Llegar a p=reject sin romper tus emails
Por Thomas · CISO virtual · 2026-06-16
La mayoría de los dominios publican un registro DMARC, lo dejan en p=none, y no vuelven a tocarlo jamás. Pero vigilar eternamente no protege a nadie: el correo suplantado sigue llegando a la bandeja de entrada, ya que p=none les dice a los destinatarios que no hagan nada en caso de fallo. El verdadero objetivo es p=reject, donde el correo falsificado en tu nombre se rechaza de entrada. Llegar hasta ahí sin bloquear tu propio correo legítimo no es una cuestión de valentía — es una cuestión de método. Esta guía desarrolla ese método, paso a paso.
Si DMARC es nuevo para ti, empieza por qué es DMARC; si la relación SPF/DKIM/alineación es confusa, lee primero cómo funcionan los tres juntos. Todo lo que sigue da por supuestas estas bases.
Por qué los dominios se atascan en p=none
La razón es el miedo, y es racional. Las organizaciones emiten desde muchos más sitios de los que creen — la plataforma de marketing, el CRM, la facturación, el soporte, la herramienta de RR. HH., y esa aplicación que un equipo instaló hace dos años sin avisar al departamento de sistemas. Endurece la política antes de que cada una esté autenticada y alineada, y te arriesgas a enviar tus propias facturas y restablecimientos de contraseña a correo no deseado. Así que el registro se queda en p=none indefinidamente, en vigilancia, mientras los suplantadores operan libremente. La salida consiste en reemplazar el miedo por datos — exactamente lo que aportan los informes.
Etapa 1: publicar p=none y recoger los informes
Empieza en modo observación. Publica un registro DMARC en p=none con una dirección rua= para que los destinatarios te envíen sus informes agregados diarios. Nada cambia en tu flujo de correo; solo empiezas a ver quién envía en tu nombre. Deja que los informes se acumulen unas semanas para captar tanto a los emisores mensuales (facturación, extractos) como a los diarios. Aprender a leer estos informes se rentabiliza de inmediato — ver leer los informes agregados DMARC.
Etapa 2: inventariar cada fuente legítima
Los informes agregados revelan cada IP que emite por tu dominio. Tu trabajo es transformar esa lista de direcciones en una lista de servicios: «esta IP de alto volumen que pasa DKIM es nuestra plataforma de correo; la que falla las dos es el CRM; esta otra es una herramienta de encuestas que el marketing había olvidado.» Este inventario es todo el meollo — imposible aplicar una política con serenidad sin saber, con certeza, quién envía legítimamente por ti. Espera sorpresas; siempre hay algunas fuentes de las que nadie se acordaba.
Etapa 3: alinear cada fuente legítima
Para cada remitente legítimo, asegúrate de que pase SPF o DKIM y se alinee con el dominio de tu From:. En la práctica, esto significa generalmente poner en marcha una firma DKIM con un dominio de tu marca (d=tu-dominio.es) en cada plataforma, ya que los remitentes de terceros rara vez alinean SPF. Recorre la lista hasta que cada fuente real muestre un paso alineado en los informes. Es lo esencial del esfuerzo, y donde se va la mayor parte del tiempo de calendario.
Etapa 4: pasar a quarantine
Cuando los informes muestran todas tus fuentes legítimas alineadas, sube la política a p=quarantine. El correo no autenticado se va ahora a correo no deseado en lugar de a la bandeja de entrada — una defensa real, pero reversible si algo se te ha escapado. Históricamente, se escalonaba con la etiqueta pct (pct=25, luego 50, luego 100) para aplicar la política a una fracción creciente del correo en fallo. DMARCbis (2026) retira pct en favor de un modo de prueba binario (la etiqueta t=y) y de una subida apoyada en la observación de los informes en lugar de en un porcentaje. En la práctica hoy: si tu herramienta y tus destinatarios aún honran pct, puedes usarlo durante el tiempo de la transición; si no, avanza por etapas cortas — unos días en quarantine vigilando los informes — antes de pasar a reject.
