Cronograma de implementacion DMARC: De p=none a p=reject

Cronograma paso a paso para implementar DMARC con fases recomendadas, plazos y metricas de exito. Aprende el camino seguro desde la monitorizacion hasta la aplicacion total.

15 de diciembre de 2025
16 min de lectura
Share:
Cronograma de implementacion DMARC: De p=none a p=reject

Introduccion

Implementar DMARC no es un proceso de un solo paso. Ir demasiado rapido puede bloquear emails legitimos. Ir demasiado lento deja tu dominio expuesto.

Esta guia proporciona un cronograma probado para avanzar de forma segura desde la monitorizacion inicial (p=none) hasta la aplicacion total (p=reject), con metricas y criterios de exito especificos para cada fase.

Por que necesitas un enfoque por fases

El peligro de precipitarse:

Implementar p=reject de golpe sin monitorizacion puede:

  • Bloquear emails legitimos de servicios que olvidaste
  • Interrumpir las operaciones del negocio
  • Obligarte a hacer un rollback de emergencia
  • Danar la confianza con tus clientes

Ejemplo real:

Una empresa configuro p=reject desde el primer dia. En cuestion de horas:

  • Su CRM dejo de enviar emails a clientes
  • Los tickets de soporte de Zendesk se bloquearon
  • La automatizacion de marketing fallo
  • Las confirmaciones de pedido no se entregaron

Tuvieron que volver a p=none y empezar de cero, perdiendo semanas de progreso.

El enfoque por fases:

Seguir un cronograma gradual:

  • Identifica todas las fuentes de email de forma segura
  • Genera confianza a traves de los datos
  • Minimiza las interrupciones
  • Consigue una proteccion sostenible

Vision general: El cronograma en cuatro fases

Fase Politica Duracion Objetivo
Fase 1 Preparacion 1-2 semanas Configurar SPF y DKIM
Fase 2 Monitorizacion 3-4 semanas p=none - Identificar todos los remitentes
Fase 3 Pruebas 3-4 semanas p=quarantine - Probar la aplicacion
Fase 4 Aplicacion Continuo p=reject - Proteccion total

Cronograma total: 8-12 semanas desde el inicio hasta la aplicacion completa

Se puede ir mas rapido?

  • Organizaciones pequenas con email sencillo: 6 semanas minimo
  • Grandes empresas: 12-16 semanas es lo habitual

Se puede ir mas despacio?

  • Si, permanecer mas tiempo en monitorizacion es seguro
  • Mejor ser prudente que interrumpir el servicio de email

Fase 1: Preparacion (Semana 1-2)

Objetivo: Configurar los prerequisitos

DMARC necesita SPF y DKIM para funcionar. Antes de implementar DMARC, asegurate de que ambos estan correctamente configurados.

Tareas

1.1: Inventario de fuentes de email

Crea una lista completa de todo lo que envia email desde tu dominio:

Email corporativo:

  • Google Workspace / Microsoft 365
  • Otro hosting de correo

Marketing:

  • Plataforma de email marketing (Mailchimp, Klaviyo, HubSpot)
  • Automatizacion de marketing
  • Servicio de newsletter

Transaccional:

  • SendGrid, Mailgun, Amazon SES
  • Emails generados por la aplicacion
  • Plataforma de e-commerce (Shopify, WooCommerce)

Soporte:

  • Zendesk, Freshdesk, Help Scout
  • Sistemas de ticketing

Otros:

  • CRM (Salesforce, HubSpot)
  • Encuestas (SurveyMonkey, Typeform)
  • Sistemas de notificaciones
  • Alertas de monitorizacion

Como encontrar remitentes ocultos:

  • Revisa las integraciones de tus plataformas de email
  • Comprueba los includes existentes en tu registro SPF del DNS
  • Pregunta a cada departamento que herramientas de email usan
  • Busca en los elementos enviados emails automatizados

1.2: Configurar SPF

Comprobar el SPF actual:

dig yourdomain.com TXT

O usa: SPF Checker ->

Crear o actualizar el registro SPF:

Ejemplo para una configuracion comun:

v=spf1 include:_spf.google.com include:servers.mcsv.net include:sendgrid.net ~all

Buenas practicas:

  • Incluye todas las fuentes de email identificadas
  • Usa ~all (soft fail) inicialmente
  • Mantente por debajo de 10 consultas DNS
  • Guia completa de SPF ->

Guias por plataforma:

1.3: Activar DKIM

Para cada fuente de email, activa la firma DKIM:

Google Workspace:

