Más de 10.000 verificaciones DMARC gratuitas al día

Herramienta gratuita

Generador de registros DMARC gratuito

Genera tu registro TXT v=DMARC1 en 60 segundos. Cópialo, pégalo en el DNS, listo.

Standards basis: Consejos basados en RFC 9989 para registros de política DMARC, RFC 9990 para informes agregados y RFC 9991 para informes de fallo. El comportamiento histórico de RFC 7489 se menciona cuando es relevante.

Crea un registro TXT DMARC válido para proteger tu dominio contra la suplantación y mejorar la entregabilidad del correo. Nuestro generador DMARC crea registros DNS válidos con validación en tiempo real.

Sin registro. Validación en tiempo real.

1

Configuración de política

Comienza con "none" para recopilar datos sin arriesgar la entrega de tus correos. Más información

Usa np solo si quieres una política separada para nombres de subdominio que no existen en DNS.

2

Informes (dónde enviar datos)

Recibe resúmenes diarios de quién envía correos en tu nombre. Separa múltiples correos con comas.

Crea una cuenta gratis y te asignamos tu propia dirección de informes. Pégala aquí como valor rua y analizamos los informes diarios por ti.

Usa una dirección de informes de DMARCTrust gratis
3

Alineación avanzada (Opcional)

Registro generado

_dmarc TXT
Registro TXT: _dmarc.[dominio]
v=DMARC1; p=none;

Cómo publicar

  1. 1 Inicia sesión en tu proveedor DNS (GoDaddy, Cloudflare, Namecheap, etc.).
  2. 2 Crea un registro TXT.
  3. 3 Nombre/host: _dmarc
  4. 4 Valor: Pega el registro anterior.

¿Aún sin rua? Consigue una dirección de informes gratis y evita la configuración

Los informes DMARC llegan en XML sin procesar, un archivo por receptor, cada día. Los recibimos en tu dirección de informes, los analizamos y te mostramos quién envía en nombre de tu dominio y qué supera o no la autenticación. Gratis para un dominio.

How DMARC lives in your DNS

An 8-minute walkthrough of the DNS record you just generated.

Ejemplos de registros DMARC para copiar y pegar

Así es como se ve un registro DMARC que funciona. Cada ejemplo es un registro completo y válido según el RFC 9989, el estándar DMARC actual. Cambia example.com por tu dominio y la dirección mailto: por una que controles, y luego pégalo como registro TXT en _dmarc.tudominio.com. Para qué hace cada etiqueta, consulta la referencia de abajo.

Inicio en supervisión (el primer registro que debes publicar)

Empieza aquí. p=none no toma ninguna acción sobre tu correo, así que nada se rompe mientras recopilas informes e identificas a cada remitente legítimo.

v=DMARC1; p=none; rua=mailto:[email protected]

Aplicación completa

Publica esto cuando tus informes muestren que cada remitente real supera la autenticación. Se pide a los receptores que rechacen el correo que no la supera. ¿Quieres coincidencias de dominio exactas en lugar de la alineación relajada por defecto? Agrega adkim=s; aspf=s, pero solo después de confirmar que tus subdominios y proveedores siguen alineados.

v=DMARC1; p=reject; rua=mailto:[email protected]

Dominio aparcado o sin correo

Para un dominio que nunca envía correo. Rechaza el correo en el dominio (p), en los subdominios existentes (sp) y en los nombres que no existen (np), para que nadie pueda enviar en tu nombre.

v=DMARC1; p=reject; sp=reject; np=reject; rua=mailto:[email protected]

Política distinta para los subdominios

Sigue ajustando el dominio principal en p=none mientras pides a los receptores que rechacen el correo de cualquier subdominio. Útil cuando tus subdominios nunca deben enviar pero el dominio principal aún necesita trabajo.

v=DMARC1; p=none; sp=reject; rua=mailto:[email protected]

Remitente de Gmail o Microsoft 365

El mismo registro funciona tanto si envías por Google Workspace como por Microsoft 365. DMARC vive en tu DNS, no en el proveedor. Configura primero SPF y DKIM para el proveedor y luego empieza en p=none.

v=DMARC1; p=none; rua=mailto:[email protected]

Cada registro ocupa una línea. Publícalo en el host _dmarc, de modo que el nombre completo sea _dmarc.tudominio.com, de tipo TXT. Mantén un solo registro DMARC por dominio.

Ajustes de DMARC explicados: cada etiqueta de tu registro

Un registro DMARC es una lista de etiquetas separadas por punto y coma. Esta tabla cubre cada etiqueta que el generador de arriba puede producir, con el conjunto completo de valores que admite cada una según el RFC 9989, el estándar DMARC actual. Las etiquetas que dejas en su valor por defecto se omiten del registro para mantenerlo corto.

