Cómo añadir un registro DMARC en Cloudflare (paso a paso)

Añadir un registro DMARC en Cloudflare es una de las medidas más efectivas para proteger tu dominio frente a la suplantación de correo y el phishing. Si tu DNS está gestionado en Cloudflare, esta guía te lleva por todo el proceso en menos de 10 minutos.

Requisitos previos

Antes de empezar, asegúrate de tener:

• Una cuenta de Cloudflare con tu dominio añadido
• Acceso a la gestión DNS de tu dominio en Cloudflare
• Un registro SPF configurado (recomendado: comprueba el tuyo aquí)
• DKIM configurado con tu proveedor de correo (recomendado: verifica aquí)

Si todavía no tienes SPF configurado, usa nuestro generador de SPF para crear uno antes de continuar.

Paso 1: Navegar a los ajustes DNS en Cloudflare

1. Inicia sesión en el panel de Cloudflare
2. Selecciona el dominio que quieres proteger
3. Haz clic en DNS en la barra lateral izquierda y luego en Records
4. Verás la lista de registros DNS existentes

Paso 2: Añadir un registro TXT para DMARC

Haz clic en el botón Add record y rellena los siguientes campos:

Campo	Valor
Type	TXT
Name	_dmarc
Content	v=DMARC1; p=none; rua=mailto:dmarc-reports@tudominio.com; pct=100
TTL	Auto
Proxy status	DNS only (nube gris)

Esto es lo que significa cada parte del registro DMARC:

v=DMARC1          → Versión de DMARC (siempre DMARC1)
p=none             → Política: solo monitorización (sin acción sobre fallos)
rua=mailto:...     → Dirección donde enviar los informes agregados
pct=100            → Aplicar al 100% de los correos

Elegir tu política

• p=none — Empieza aquí. Monitoriza el correo sin afectar a la entrega. Te permite recopilar datos primero.
• p=quarantine — Envía los correos que fallan a spam. Úsala después de revisar los informes.
• p=reject — Bloquea completamente los correos que fallan. La protección más fuerte.

Recomendamos empezar con p=none y subir gradualmente. Usa nuestro generador de políticas DMARC para crear el registro exacto que necesitas.

Paso 3: Verificar tu registro DMARC

Después de guardar el registro en Cloudflare, verifica que se ha publicado correctamente:

1. Ve a nuestra herramienta DMARC Checker
2. Introduce tu nombre de dominio
3. Haz clic en Check DMARC

La herramienta te mostrará el registro DMARC parseado y señalará cualquier problema. La propagación DNS con Cloudflare suele tardar unos minutos, pero en casos excepcionales puede tardar hasta 24 horas.

Paso 4: Verificar tu registro SPF

DMARC funciona mejor junto con SPF. Comprueba tu registro SPF con el SPF Checker:

Un registro SPF básico para los proveedores de correo más habituales tiene este aspecto:

v=spf1 include:_spf.google.com ~all

Si no tienes uno, usa el generador de SPF para crearlo y añádelo como otro registro TXT en Cloudflare (con el Name establecido en @).

Paso 5: Monitorizar tus informes

Una vez que tu registro DMARC esté activo, empezarás a recibir informes XML de proveedores como Google y Yahoo. Estos informes muestran:

• Qué IPs están enviando correo en nombre de tu dominio
• Si esos correos pasan las comprobaciones SPF y DKIM
• Si se alinean con tu política DMARC

Leer informes XML manualmente es tedioso. DMARC Examiner automatiza todo el proceso: parsea los informes, identifica remitentes no autorizados y te alerta de problemas.

Errores habituales a evitar

1. Activar el proxy de Cloudflare en el registro TXT

El proxy de Cloudflare (nube naranja) es solo para tráfico HTTP. Los registros TXT siempre deben usar "DNS only" (nube gris). Si el proxy está activado, los servidores de correo no podrán ver el registro DMARC.

2. Nombre del registro incorrecto

El nombre debe ser exactamente _dmarc, no _dmarc.tudominio.com (Cloudflare añade el dominio automáticamente) ni dmarc sin el guion bajo.

3. Registros DMARC duplicados

Debes tener exactamente un registro TXT de DMARC. Si tienes duplicados, los proveedores de correo pueden ignorar ambos. Comprueba si ya existe un registro antes de añadir uno nuevo.

4. Falta SPF o DKIM

DMARC valida el correo comprobando la alineación de SPF y DKIM. Sin al menos uno de estos protocolos, todos los correos fallarán las comprobaciones DMARC. Configura ambos para la mejor protección:

• Generador de SPF →
• Guía de configuración DKIM →

5. Saltar directamente a p=reject

Pasar a p=reject sin monitorizar primero con p=none puede bloquear correos legítimos de servicios como tu CRM, plataforma de newsletters o proveedor de correo transaccional. Siempre revisa los informes primero.

Subir la política gradualmente

Un despliegue DMARC seguro sigue esta progresión:

1. Semanas 1-4: p=none — Recopila informes e identifica todos los remitentes legítimos
2. Semanas 5-8: p=quarantine; pct=25 — Cuarentena del 25% de los correos que fallan
3. Semanas 9-12: p=quarantine; pct=100 — Cuarentena de todos los correos que fallan
4. Semana 13 en adelante: p=reject — Protección total

Usa el generador de políticas DMARC para crear el registro adecuado en cada fase.

Ejecuta una verificación completa

¿Quieres ver cómo está tu dominio en todos los estándares de autenticación de correo? Ejecuta una auditoría completa:

• Email Compliance Checker →
• Domain Score →

Monitoriza con DMARC Examiner

Configurar un registro DMARC es solo el principio. Para proteger tu dominio de verdad, necesitas monitorizar los informes de forma continua, identificar remitentes no autorizados y reaccionar ante los problemas antes de que afecten a la entregabilidad.

DMARC Examiner hace todo esto automáticamente: parsea tus informes agregados, visualiza los patrones de envío y te alerta cuando algo va mal. Empieza a monitorizar gratis →

---

Artículos relacionados:

• Cómo configurar DMARC en Google Workspace
• Cómo configurar DMARC en Microsoft 365
• DMARC Record Not Found: cómo solucionarlo