  1. Admin Console -> Apps -> Gmail -> Authenticate email
  2. Genera la clave DKIM
  3. Anade el registro DNS
  4. Activa la autenticacion

Microsoft 365:

  1. Security portal -> Email authentication -> DKIM
  2. Anota los dos registros CNAME
  3. Anadelos al DNS
  4. Activa DKIM

Proveedores de email:

  • Configura en los ajustes de la plataforma
  • Anade los registros DNS proporcionados
  • Verifica en la plataforma

Verificar DKIM: DKIM Checker ->

1.4: Probar la autenticacion

Envia emails de prueba desde cada fuente:

  1. Envia a cuentas de Gmail, Outlook y Yahoo
  2. Revisa las cabeceras del email
  3. Verifica: spf=pass y dkim=pass

Ejemplo de comprobacion de cabeceras:

Authentication-Results: mx.google.com;
       spf=pass smtp.mailfrom=yourdomain.com;
       dkim=pass header.i=@yourdomain.com;

Criterios de exito (Fase 1)

Antes de pasar a la Fase 2:

  • Registro SPF publicado y valido
  • DKIM activado para todos los remitentes principales
  • Los emails de prueba pasan SPF y DKIM
  • Todas las fuentes de email documentadas
  • Auditoria completa: Puntuacion de dominio ->

Plazo: 1-2 semanas

Fase 2: Monitorizacion con p=none (Semana 3-6)

Objetivo: Identificar toda la actividad de email

Esta es la fase mas importante. No la aceleres.

Tareas

2.1: Publicar DMARC con p=none

Crear el registro DMARC:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com; ruf=mailto:dmarc@yourdomain.com; fo=1; pct=100

Desglose de etiquetas:

  • v=DMARC1: Version de DMARC
  • p=none: Solo monitorizacion, sin aplicacion
  • rua=: Informes agregados (diarios)
  • ruf=: Informes forenses (por cada fallo)
  • fo=1: Enviar informe forense ante cualquier fallo
  • pct=100: Aplicar al 100% de los mensajes

Anadir registro DNS:

  • Nombre: _dmarc
  • Tipo: TXT
  • Valor: (el anterior)

Verificar: DMARC Checker ->

2.2: Configurar la recopilacion de informes

Opcion 1: Buzon de email

  • Crea dmarc@yourdomain.com
  • Los informes llegan como adjuntos XML
  • Requiere parseo manual

Opcion 2: Servicio de monitorizacion DMARC

Opcion 3: Parser open source

  • Despliega tu propia solucion de parseo
  • Control total
  • Requiere conocimientos tecnicos

2.3: Analizar los informes a diario

Primera semana: Revision diaria

Los informes DMARC muestran:

  • Cada fuente que envia desde tu dominio
  • El resultado de autenticacion (pass/fail) de cada una
  • El volumen de cada fuente
  • Los dominios receptores (Gmail, Yahoo, etc.)

Que buscar:

Fuentes que pasan (correcto):

<auth_results>
  <spf><result>pass</result></spf>
  <dkim><result>pass</result></dkim>
</auth_results>
<row>
  <policy_evaluated>
    <dkim>pass</dkim>
    <spf>pass</spf>
  </policy_evaluated>
</row>

Fuentes que fallan (requieren atencion):

<row>
  <policy_evaluated>
    <dkim>fail</dkim>
    <spf>fail</spf>
  </policy_evaluated>
  <count>250</count>
</row>

Fuentes desconocidas (investigar):

  • Direcciones IP que no reconoces
  • Dominios que no usas
  • Posibles intentos de suplantacion

2.4: Corregir problemas de autenticacion

Para cada fuente que falla:

  1. Identifica la fuente

    • Direccion IP del informe
    • Dominio de origen
    • Volumen y patron

  2. Determina si es legitima

    • Reconoces el servicio?
    • Esperabas email desde esa fuente?
    • Contacta si no estas seguro

  3. Corrige la autenticacion

    • Anade al SPF si falta
    • Configura DKIM si es posible
    • Verifica la alineacion del dominio "From"

  4. Verifica la correccion

    • Espera 24-48 horas
    • Comprueba el informe del dia siguiente
    • Confirma que ahora pasa

Correcciones habituales:

Olvidaste incluir un servicio en SPF:

Antes: v=spf1 include:_spf.google.com ~all
Despues:  v=spf1 include:_spf.google.com include:mailgun.org ~all

DKIM sin configurar:

  • Activalo en el proveedor del servicio
  • Anade los registros DNS
  • Prueba

Problema de alineacion:

Criterios de exito (Fase 2)