Etiqueta Qué hace Valores permitidos Por defecto
v Versión. Va primero y siempre es DMARC1. DMARC1 Obligatorio
p Política del dominio. Indica a los receptores cómo tratar el correo que no supera DMARC. none, quarantine, reject none
sp Política para los subdominios existentes. Si la omites, los subdominios siguen la política p. none, quarantine, reject sigue p
np Política para los subdominios inexistentes, es decir, nombres que no resuelven en el DNS. El RFC 9989 añadió esta etiqueta. none, quarantine, reject sigue sp y luego p
t Modo de prueba. t=y pide a los receptores que apliquen la política inmediatamente inferior mientras pruebas, de modo que reject actúa como quarantine y quarantine como none. y, n n
adkim Alineación DKIM. Relajada deja que un subdominio se alinee con el dominio principal; estricta exige una coincidencia exacta. r, s r
aspf Alineación SPF. Relajada deja que un subdominio se alinee con el dominio principal; estricta exige una coincidencia exacta. r, s r
rua Adónde enviar los informes agregados, los resúmenes diarios de quién envía en nombre de tu dominio. Una o más direcciones mailto:. URIs mailto: no se envían
ruf Adónde enviar los informes de fallos, antes llamados informes forenses, con el detalle por mensaje del correo que no superó la autenticación. Muchos receptores ya no los envían por privacidad. URIs mailto: no se envían
fo Opciones de informe de fallos. 0 informa solo cuando fallan todas las verificaciones, 1 cuando falla cualquiera, d pide un informe ante cualquier fallo de firma DKIM, s ante cualquier fallo SPF (d y s siguen los RFC 6651/6652). Se ignora sin ruf. 0, 1, d, s 0

Eliminadas por el RFC 9989: las etiquetas pct, rf y ri ya no forman parte del estándar. Este generador no las produce. Para un despliegue gradual, usa t=y en lugar de la antigua etiqueta pct.

Lee la referencia completa de etiquetas DMARC, incluida la etiqueta psd →

¿Qué es DMARC?

DMARC (Domain-based Message Autenticación, Informes, and Conformance) es un protocolo de seguridad del correo que protege tu dominio frente al phishing y la suplantación de identidad.

Se basa en dos mecanismos existentes, SPF (Sender Política Framework) y DKIM (DomainKeys Identified Mail). DMARC te permite especificar cómo los receptores deben gestionar los correos que no superan la autenticación y proporciona funciones de informes para supervisar quién envía correos en tu nombre.

Read our complete DMARC introduction →

Por qué un generador DMARC es solo el paso cero →

Generar el registro es solo un paso. Nuestra lista de configuración DMARC te guía por todo el despliegue, de p=none a p=reject sin bloquear tus correos legítimos.

Cómo funciona DMARC

DMARC funciona conectando dos mecanismos de autenticación (SPF y DKIM) con una capa de políticas y un sistema de informes. Así es el proceso:

1

Se envía el correo

Cuando alguien envía un correo electrónico afirmando ser de tu dominio, el servidor receptor consulta tu registro DMARC.

2

Verificación de autenticación

El receptor verifica si el correo pasa SPF (la IP del remitente está autorizada) y/o DKIM (la firma criptográfica es válida).

3

Verificación de alineación

DMARC verifica si los dominios autenticados coinciden con el dominio de la dirección 'De' que ve el destinatario.

4

Aplicación de la política

Según tu política DMARC (none, quarantine o reject), el receptor gestiona los correos que no superan la autenticación.

5

Generación de informes

Los receptores envían informes agregados con los resultados de autenticación, así como informes de fallos (anteriormente informes forenses) con detalles sobre mensajes individuales que no superaron las verificaciones DMARC.

Cómo configurar DMARC: de este registro a la aplicación segura

Configurar DMARC no es un solo interruptor. Publicas un registro de supervisión, observas los informes, corriges los remitentes que fallan y luego endureces la política por pasos. Este es el camino seguro del registro de arriba hasta la aplicación completa.

1

Copia el registro

Empieza con un registro p=none del generador de arriba y agrega tu dirección de informes rua=. p=none no cambia nada en la entrega de tu correo.

2

Publícalo como registro TXT en _dmarc

En tu proveedor de DNS, crea un registro TXT con el host _dmarc y el valor generado. El nombre completo queda como _dmarc.tudominio.com. Mantén un solo registro DMARC.

3

Espera la propagación

Los cambios de DNS suelen surtir efecto en 5 a 30 minutos. Después, tu registro está activo y los receptores pueden leer tu política.

