Políticas DMARC explicadas: None vs Quarantine vs Reject

Introducción

Configurar DMARC es más que añadir un registro DNS: la política que elijas determina con qué nivel de exigencia se protege tu dominio. Si eliges una política demasiado agresiva, podrías bloquear emails legítimos. Si es demasiado conservadora, los atacantes aún podrán suplantar tu dominio.

Esta guía explica las tres políticas DMARC (p=none, p=quarantine, p=reject), cuándo usar cada una y cómo hacer la transición de forma segura entre ellas.

¿Qué es una política DMARC?

Una política DMARC indica a los servidores receptores qué hacer con los emails que no superan la autenticación DMARC. Es el mecanismo de aplicación que hace que DMARC sea efectivo.

Piénsalo como instrucciones de seguridad para un edificio:

• p=none: "Registra quién entra pero deja pasar a todos" (monitorización)
• p=quarantine: "Lleva a los visitantes no autorizados a una sala de espera" (enviar a spam)
• p=reject: "Rechaza a los visitantes no autorizados en la puerta" (bloquear por completo)

La política aparece en tu registro DNS de DMARC:

v=DMARC1; p=none; rua=mailto:dmarc@tudominio.com

La etiqueta p= especifica tu política.

Las tres políticas DMARC

Política 1: p=none (Modo monitorización)

Qué hace:

• Permite el paso de todos los emails, incluso si fallan DMARC
• Los proveedores de email te envían informes sobre los resultados de autenticación
• Sin impacto en la entrega de email

Ejemplo de registro DMARC:

v=DMARC1; p=none; rua=mailto:dmarc-reports@tudominio.com

Cuándo usarla:

Implementación inicial de DMARC

• Las primeras 2-4 semanas de configuración
• Mientras descubres qué fuentes legítimas envían desde tu dominio
• Para identificar problemas de autenticación

Tras cambios importantes en la infraestructura

• Nuevo proveedor de email
• Nueva plataforma de marketing automation
• Después de una fusión o adquisición

Monitorización continua en entornos complejos

• Muchos remitentes de terceros
• Múltiples unidades de negocio
• Cambios frecuentes en la infraestructura de email

Beneficios:

• Riesgo cero para la entrega de email
• Visibilidad completa del ecosistema de email
• Identifica todos los remitentes que usan tu dominio
• Detecta intentos de suplantación (pero no los bloquea)

Limitaciones:

• No protege contra la suplantación
• Los atacantes aún pueden hacerse pasar por tu dominio
• No mejora la entregabilidad

Ejemplo real:

Una empresa de comercio implementó p=none y descubrió:

• Su plataforma de e-commerce no tenía DKIM configurado
• Los emails de marketing de Mailchimp tenían problemas de SPF
• Un antiguo sistema de tickets de soporte seguía enviando
• Varios intentos de phishing estaban usando su dominio

Corrigieron los problemas legítimos antes de pasar a la aplicación, evitando problemas de entrega.

Política 2: p=quarantine (Aplicación parcial)

Qué hace:

• Envía los emails que fallan a la carpeta de spam/no deseado
• Los emails legítimos siguen entregándose (pero en spam)
• Los informes continúan enviándose

Ejemplo de registro DMARC:

v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@tudominio.com

Cuándo usarla:

Fase de transición entre p=none y p=reject

• Después de corregir todos los problemas de autenticación conocidos
• Antes de la aplicación total
• 2-4 semanas de prueba

Protección conservadora para entornos complejos

• Muchos remitentes legítimos que ocasionalmente tienen problemas
• Alto volumen de email con fuentes variadas
• Cuando p=reject parece demasiado arriesgado

Protección de subdominios con diferentes perfiles de riesgo

• Dominio principal en p=reject
• Subdominios en p=quarantine

v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@tudominio.com

Beneficios:

• Protección real sin bloqueo total
• Los emails que fallan siguen accesibles (en spam)
• Menos riesgo que el rechazo inmediato
• Reduce significativamente la tasa de éxito del phishing

Limitaciones:

• No bloquea completamente los emails suplantados
• Algunos destinatarios revisan la carpeta de spam
• No tan fuerte como p=reject para la protección de marca

Consideración importante:

Los distintos proveedores de email interpretan "quarantine" de forma diferente:

• Gmail: Normalmente envía a la carpeta de spam
• Outlook: Puede enviar a no deseado o bloquear por completo
• Otros: Varía según el proveedor

Esto significa que p=quarantine no garantiza la entrega en spam; algunos proveedores pueden rechazar el email de todas formas.