Antes de pasar a la Fase 3:

  • Tasa de aprobacion DMARC >95% (objetivo: >98%)
  • Todas las fuentes legitimas identificadas
  • Todas las fuentes con fallos investigadas y corregidas
  • Sin fuentes desconocidas o sospechosas
  • 3-4 semanas de informes limpios
  • El equipo tiene confianza en la configuracion

Metrica clave: Tasa de cumplimiento DMARC

Tasa de cumplimiento = (Volumen DMARC Pass / Volumen Total) x 100

Objetivo antes de la Fase 3: >95%

Plazo: 3-4 semanas (mas si el entorno es complejo)

Fase 3: Pruebas con p=quarantine (Semana 7-10)

Objetivo: Probar la aplicacion de forma segura

Pasa a p=quarantine para probar la aplicacion sin bloquear completamente los emails.

Tareas

3.1: Actualizar la politica DMARC a quarantine

Actualizar el registro DNS:

v=DMARC1; p=quarantine; pct=100; rua=mailto:dmarc@yourdomain.com; adkim=r; aspf=r

Que ha cambiado:

  • p=quarantine: Los emails que fallan van a spam (no se bloquean)
  • adkim=r: Alineacion DKIM relajada
  • aspf=r: Alineacion SPF relajada

Por que quarantine primero:

  • Los emails que fallan siguen entregandose (en spam)
  • Permite recuperarse de errores
  • Genera confianza antes de reject
  • Los destinatarios pueden revisar spam si es necesario

3.2: Monitorizar de cerca

Primera semana: Monitorizacion diaria

Vigila:

  • Picos en quejas por emails en spam
  • Problemas de entrega reportados
  • Fallos de autenticacion inesperados
  • Cambios en los patrones de volumen de email

Comprueba:

  • Informes DMARC (siguen llegando)
  • Google Postmaster Tools (tasa de spam)
  • Tickets de soporte (problemas de entrega de email)
  • Mensajes de rebote

3.3: Configurar alertas

Condiciones de alerta:

La tasa de aprobacion DMARC cae por debajo del umbral:

  • Indica una nueva fuente con fallos
  • Requiere investigacion inmediata
  • Umbral configurable (normalmente 90-95%)

Aparece una fuente desconocida:

  • Nueva IP enviando desde tu dominio
  • Posible remitente no autorizado

Pico de fallos desde una fuente conocida:

  • La configuracion del servicio ha cambiado
  • La autenticacion se ha roto

Cambios en registros DNS:

  • Registros DMARC, SPF o DKIM modificados
  • Previene cambios de configuracion no autorizados

Implementacion:

Con un servicio de monitorizacion:

  • Configura umbrales y tipos de alerta
  • Recibe notificaciones por email o webhooks
  • Configura la monitorizacion de cambios DNS
  • Configurar alertas ->

Monitorizacion manual:

  • Revisa los informes a diario
  • Configura recordatorios en el calendario
  • Documenta las metricas de referencia

3.4: Gestionar los problemas de inmediato

Si emails legitimos van a spam:

  1. Identifica el remitente afectado a partir de los informes
  2. Comprueba la autenticacion de esa fuente
  3. Corrige rapidamente (actualiza SPF/DKIM/alineacion)
  4. Verifica la correccion en 24 horas
  5. Considera un rollback temporal a p=none si es critico

Procedimiento de rollback:

Si hay problemas graves:

v=DMARC1; p=none; rua=mailto:dmarc@yourdomain.com
  • Investiga el problema sin presion
  • Corrige la autenticacion
  • Espera 24 horas
  • Vuelve a p=quarantine

Criterios de exito (Fase 3)

Antes de pasar a la Fase 4:

  • Tasa de aprobacion DMARC >98%
  • Ningun email legitimo en spam (que no deberia estar)
  • Sin quejas de entrega por parte de los usuarios
  • 3-4 semanas de rendimiento estable
  • El equipo esta preparado para la aplicacion total
  • Plan de rollback documentado

Plazo: 3-4 semanas

Fase 4: Aplicacion total con p=reject (Semana 11+)

Objetivo: Proteccion maxima

Pasa a p=reject para la proteccion completa de tu marca.