4

Recopila y revisa tus informes

Los informes agregados (rua) empiezan a llegar en 24 a 48 horas. Muestran cada origen que envía en nombre de tu dominio y si SPF y DKIM superan la autenticación. Autentica a cualquier remitente legítimo que esté fallando.

5

Endurece la política por pasos

Cuando tus remitentes reales superen la autenticación, pasa de p=none a p=quarantine y luego a p=reject. Para ensayar una política más estricta antes de aplicarla, agrega t=y para que los receptores apliquen la política inmediatamente inferior mientras confirmas que nada se rompe.

¿Quieres la lista completa de despliegue, con tiempos y las trampas que pillan a todos? Sigue nuestra lista de configuración DMARC.

Por qué un registro generado es solo el paso cero

Generar el registro es la parte fácil. El trabajo empieza después de publicarlo, porque el valor de DMARC está en los informes, y esos informes no llegan en un formato que una persona pueda leer. Los informes agregados llegan en XML sin procesar, un archivo por receptor, cada día. Un puñado de remitentes se convierte en decenas de archivos por semana, que se acumulan en la bandeja que pusiste en tu etiqueta rua=.

Lo sabemos porque DMARCTrust recibe y analiza exactamente esos archivos. Nuestro servidor de correo acepta los informes que envían los grandes receptores, y luego un analizador en flujo convierte cada archivo XML en una vista clara de quién envía en nombre de tu dominio y qué supera o no la autenticación. Apunta tu rua= a una dirección de informes gratuita de DMARCTrust y obtienes esa vista en lugar de una bandeja llena de XML. Gratis para un dominio, sin tarjeta.

Cómo cambió el estándar DMARC con los RFC 9989, 9990 y 9991 →

Por qué tu dominio necesita DMARC

La autenticación de correo electrónico ya no es opcional. Estas son las razones por las que implementar DMARC es crítico para tu organización:

Detén la suplantación de correo

Evita que los atacantes envíen correos de phishing que parecen venir de tu dominio. Sin DMARC, cualquiera puede falsificar tu dirección de correo.

Protege la reputación de tu marca

Cuando los delincuentes suplantan tu dominio, los destinatarios asocian el fraude con tu marca. DMARC detiene este daño antes de que comience.

Mejora la entregabilidad del correo

Los principales proveedores de correo como Gmail y Microsoft priorizan los correos autenticados. DMARC ayuda a asegurar que tus correos legítimos lleguen a la bandeja de entrada.

Cumple con los requisitos normativos

Muchas industrias y regulaciones gubernamentales ahora exigen DMARC. Google y Yahoo lo requieren para remitentes masivos desde febrero de 2024.

Obtén visibilidad de tu correo

Los informes DMARC revelan quién está enviando correo en tu nombre y te ayudan a identificar tanto servicios legítimos olvidados como remitentes no autorizados.

Habilita BIMI para logotipos de marca

Para mostrar tu logo junto a los correos en clientes compatibles como Gmail, necesitas aplicar DMARC. BIMI requiere p=quarantine o p=reject.

Errores comunes de DMARC que debes evitar

Al implementar DMARC, evita estos errores comunes que pueden afectar la entregabilidad de tu correo o dejarte sin protección:

Empezar con p=reject

Pasar directamente a una política de rechazo puede bloquear correo legítimo de servicios que olvidaste autenticar. Empieza siempre con p=none para supervisar primero.

Olvidar remitentes de terceros

Las plataformas de marketing, CRMs y servicios de correo transaccional envían en tu nombre. Asegúrate de que cada uno esté correctamente configurado para SPF y DKIM antes de aplicar DMARC.

No revisar los informes DMARC

Sin revisar los informes, no sabrás si el correo legítimo no supera la autenticación. Usa un servicio de monitoreo DMARC para analizar los informes automáticamente.

Usar una dirección de correo no válida para los informes

La dirección de correo rua debe ser válida y accesible. Si no puedes recibir informes, estarás a ciegas.

Ignorar los subdominios

Por defecto, los subdominios heredan tu política DMARC. Si tienes servicios en subdominios, considera usar la etiqueta sp= para establecer una política específica.

Seguir usando la etiqueta pct

El RFC 9989 eliminó la etiqueta pct del estándar DMARC. Los registros nuevos no deben incluirla. Para un despliegue gradual, usa t=y para que los receptores apliquen la política inmediatamente inferior mientras pruebas, en lugar del antiguo enfoque por porcentaje.

Preguntas frecuentes

¿DMARC afectará a la entrega de mis correos?

No, siempre que comiences de forma segura. Recomendamos empezar con la política p=none. Este "modo de supervisión" asegura que ningún correo legítimo sea bloqueado mientras recopilas datos. Una vez que tengas la certeza de que todos tus remitentes legítimos, como Mailchimp, Salesforce o Google Workspace, se autentican correctamente, puedes pasar a p=quarantine o p=reject.

