente para subdominios si es necesario.

Alineación SPF y DKIM

Configura alineación relaxed o strict para SPF y DKIM. La alineación estricta refuerza la protección una vez estabilizados tus flujos.

Informes agregados RUA

Recibe informes diarios sobre fuentes de envío, tasas de éxito y fallos. Esencial para mapear tus flujos antes de endurecer la política.

Informes forenses RUF

Obtén detalles de cada fallo individual. Útil para diagnosticar problemas específicos (pocos proveedores los envían).

Despliegue progresivo

Avanza por fases DMARCbis: none para observar, quarantine en modo prueba (t=y), quarantine aplicado (t=n), luego reject. Limita los falsos positivos.

¿Por qué generar un registro DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) es el protocolo que completa SPF y DKIM para proteger tu dominio contra la suplantación de identidad (spoofing) y el phishing. Sin una política DMARC, cualquiera puede enviar correos haciéndose pasar por tu dominio.

Tres razones para tener DMARC:

  • Protección de marca → Evita que los estafadores usen tu dominio para phishing (verifica con el Phishing URL Checker)
  • Visibilidad completa → Recibe informes sobre quién envía emails desde tu dominio
  • Mejor entregabilidad → Los proveedores (Gmail, Microsoft) favorecen dominios con DMARC

Cómo usar el generador en 3 pasos

Paso 1: Ingresa tu dominio

Introduce tu dominio organizacional exactamente como aparece en tus direcciones de correo (ejemplo: captaindns.com). La herramienta genera automáticamente el nombre DNS completo: _dmarc.captaindns.com.

Paso 2: Configura las opciones

Política principal (p): ¿Qué hacer con los emails que fallan?

  • none: Observar sin bloquear (recomendado al inicio)
  • quarantine: Enviar a spam
  • reject: Bloquear completamente

Alineación (adkim, aspf): ¿Cómo verificar la correspondencia de dominios?

  • relaxed (r): Se aceptan subdominios (recomendado)
  • strict (s): Se requiere coincidencia exacta

Informes (rua, ruf): ¿Dónde recibir estadísticas?

  • Agrega mailto:dmarc@tudominio.com para informes agregados

Paso 3: Copia y publica

El generador produce el registro DNS completo. Cópialo en tu interfaz de gestión DNS:

  • Nombre: _dmarc.tudominio.com
  • Tipo: TXT
  • Valor: El registro generado

El enfoque recomendado es "observar antes de bloquear": empieza en modo observación para mapear tus flujos y luego endurece la política sin riesgo de bloquear correo legítimo. La herramienta detecta si ya existe un registro DMARC en tu dominio y te indica si hay que añadirlo, reemplazarlo o si ya es correcto (add, replace o no_change).

¿Qué es exactamente DMARC?

DMARC es una política DNS que indica a los servidores de correo:

  1. Qué verificar: ¿SPF o DKIM pasan Y están alineados con el dominio visible?
  2. Qué hacer si falla: Observar (none), spam (quarantine), o bloquear (reject)
  3. Dónde reportar: Direcciones de email para recibir estadísticas

Ejemplo de registro DMARC:

_dmarc.captaindns.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r"

Decodificado:

  • v=DMARC1: Versión del protocolo (obligatorio)
  • p=quarantine: Política = enviar a spam
  • rua=mailto:...: Dirección para informes agregados
  • adkim=r: Alineación DKIM relajada
  • aspf=r: Alineación SPF relajada

Todas las etiquetas DMARC explicadas

Etiquetas obligatorias

EtiquetaValoresDescripción
vDMARC1Versión del protocolo. Siempre DMARC1.
pnone / quarantine / rejectPolítica para el dominio principal.

Etiquetas opcionales comunes

EtiquetaValoresDescripción
spnone / quarantine / rejectPolítica para subdominios existentes. Hereda de p si está ausente.
npnone / quarantine / rejectPolítica para subdominios inexistentes (DMARCbis). Sin valor por defecto, hay que definirla explícitamente.
ruamailto:direcciónDirecciones para informes agregados (diarios).
rufmailto:direcciónDirecciones para informes forenses (por fallo).
adkimr (relaxed) / s (strict)Modo de alineación DKIM. Por defecto r.
aspfr (relaxed) / s (strict)Modo de alineación SPF. Por defecto r.

Etiquetas avanzadas

EtiquetaValoresDescripción
fo0 / 1 / d / sOpciones de generación de informes forenses. Por defecto 0.
ty / nModo prueba DMARCbis. t=y indica a los destinatarios que no apliquen la política durante la observación. Por defecto n.

Etiquetas obsoletas/depreciadas por DMARCbis

Estas etiquetas quedan retiradas por DMARCbis y no deben configurarse en un registro nuevo:

EtiquetaEstadoReemplazo
pctDepreciadaUsa la transición por fases (none, quarantine con t=y, quarantine, reject).
riDepreciadaIntervalo de informes fijado a 24h, sin ajuste posible.
rfDepreciadaFormato de informe forense, sin uso práctico hoy.

Casos de uso prácticos

Caso 1: Dominio nuevo sin historial

Objetivo: Proteger un dominio que comienza a enviar emails.

Configuración recomendada:

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Pasos siguientes:

  1. Monitorea informes durante 2-4 semanas
  2. Identifica todas las fuentes legítimas
  3. Pasa a p=quarantine; t=y (prueba, no aplicado), luego retira t=y cuando los informes estén limpios
  4. Termina con p=reject

Caso 2: Dominio con múltiples servicios (CRM, newsletter, transaccional)

Objetivo: Proteger sin romper flujos existentes.