Etapa 5: pasar a reject
Cuando quarantine funciona limpiamente — las únicas fuentes en fallo restantes son desconocidas, es decir, suplantadores — sube la política a p=reject. El correo falsificado en tu nombre se rechaza ahora a la entrada. Ajusta tu política de subdominio (sp) en consecuencia, para que los atacantes no se pasen simplemente a un subdominio. Has alcanzado la aplicación.
DMARCbis: lo que cambia para tu subida de política
Publicado en mayo de 2026 (RFC 9989/9990/9991), DMARCbis moderniza el estándar sin dejar obsoleto este recorrido — la secuencia none → quarantine → reject sigue siendo exactamente la correcta. Dos novedades merecen tu atención durante la subida:
- La etiqueta
np. Fija la política de los subdominios inexistentes — un objetivo de suplantación clásico, porque un atacante puede forjarfactura.tu-dominio.esaunque ese subdominio no exista. Es una victoria rápida y sin riesgo: ponnp=rejectpronto, en cuanto tu raíz esté sana, ya que ningún correo legítimo sale de subdominios que no existen. pct→ty el DNS Tree Walk.pctdesaparece (cf. etapa 4) y la determinación del dominio organizativo ya no depende de la Public Suffix List sino de una serie de consultas DNS (ocho máximo). Nada que rehacer en tu progresión: tu registro sigue siendo válido, es solo la ocasión de retirar unpctque ha quedado inútil.
¿Cuánto tiempo lleva?
Para un dominio pequeño con una o dos fuentes, unos días. Para una gran organización con decenas de plataformas repartidas entre negocios y regiones, unos meses es lo normal — sobre todo pasados en la etapa 3, la alineación de las fuentes, no en el cambio de política. El ritmo lo fija la velocidad a la que configuras cada plataforma, no DMARC en sí. Para referencias más finas según el tamaño de la organización y la etapa en la que te encuentras, ver cuánto tiempo lleva el paso a p=reject.
Cómo saber que estás listo para endurecer
No tienes que adivinar el momento adecuado; los informes te lo dicen. Tres señales concretas antes de subir un peldaño:
- Tus fuentes legítimas conocidas muestran todas un paso alineado a lo largo de varios días de informes — no una vez por casualidad, sino de forma estable.
- Las únicas líneas en fallo restantes son IP que no reconoces, con poco volumen o en picos aislados: el perfil de un suplantador o de un reenvío, no de un servicio de negocio.
- Ninguna fuente mensual falta a la cita. Facturación, extractos, campañas trimestrales: espera a haber visto pasar al menos un ciclo completo antes de concluir que tu inventario es exhaustivo.
Si estas tres casillas están marcadas, la etapa siguiente es segura. Si no, quédate donde estás y corrige primero la fuente que falta — endurecer sobre un inventario incompleto es exactamente lo que rompe el correo legítimo.
Trampas frecuentes por el camino
- Endurecer demasiado pronto. El medio más común de romper el propio correo. Deja que los informes prueben que una fuente está alineada antes de aplicarla.
- Olvidar la distinción sobre / cabecera. Una fuente puede pasar SPF en bruto y fallar DMARC por falta de alineación. Lee siempre la alineación, no solo pasa/falla.
- Dejar los subdominios abiertos. Aplicas la raíz pero olvidas
sp, y los suplantadores se pasan amail.tu-dominio.es. - Pararse en
quarantine. Es un avance, pero el correo suplantado sigue alcanzando la carpeta de correo no deseado, donde algunos usuarios lo rescatan.rejectes el objetivo. Los dos niveles no equivalen — la comparativa detallada muestra lo que cada uno bloquea realmente.