Tareas

4.1: Actualizar a p=reject

Actualizar el registro DNS:

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@yourdomain.com; adkim=r; aspf=r

Que significa:

  • Los emails que fallan se bloquean por completo
  • No se entregan ni en la bandeja de entrada ni en spam
  • Los destinatarios nunca ven los emails que fallan
  • Proteccion maxima de la marca

Momento adecuado:

  • Actualiza en un periodo de bajo volumen (fin de semana o por la noche)
  • Informa al equipo antes del cambio
  • Ten el plan de rollback preparado

4.2: Monitorizacion intensiva la primera semana

Comprobaciones diarias durante la primera semana:

  • Informes DMARC revisados
  • Sin quejas de entrega
  • Tasa de aprobacion estable (>98%)
  • Sin bloqueos inesperados

Senales de alarma:

  • Caida repentina en el volumen de email (se estan bloqueando)
  • Quejas de usuarios por emails que no llegan
  • Tickets de soporte sobre entregas
  • Tasa de aprobacion por debajo del 95%

Rollback si es necesario:

Si se bloquean emails criticos:

  1. Revierte inmediatamente a p=quarantine
  2. Investiga la fuente que falla
  3. Corrige el problema de autenticacion
  4. Prueba a fondo
  5. Vuelve a p=reject tras 48 horas de monitorizacion

4.3: Mantenimiento continuo

Tareas semanales:

  • Revisar informes DMARC
  • Monitorizar la tasa de aprobacion (debe mantenerse >98%)
  • Comprobar si hay nuevos remitentes

Tareas mensuales:

  • Auditar la lista de fuentes de email
  • Revisar el registro SPF (menos de 10 consultas?)
  • Verificar que DKIM sigue firmando
  • Comprobar la reputacion en Google Postmaster

Tareas trimestrales:

4.4: Gestionar nuevas fuentes de email

Antes de anadir un nuevo servicio de email:

  1. Configura la autenticacion primero

    • Anade al SPF
    • Activa DKIM
    • Verifica la alineacion del dominio "From"

  2. Prueba con p=none temporalmente

    • Opcionalmente revierte a p=none para pruebas
    • Monitoriza la nueva fuente durante 48 horas
    • Vuelve a p=reject cuando pase

  3. Documenta el cambio

    • Actualiza el inventario de fuentes de email
    • Anota los detalles de autenticacion
    • Registra en el log de cambios

Metricas de exito (Fase 4)

Objetivos continuos:

  • Tasa de aprobacion DMARC: >98%
  • Tasa de quejas por spam: <0,1%
  • Reputacion del dominio: "High" (Google Postmaster)
  • Cero bloqueos de emails legitimos
  • Sin incidentes de suplantacion

Plazo: Continuo

Consideraciones especiales

Grandes organizaciones

Ajustes en el cronograma:

  • Fase 2 (Monitorizacion): 6-8 semanas (en lugar de 3-4)
  • Fase 3 (Quarantine): 4-6 semanas (en lugar de 3-4)
  • Cronograma total: 12-16 semanas

Por que mas tiempo:

  • Mas fuentes de email que identificar
  • Mas partes interesadas que coordinar
  • Mayor riesgo de interrupcion
  • Necesidad de aprobacion de direccion

Multiples dominios

Enfoque:

Opcion 1: Un dominio a la vez

  • Implementa primero en el dominio principal
  • Aprende de la experiencia
  • Despliega en el resto de dominios
  • Menor riesgo, cronograma mas lento

Opcion 2: Implementacion en paralelo

  • Todos los dominios pasan juntos por las Fases 1-2
  • Escalonar el avance en las Fases 3-4
  • Mas rapido en conjunto, mayor complejidad

E-commerce y remitentes de alto volumen

Precaucion extra necesaria:

  • Las confirmaciones de pedido no deben bloquearse
  • Las notificaciones de envio son criticas
  • Los emails de atencion al cliente son esenciales

Recomendacion:

  • Fase de monitorizacion mas larga (6+ semanas)
  • Pruebas exhaustivas en la Fase 3
  • Despliegue gradual con la etiqueta pct=

Uso de la etiqueta pct para despliegue gradual:

Semana 1: v=DMARC1; p=reject; pct=10; rua=mailto:dmarc@yourdomain.com
Semana 2: v=DMARC1; p=reject; pct=25; rua=mailto:dmarc@yourdomain.com
Semana 3: v=DMARC1; p=reject; pct=50; rua=mailto:dmarc@yourdomain.com
Semana 4: v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@yourdomain.com

Esto aplica la politica reject a un porcentaje creciente de los emails que fallan.

Errores comunes que debes evitar

Error 1: Acelerar la monitorizacion

Mal: Solo 1 semana de monitorizacion antes de pasar a quarantine

Bien: Minimo 3-4 semanas, mas en entornos complejos

Por que: Algunos servicios de email envian con poca frecuencia. Una semana puede no ser suficiente para detectarlos.

