BG Beter Geregeld ICT
Security zonder IT-afdeling · 4 min leestijd · 22 mayo 2026

DMARC en p=reject: el último paso que la mayoría de las pymes omiten

SPF y DKIM están bien configurados, DMARC está en p=none, y ahí se queda todo. Cómo avanzar de forma segura hacia quarantine y reject, sin que tus facturas acaben en spam.

Muchas pymes han dado los primeros pasos en seguridad del correo correctamente: SPF está configurado, DKIM firma el correo saliente y DMARC está activado. Pero casi siempre en p=none. Eso significa: se monitoriza, pero no se actúa. Alguien puede seguir enviando correos en tu nombre y estos llegan sin problema.

El último paso —pasar DMARC a p=quarantine y finalmente a p=reject— se pospone a menudo por miedo a que el correo "legítimo" deje de llegar. Es comprensible, pero innecesario. En este artículo te explicamos cómo dar ese paso de forma segura.

Un repaso rápido: ¿qué hace DMARC exactamente?

DMARC indica a los servidores de correo receptores qué deben hacer con los mensajes que afirman provenir de tu dominio pero no están cubiertos por SPF o DKIM. Hay tres opciones:

  • p=none: no hacer nada, solo informar. Está bien para empezar, pero no para quedarse ahí.
  • p=quarantine: el correo sospechoso va a la carpeta de spam.
  • p=reject: el correo sospechoso se rechaza y no llega a ningún lado.

Mientras estés en none, los estafadores pueden seguir usando tu dominio para enviar phishing a tus clientes. Y esos clientes verán tu nombre en el remitente.

¿Por qué todo el mundo se queda atascado en p=none?

Tres razones que vemos en la práctica:

  1. Remitentes desconocidos. Tu herramienta de marketing, tu software de contabilidad, tu sistema de RRHH y tu CRM envían correos en nombre de tu dominio. Algunos no están incluidos en SPF o no firman con DKIM.
  2. No entender los informes DMARC. Los informes XML que llegan a tu dirección rua no son precisamente fáciles de leer.
  3. Miedo a la interrupción del servicio. Nadie quiere ser el primero en explicar por qué no llegó el presupuesto.

Paso 1: deja correr p=none un tiempo y analiza los informes

Antes de cambiar nada, necesitas saber qué sistemas envían correo en nombre de tu dominio. Configura un registro DMARC con p=none y una dirección rua donde lleguen los informes. Déjalo funcionar al menos entre 2 y 4 semanas.

Los informes llegan en formato XML, uno por proveedor de correo receptor por día. Leerlos manualmente es inviable. Existen dashboards DMARC gratuitos y de pago que visualizan el XML de forma comprensible. Lo importante: busca los remitentes que son legítimos pero cuyo SPF/DKIM aún no está correctamente configurado. Esos son los que debes corregir primero.

Paso 2: corrige los remitentes legítimos que fallan

Los casos más habituales:

  • Mailchimp, Brevo, ActiveCampaign y otras herramientas de marketing: suelen requerir sus propios registros DKIM.
  • Software de contabilidad que envía facturas desde tu nombre de dominio.
  • Microsoft 365 Direct Send desde impresoras, escáneres y aplicaciones de línea de negocio.
  • Terceros externos (agencias de PR, recruiters) que envían correos "en tu nombre" — algo que, dicho sea de paso, conviene reconsiderar siempre.

Para cada remitente legítimo: añádelo a tu registro SPF o configura DKIM. Después vuelve a revisar los informes. Si están limpios —solo quedan remitentes desconocidos claramente maliciosos— puedes continuar.

Paso 3: avanza hacia reject de forma gradual

No pases de golpe de none a reject. Hazlo en fases:

  1. p=quarantine con pct=25: el 25 % del correo sospechoso va a spam. Monitoriza durante una semana.
  2. p=quarantine con pct=100: todo el correo sospechoso va a spam. Monitoriza durante dos semanas.
  3. p=reject con pct=100: el objetivo final.

En cada paso, revisa los informes y mantén el contacto con tu organización. ¿Hay quejas de que no llega algún correo? Normalmente se debe a un remitente olvidado que puedes corregir a tiempo.

No olvides tus subdominios

Un error frecuente: tuempresa.es está en p=reject, pero mail.tuempresa.es o newsletter.tuempresa.es no tienen su propio registro. Con la etiqueta sp= puedes controlar la política para subdominios. Por defecto heredan la política del dominio principal, pero conviene ser explícito al respecto.

¿Tienes dominios que nunca envían correo —por ejemplo, un nombre de dominio antiguo que conservas? Ponlos directamente en p=reject con un SPF vacío (v=spf1 -all). Esos son los que se explotan con mayor frecuencia.

Qué ganas con esto

Con DMARC en reject:

  • Nadie puede enviar phishing usando exactamente tu nombre de dominio.
  • Mejora la entregabilidad de tu correo legítimo (Gmail y Yahoo exigen DMARC desde 2024 para remitentes en masa).
  • Cumples un requisito que aparece cada vez más en contratos con proveedores y en el contexto de NIS2.

Lo que no evita: dominios similares (tuempreza.es con una errata). Para eso se necesitan otras medidas. Pero cerrar bien el dominio exacto es una solución 80/20 muy razonable.

Empieza ahora

¿Quieres saber cómo está configurado tu dominio y cuáles son los pasos adecuados para ti? Realizamos una revisión completa de SPF, DKIM y DMARC y te acompañamos en la transición gradual hacia p=reject sin que tus facturas se pierdan por el camino.

Onderwerpen

#phishing #Mail Beveiliging #Dmarc #Spf #Dkim

Volledige gids: Security voor MKB zonder IT-afdeling: wat doe je dit kwartaal?

Dit artikel is onderdeel van onze uitgebreide Security zonder IT-afdeling-gids. Lees de pillar voor het complete plaatje.

Lees de pillar →

Verwant leesmateriaal

Security zonder IT-afdeling

Monitorización de disponibilidad para pymes: no te enteres por tus clientes

Tu web está caída y te enteras por un cliente. Hay una forma mejor. Así configuras la monitorización de disponibilidad en tu pyme sin departamento de IT, sin acabar ahogado en falsas alarmas.

6 min
← Alle artikelen in "Security zonder IT-afdeling"