DMARC en p=reject: el registro DNS que cierra el spoofing de tu dominio
SPF y DKIM no alcanzan: un atacante puede mandar email diciendo ser tu dominio y pasar ambos checks. DMARC cierra el hueco — pero sólo cuando llegas a p=reject. Camino seguro de p=none → p=quarantine → p=reject sin romper email legítimo.
Leer