Política 3: p=reject (Aplicación total)

Qué hace:

• Bloquea completamente los emails que fallan
• Nunca llegan a la bandeja de entrada ni a spam del destinatario
• Máxima protección para tu dominio

Ejemplo de registro DMARC:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@tudominio.com

Cuándo usarla:

Después de fases exitosas de monitorización y cuarentena

• Todos los remitentes legítimos autenticados correctamente
• Sin problemas de autenticación en los informes durante más de 2 semanas
• Confianza plena en tu configuración

Máxima protección de marca

• Marcas de alto perfil objetivo de phishing
• Instituciones financieras
• Organizaciones sanitarias
• Entidades gubernamentales

Requisitos de cumplimiento

• Regulaciones del sector que exigen autenticación fuerte
• Certificaciones de seguridad
• Contratos con clientes que requieren protección

Beneficios:

• Protección total contra suplantación de dominio
• La protección de marca más fuerte posible
• Evita que los emails de phishing lleguen a sus objetivos
• Cumple los requisitos de cumplimiento más estrictos
• Mejora la entregabilidad del email legítimo

Riesgos:

• Los emails legítimos mal configurados serán bloqueados
• No hay botón de "deshacer": los emails rechazados desaparecen
• Requiere monitorización continua para detectar nuevos problemas

Requisitos críticos antes de usar p=reject:

Todas las fuentes de email legítimo deben:

1. Tener autenticación SPF o DKIM válida
2. Superar la alineación DMARC (el dominio From coincide con el dominio autenticado)
3. Estar probadas a fondo
4. Ser monitorizadas continuamente

Ejemplo real:

Una empresa de servicios financieros pasó a p=reject tras 8 semanas de preparación:

• Semanas 1-4: p=none monitorización
• Semanas 5-8: p=quarantine pruebas
• Semana 9+: p=reject aplicación

Resultado: Los intentos de phishing usando su dominio cayeron a cero, y la entregabilidad de sus emails legítimos mejoró un 15% gracias a la mejor reputación como remitente.

Tabla comparativa de políticas

Característica	p=none	p=quarantine	p=reject
Nivel de protección	Ninguno	Moderado	Máximo
Emails que fallan	Entregados	Carpeta de spam	Bloqueados
Riesgo para email legítimo	Ninguno	Bajo	Medio
Protección de marca	Ninguna	Buena	Excelente
Duración recomendada	2-4 semanas	2-4 semanas	Continua
Envío de informes	Sí	Sí	Sí
Nivel de cumplimiento	Mínimo	Bueno	Excelente
Prevención de phishing	0%	70-80%	95-99%

Opciones avanzadas de política

Aplicación basada en porcentaje (pct)

Aplica tu política solo a un porcentaje de los emails que fallan:

v=DMARC1; p=reject; pct=25; rua=mailto:dmarc@tudominio.com

Esto significa:

• El 25% de los emails que fallan son rechazados
• El 75% restante se tratan como si la política fuera p=none

Casos de uso:

• Despliegue gradual de p=quarantine o p=reject
• Probar el impacto antes de la aplicación total
• Volúmenes de email muy grandes donde se necesita precaución

Progresión típica:

1. p=reject; pct=10 durante 1 semana (prueba con un subconjunto pequeño)
2. p=reject; pct=25 durante 1 semana
3. p=reject; pct=50 durante 1 semana
4. p=reject; pct=100 (o simplemente p=reject)

Política de subdominios (sp)

Configura políticas diferentes para tu dominio principal y los subdominios:

v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@tudominio.com

• p=reject: Política para tudominio.com
• sp=quarantine: Política para subdominio.tudominio.com

Patrones comunes:

Patrón 1: Dominio principal estricto, subdominios flexibles

v=DMARC1; p=reject; sp=none; rua=mailto:dmarc@tudominio.com

• Dominio principal totalmente protegido
• Subdominios en modo monitorización

Patrón 2: Proteger todo, a diferentes niveles

v=DMARC1; p=reject; sp=quarantine; rua=mailto:dmarc@tudominio.com

• Dominio principal: máxima protección
• Subdominios: protección moderada

Ejemplo de caso de uso:

tudominio.com               → p=reject (cara al cliente)
marketing.tudominio.com     → p=quarantine (muchos terceros)
test.tudominio.com          → p=none (entorno de pruebas)

Cada subdominio puede tener su propio registro DMARC, o heredar la política sp del dominio padre.

Progresión de políticas: el camino seguro

Fase 1: Monitorización (2-4 semanas)

Política: p=none

Acciones:

1. Publica el registro DMARC inicial
2. Configura la recogida de informes
3. Analiza los informes diarios
4. Identifica todas las fuentes de email
5. Documenta los problemas de autenticación

Criterios de éxito:

• Recibiendo informes de los principales proveedores
• Identificados todos los remitentes legítimos
• Autenticación SPF y DKIM funcionando para todas las fuentes legítimas

Fase 2: Aplicación parcial (2-4 semanas)

Política: p=quarantine

Acciones:

1. Actualiza la política a p=quarantine
2. Monitoriza los informes en busca de fallos inesperados
3. Vigila las quejas de entrega
4. Corrige los nuevos problemas detectados

Criterios de éxito:

• Sin quejas de emails legítimos
• Tasa de aprobación DMARC >95%
• Todos los remitentes críticos autenticados

Fase 3: Aplicación total (continua)

Política: p=reject

Acciones:

1. Actualiza la política a p=reject
2. Continúa monitorizando informes
3. Configura alertas para nuevos fallos
4. Mantén una vigilancia constante

Criterios de éxito:

• Tasa de aprobación DMARC >98%
• Cero emails legítimos bloqueados
• Monitorización continua establecida

Errores comunes a evitar

Error 1: Saltar directamente a p=reject

Mal:

Día 1: Configurar p=reject sin ninguna monitorización previa

Esto probablemente bloqueará emails legítimos que desconocías.