Anclar el proceso en la organización
Una última palanca no depende del DNS sino de la gobernanza. Avisa a los equipos emisores — marketing, RR. HH., comercial, producto — antes de cada cambio de nivel: son ellos quienes notarán primero que una campaña se va a correo no deseado, y un aviso rápido vale más que un descubrimiento tardío. Sobre todo, instaura una regla simple para lo que venga: ninguna nueva herramienta de envío pasa a producción sin firma DKIM alineada con tu dominio. Sin ese reflejo, la primera plataforma contratada tras tu paso a reject verá sus mensajes desaparecer silenciosamente, y revivirás la crisis que la subida metódica te había ahorrado. La aplicación no es un estado que se alcanza, es un estado que se mantiene — y el mantenimiento cuesta mucho menos integrado en el proceso de compra que improvisado a posteriori.
Por qué p=reject vale la pena
Alcanzar la aplicación es un verdadero proyecto; es legítimo, por tanto, preguntarse qué reporta más allá de marcar una casilla de conformidad. Mucho, en realidad:
- La suplantación se detiene de verdad. Es lo esencial. En
p=reject, un email falsificado que usa tu dominio exacto en elFrom:es rechazado por los destinatarios antes incluso de alcanzar a un cliente. El phishing que te suplanta sencillamente deja de ser entregable — ni filtrado, ni señalado, sino rechazado de entrada. - Una mejor entregabilidad para tu correo real. Los proveedores confían más en los dominios que aplican una política. Un dominio en
p=rejectcon una alineación limpia es una fuerte señal de reputación positiva, de la que se benefician cada día tus campañas legítimas y tus mensajes transaccionales. - La conformidad, resuelta. El DMARC aplicado satisface de sobra los requisitos para remitentes de Gmail y Yahoo, y constituye un control claro y auditable que presentar para marcos como NIS2 y DORA.
- La oportunidad del logo. Solo los dominios que aplican una política pueden publicar BIMI y mostrar un logo verificado en la bandeja de entrada — una marca de confianza visible y un activo de marca que no se desbloquea de ninguna otra forma.
- Una tranquilidad duradera. Una vez en
rejectcon la vigilancia mantenida, toda nueva fuente no autorizada aparece en tus informes en lugar de en las bandejas de tus clientes. Lo difícil es la subida; permanecer ahí se reduce sobre todo a verificar que los informes sigan limpios.
Comparadas con el coste de una sola suplantación exitosa — pérdidas por fraude, sobrecarga del soporte, daño duradero a la marca — las pocas semanas de alineación se rentabilizan rápido. El verdadero error nunca fue el esfuerzo de la subida; es pararse en p=none y confundir vigilancia con protección.
Deja que Thomas haga el grueso del trabajo
Esta secuencia es exactamente lo que automatiza Thomas, tu RSSI virtual. Ingiere tus informes, nombra cada fuente de envío, genera el DNS exacto que hay que pegar (etiquetas DMARCbis incluidas), evalúa tu preparación sobre datos deslizantes, y te dice el momento preciso en que cada etapa es segura — desde p=none hasta p=reject, sin bloquear un solo email legítimo.
Analiza tu dominio gratis → o crea una cuenta para empezar. ¿Con curiosidad por ver en qué punto están sectores enteros? Recorre el Observatorio DMARC — muestra negro sobre blanco cuántos dominios se quedan bloqueados a medio camino, en p=none.
¿Listo para aplicar DMARC?
Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.
Alcanzar p=reject — gratisGuías relacionadas
- SPF, DKIM y DMARC: cómo funcionan los tres juntos
SPF, DKIM y DMARC no son competidores: son tres capas que se apilan. Aquí tienes el papel de cada una, por qué importa la alineación y cómo detienen la suplantación de identidad.
- Cómo leer un informe DMARC RUA (y qué te dice)
Un informe DMARC RUA es un fichero XML comprimido. Esta guía desmenuza la estructura, explica cada etiqueta útil y muestra cómo transformar ese XML en un plan de acción.
- Macros SPF y el mecanismo exists: ir más allá del límite de 10 búsquedas
Las macros SPF con el mecanismo exists autorizan un número ilimitado de IP en una sola resolución DNS: la única técnica que realmente sortea el límite de 10. Cómo funciona y sus contrapartidas reales.
Sobre el autor
Thomas — Thomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.