Configuración inicial:

v=DMARC1; p=none; sp=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r

Diagnóstico vía informes RUA:

  • Lista todas las IPs/dominios que envían
  • Verifica que cada fuente tenga SPF y DKIM configurados
  • Identifica fuentes no autorizadas (spoofing potencial)

Despliegue progresivo:

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com

Cuando los informes ya no muestren fallos legítimos, retira t=y para aplicar la cuarentena y luego pasa a p=reject.

Caso 3: Dominio que no envía emails

Objetivo: Prevenir cualquier uso fraudulento de un dominio "aparcado".

Configuración estricta directa:

v=DMARC1; p=reject; sp=reject; np=reject; adkim=s; aspf=s

No se necesita fase de observación si el dominio nunca debe enviar emails legítimos. np=reject también bloquea cualquier subdominio inexistente.

Errores frecuentes a evitar

ErrorProblemaSolución
Dos registros DMARCConflicto, política ignoradaSolo un registro por dominio
Olvidar mailto:Informes no enviadosrua=mailto:dirección@dominio.com
Saltar directamente a rejectBloqueo de emails legítimosComenzar con p=none, luego quarantine
Ignorar informesSin visibilidad de problemasAnalizar RUA semanalmente
Alineación estricta muy prontoFallos si subdominios o servicios tercerosMantener r (relaxed) hasta inventario completo

Mejores prácticas de despliegue

Fase 1: Observación (2-4 semanas)

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Recolecta informes
  • Identifica todas las fuentes legítimas
  • Corrige SPF/DKIM de fuentes no alineadas

Fase 2: Cuarentena en modo prueba

v=DMARC1; p=quarantine; t=y; rua=mailto:dmarc@captaindns.com
  • t=y pide a los destinatarios que no apliquen la política, pero que sigan enviando informes
  • Verifica en los informes RUA que ninguna fuente legítima siga fallando
  • Cuando los informes estén limpios, retira t=y para aplicar realmente la cuarentena

Fase 3: Rechazo

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r
  • Protección máxima
  • Opcionalmente pasa a alineación estricta (adkim=s; aspf=s)

FAQ - Preguntas frecuentes

P: ¿Qué es un registro DMARC?

R: DMARC (Domain-based Message Authentication, Reporting and Conformance) es un registro DNS TXT que indica a los servidores de correo cómo manejar emails que fallan las verificaciones SPF y DKIM. Protege tu dominio contra el spoofing y el phishing.

P: ¿Qué política DMARC debo usar para empezar?

R: Siempre comienza con p=none. Esta política no afecta la entrega pero te envía informes. Analiza estos informes durante 2-4 semanas para identificar todos los flujos legítimos antes de pasar a quarantine y luego reject.

P: ¿Cuál es la diferencia entre RUA y RUF?

R:

  • RUA (Reporting URI for Aggregate): Informes agregados diarios con estadísticas globales
  • RUF (Reporting URI for Forensic): Informes detallados por fallo individual

RUA es esencial y soportado por todos. RUF es opcional y raramente soportado por proveedores.

P: ¿Cómo funciona la alineación DMARC?

R: La alineación verifica que el dominio visible (From:) coincida con el dominio autenticado por SPF o DKIM:

  • Relaxed (r): mail.ejemplo.com se alinea con ejemplo.com
  • Strict (s): Se requiere coincidencia exacta

P: ¿Puedo tener múltiples registros DMARC?

R: No. Solo se permite un registro DMARC por dominio. Múltiples registros causan errores. Edita el existente en lugar de agregar uno nuevo.

P: ¿Cuánto tiempo hasta que DMARC esté activo?

R: El registro está activo una vez que el DNS se propaga (minutos a 48h). Los primeros informes RUA llegan dentro de 24-48h después de enviar emails desde tu dominio.

P: ¿Cómo recibo informes para un dominio externo?

R: Si tu dirección RUA está en otro dominio, ese dominio debe autorizarte con:

tudominio._report._dmarc.dominio-reporte.com TXT "v=DMARC1"

Prepárate para DMARCbis

DMARCbis es el próximo Proposed Standard IETF que reemplaza al RFC 7489. Introduce nuevos tags (np, t, psd), elimina los tags obsoletos (pct, rf, ri) y reemplaza la Public Suffix List por un algoritmo tree walk DNS. Verifica la compatibilidad de tu dominio con el DMARCbis Checker o genera un registro conforme con la herramienta de migración DMARCbis.

Herramientas complementarias

HerramientaPropósito
DMARC Record CheckVerifica tu registro DMARC existente
DMARC ValidatorValidar la sintaxis de un registro DMARC antes de publicarlo
Analizador de informes DMARCAnaliza los informes DMARC agregados recibidos por email
Monitoring DMARCMonitoreo DMARC automatizado y continuo para tus dominios
DMARCbis CheckerVerifica la compatibilidad de tu dominio con DMARCbis
Migración DMARCbisGenera un registro DMARC conforme a DMARCbis
SPF GeneratorCrea un registro SPF válido
DKIM GeneratorCrea tus claves DKIM (RSA/Ed25519)
DKIM Record CheckVerifica tu firma DKIM
Mail TesterPrueba la entregabilidad de tus correos
Phishing URL CheckerVerifica si una URL se usa en campañas de phishing

Recursos útiles