Error 2: Ignorar los fallos de bajo volumen

Mal: "Solo fallan 5 emails al dia, no es importante"

Bien: Investiga TODOS los fallos antes de aplicar la politica

Por que: Esos 5 emails pueden ser criticos (restablecimiento de contrasena, confirmaciones de pedido, etc.)

Error 3: No tener plan de rollback

Mal: Pasar a p=reject sin un rollback documentado

Bien: Procedimiento de rollback por escrito, probado antes de la Fase 4

Por que: Cuando surgen problemas, necesitas actuar rapido

Error 4: Dejar de monitorizar despues de p=reject

Mal: "Ya esta hecho, no necesito revisarlo mas"

Bien: Monitorizacion continua, revision semanal de informes

Por que: Las configuraciones de email cambian. Se anaden nuevos servicios. La vigilancia es permanente.

Tabla resumen del cronograma

Fase Duracion Politica Actividad principal Metrica de exito
Preparacion 1-2 semanas Ninguna Configurar SPF y DKIM SPF y DKIM pasan
Monitorizacion 3-4 semanas p=none Identificar todos los remitentes >95% tasa de aprobacion
Pruebas 3-4 semanas p=quarantine Probar la aplicacion >98% tasa de aprobacion, sin quejas
Aplicacion Continuo p=reject Proteccion total >98% tasa de aprobacion mantenida
Total 8-12 semanas -- -- --

Herramientas y recursos

Herramientas de comprobacion gratuitas:

Monitorizacion:

Guias de implementacion:

Conclusion

La implementacion de DMARC es un proceso de 8-12 semanas, no una tarea de un dia.

Las cuatro fases:

  1. Preparacion (1-2 semanas): Configurar SPF y DKIM
  2. Monitorizacion (3-4 semanas): p=none para identificar todos los remitentes
  3. Pruebas (3-4 semanas): p=quarantine para probar la aplicacion
  4. Aplicacion (continuo): p=reject para proteccion total

El exito requiere:

  • Paciencia durante la monitorizacion
  • Corregir TODOS los problemas de autenticacion
  • Documentar todas las fuentes de email
  • Monitorizacion continua tras el despliegue

No te precipites. Bloquear emails legitimos cuesta mas que unas semanas extra de monitorizacion.

Siguientes pasos

En que punto del cronograma estas?

Empezando desde cero:

  1. Inventario de fuentes de email (1 hora)
  2. Configurar SPF y DKIM (1 semana)
  3. Verificar autenticacion: Puntuacion de dominio ->
  4. Publicar DMARC con p=none

Ya en monitorizacion:

  • Revisa la tasa de aprobacion: Es >95%?
  • Has identificado todos los remitentes?
  • Has corregido todos los fallos?
  • Si la respuesta es si -> Pasa a p=quarantine

Listo para la aplicacion:

  • Tasa de aprobacion >98% durante mas de 3 semanas?
  • Sin problemas de entrega en quarantine?
  • El equipo esta preparado?
  • Si la respuesta es si -> Pasa a p=reject

Necesitas ayuda con la monitorizacion?

Los informes DMARC son XML complejo. Obtiene analisis automatizado: Empieza gratis ->

Articulos relacionados:

Tags:dmarcimplementationbest-practices

¿Listo para mejorar la entregabilidad de tus emails?

Empieza a monitorizar tus reportes DMARC y obtén información sobre tu configuración de autenticación.

Comenzar Prueba Gratuita

Artículos Relacionados

Requisitos de Gmail y Yahoo para remitentes de email: Guia completa de cumplimiento
best practices

Requisitos de Gmail y Yahoo para remitentes de email: Guia completa de cumplimiento

Guia completa sobre los requisitos de Gmail y Yahoo para remitentes de email. Descubre que se exige, a quien afecta y como cumplir con las normas de autenticacion.

7 de marzo de 2026
12 min de lectura
comparisons

DMARC Examiner vs dmarcian: una comparativa honesta (2026)

Comparativa justa y orientada a desarrolladores entre DMARC Examiner y dmarcian. Precio, funcionalidades, plan gratuito, API, soporte MCP — para que elijas sin ruido de marketing.

14 de abril de 2026
7 min de lectura
comparisons

DMARC Examiner vs EasyDMARC: una comparativa honesta (2026)

EasyDMARC tiene una interfaz pulida y marketing agresivo. Comparamos ambas herramientas en precio, funcionalidades, experiencia de desarrollador y planes gratuitos — para que elijas bien.

14 de abril de 2026
8 min de lectura