¿Cuál es la diferencia entre las políticas?

Ninguna (p=none): Supervisa el tráfico. No se toman medidas contra los correos que no superan la autenticación. Empieza aquí.

Cuarentena (p=quarantine): Los correos que no superan las verificaciones se envían al spam del destinatario.

Rechazo (p=reject): Pide a los receptores que rechacen los mensajes que no superan la autenticación, aunque ellos toman la decisión final de tratamiento.

¿Necesito DMARC para Gmail o Outlook?

Sí. Aunque Google y Microsoft protegen su infraestructura, no pueden evitar que alguien suplante tu dominio personalizado a menos que publiques un registro DMARC. De hecho, desde febrero de 2024, Google y Yahoo requieren DMARC para remitentes masivos.

¿Cuánto tiempo tarda DMARC en empezar a funcionar?

Una vez que agregues tu registro TXT DMARC a tu DNS, normalmente se propaga en 5-30 minutos. Tu dominio empezará a recibir informes agregados en 24-48 horas. Sin embargo, alcanzar la aplicación completa (p=reject) debería ser un proceso gradual durante semanas o meses mientras verificas todos los remitentes legítimos.

¿Cuál es la diferencia entre SPF, DKIM y DMARC?

SPF verifica que los correos provienen de direcciones IP autorizadas. DKIM agrega una firma criptográfica para demostrar que el correo no ha sido alterado. DMARC los une verificando que los dominios autenticados coincidan con la dirección 'De' visible y define qué hacer con los fallos de autenticación.

¿Puedo tener múltiples registros DMARC?

No. Solo debes tener un registro TXT DMARC en _dmarc.tudominio.com. Tener varios registros causará un comportamiento impredecible, ya que los receptores pueden elegir cualquiera de ellos. Si necesitas enviar informes a varias direcciones, sepáralas con comas en una sola etiqueta rua=.

¿Debo seguir usando la etiqueta pct=?

No, no en registros nuevos. El estándar DMARC se revisó en mayo de 2026 con el RFC 9989 (protocolo), el RFC 9990 (informes agregados) y el RFC 9991 (informes de fallos), y el RFC 9989 eliminó la etiqueta pct. Para endurecer la política de forma gradual, usa primero p=none, luego p=quarantine, y añade t=y cuando quieras que los receptores apliquen la política inmediatamente inferior mientras pruebas. Los registros siguen empezando por v=DMARC1, así que el cambio es retrocompatible.

¿Debo usar alineación relajada o estricta?

La alineación relajada (por defecto) permite que los subdominios pasen. Por ejemplo, mail.ejemplo.com se alinea con ejemplo.com. La alineación estricta requiere coincidencias exactas de dominio. La mayoría de las organizaciones deberían empezar con alineación relajada a menos que tengan requisitos de seguridad específicos que exijan coincidencia estricta.

Is a DMARC generator, DMARC builder, DMARC creator, or DMARC record maker the same thing?

Yes. DMARC generator, DMARC record generator, DMARC builder, DMARC creator, DMARC maker, DMARC wizard, and DMARC policy generator all describe the same type of tool: a form-based way to produce a valid v=DMARC1 TXT record without writing the syntax by hand. The free tool above supports every variant and validates the output in real time.

How do I generate a free DMARC record step-by-step?

To generate a DMARC record with the tool above:

  1. Enter your domain in the field at the top.
  2. Choose the policy, starting with p=none to monitor safely before enforcing.
  3. Add a reporting address in the rua field. Use our free monitoring address to avoid an overflowing inbox.
  4. Optionally set adkim/aspf alignment and a subdomain policy with sp=.
  5. Copy the generated record and paste it as a TXT record at _dmarc.yourdomain.com in your DNS provider.
What's the difference between a DMARC generator, a DMARC policy generator, and a DMARC TXT record generator?

They are the same tool. A DMARC record is always published as a DNS TXT record, so DMARC TXT record generator is the literal technical name. DMARC policy generator emphasizes that the generated record declares a policy (p=none, quarantine, or reject). DMARC generator is the short name most people use. All three produce the same v=DMARC1 string.

Completa la autenticación de tu correo

DMARC funciona con SPF y DKIM. Crea tu registro SPF a continuación, o muestra el logo de tu marca con BIMI (requiere aplicación de DMARC).

Base normativa: Consejos basados en RFC 9989 para registros de política DMARC, RFC 9990 para informes agregados y RFC 9991 para informes de fallo. El comportamiento histórico de RFC 7489 se menciona cuando es relevante.