Bien:

Semanas 1-4: p=none (monitorizar)
Semanas 5-8: p=quarantine (probar)
Semana 9+: p=reject (aplicar)

Error 2: Quedarse en p=none para siempre

Algunas organizaciones configuran p=none y nunca avanzan. Aunque esto da visibilidad, no ofrece ninguna protección.

Equilibrio: Avanza hacia la aplicación cuando tengas confianza, pero sin precipitarte.

Error 3: No monitorizar después de p=reject

Incluso con p=reject, debes seguir monitorizando los informes:

• Pueden añadirse nuevos servicios
• Los cambios de configuración pueden romper la autenticación
• Los atacantes siguen intentando la suplantación

Configura alertas automáticas para:

• Caídas de cumplimiento por debajo del umbral
• Nuevas fuentes o direcciones IP que fallan
• Picos de volumen en el tráfico de email
• Cambios en registros DNS (DMARC, SPF, DKIM)

Error 4: Olvidarse de los subdominios

Si solo configuras un registro DMARC en tu dominio principal, los subdominios quedan desprotegidos a menos que establezcas la etiqueta sp.

Vulnerable:

tudominio.com tiene DMARC
subdominio.tudominio.com no tiene DMARC ni etiqueta sp
→ Los atacantes pueden suplantar subdominio.tudominio.com

Protegido:

v=DMARC1; p=reject; sp=reject; rua=mailto:dmarc@tudominio.com

Elegir la política adecuada para tu organización

Empieza con p=none si:

• Nunca has implementado DMARC
• No conoces todas tus fuentes de email
• No estás seguro del estado actual de tu autenticación
• Tienes una infraestructura de email compleja

Pasa a p=quarantine si:

• Has monitorizado durante 2-4 semanas
• Todas las fuentes legítimas están autenticadas
• Quieres protección gradual
• Tienes una tolerancia al riesgo conservadora

Avanza a p=reject si:

• Has completado con éxito la fase de cuarentena
• La tasa de aprobación DMARC es consistentemente >95%
• Necesitas la máxima protección
• El cumplimiento normativo lo requiere
• Estás preparado para la monitorización continua

Monitorizar tu política

Métricas clave a seguir

Tasa de aprobación DMARC:

Tasa de aprobación = (Emails que pasan / Total de emails) × 100

• Objetivo: >95% antes de pasar a quarantine
• Objetivo: >98% antes de pasar a reject

Tasa de cumplimiento:

Tasa de cumplimiento = (Volumen conforme / Volumen total) × 100

Autenticación por fuente:

• Qué fuentes pasan consistentemente
• Qué fuentes fallan ocasionalmente
• Nuevas fuentes que aparecen

Herramientas de monitorización

Comprobación gratuita:

• DMARC Checker - Verifica la política actual
• Domain Score - Seguridad general de email
• Google Postmaster Tools - Datos específicos de Gmail

Monitorización automatizada:

• Agregación de informes DMARC
• Alertas en tiempo real
• Análisis de tendencias
• Empieza gratis

Conclusión

Las políticas DMARC no son de talla única, y la política adecuada depende de la etapa y las necesidades de tu organización:

p=none: Primer paso esencial para obtener visibilidad p=quarantine: Terreno intermedio seguro para pruebas p=reject: Máxima protección para organizaciones preparadas

Ideas clave:

1. Empieza siempre con p=none para entender tu ecosistema de email
2. Monitoriza durante 2-4 semanas antes de avanzar a la siguiente política
3. p=quarantine es un entorno seguro de pruebas antes de la aplicación total
4. p=reject ofrece la máxima protección pero requiere preparación
5. Sigue monitorizando incluso después de alcanzar p=reject
6. No olvides los subdominios - usa la etiqueta sp

El camino de p=none a p=reject suele tomar entre 6 y 12 semanas, pero la protección bien merece la progresión cuidadosa.

Siguientes pasos

¿Listo para implementar o mejorar tu política DMARC?

1. Comprueba tu política actual: DMARC Checker
2. Verifica tu autenticación: Domain Score
3. Obtén recomendaciones de política: Empieza gratis con análisis automatizado

¿Necesitas ayuda para decidir qué política es la adecuada? Nuestra plataforma analiza tus informes DMARC y recomienda la política óptima en función de tu tasa de éxito de autenticación.

---

Artículos relacionados:

• ¿Qué es DMARC? Guía sencilla para personas no técnicas
• Cronología de implementación DMARC: De p=none a p=reject
• SPF, DKIM y DMARC: La guía completa de autenticación de email