Seguridad email: 4 herramientas gestionadas gratis para proteger tus dominios
Por CaptainDNS
Publicado el 13 de marzo de 2026
- 4 herramientas gestionadas 100 % gratis: alojamiento MTA-STS, alojamiento BIMI, monitoreo TLS-RPT, monitoreo DMARC
- Sin infraestructura que gestionar: DNS + panel de control son suficientes
- Verificación de dominio compartida: un solo registro TXT para todos los servicios
- Cumplimiento de los requisitos de Google/Yahoo (DMARC obligatorio desde feb. 2024)
- Configuración en 3 pasos, menos de 5 minutos por herramienta
Asegurar los emails de un dominio no se reduce a publicar un registro SPF. Para una protección completa, también necesitas forzar el cifrado SMTP (MTA-STS), monitorear los fallos TLS invisibles (TLS-RPT), analizar los informes de autenticación (DMARC) y mostrar tu identidad visual (BIMI). Cuatro protocolos, cuatro necesidades de infraestructura distintas.
El problema: cada protocolo exige su propio servidor HTTPS, su propia dirección de recolección o su propio pipeline de análisis. Para una pyme o un administrador de sistemas que gestiona varios dominios, el coste en tiempo e infraestructura se acumula rápido.
CaptainDNS se encarga de esa infraestructura. Tú configuras algunos registros DNS, nosotros alojamos los archivos, recopilamos los informes y mostramos los resultados en un panel de control unificado. Todo gratis, porque la seguridad email no debería depender de un presupuesto de servidores.
¿Por qué estos 4 protocolos son complementarios?
SPF, DKIM y DMARC autentican al remitente. Responden a la pregunta: "¿Tiene este servidor permiso para enviar en nombre de este dominio?" Pero la autenticación sola no basta.
MTA-STS fuerza el cifrado TLS entre servidores SMTP. Sin él, un atacante puede interceptar o degradar la conexión (ataque downgrade). TLS-RPT complementa MTA-STS notificando los fallos TLS que nadie ve: emails rechazados silenciosamente por el servidor destinatario.
BIMI añade la capa de confianza visual. Muestra tu logo en la bandeja de entrada, pero exige un DMARC en enforcement (p=quarantine o p=reject).
Cada protocolo cubre una carencia que los demás no cubren:
- DMARC sin MTA-STS = autenticación sin cifrado garantizado
- MTA-STS sin TLS-RPT = cifrado forzado pero sin visibilidad sobre los fallos
- BIMI sin DMARC en enforcement = imposible de activar
- TLS-RPT sin MTA-STS = informes sin política que aplicar
Los cuatro juntos forman una cadena coherente: autenticación, cifrado, monitoreo, identidad.
Alojamiento MTA-STS: forzar el cifrado SMTP
MTA-STS (RFC 8461) permite a un dominio declarar que exige el cifrado TLS para recibir emails. Los servidores remitentes que soportan MTA-STS se niegan a enviar en texto plano si la política lo prohíbe.
El despliegue clásico requiere un servidor HTTPS para alojar el archivo de política en mta-sts.captaindns.com/.well-known/mta-sts.txt, más un certificado TLS válido y renovado.
Lo que CaptainDNS gestiona por ti:
- Alojamiento HTTPS del archivo de política con certificado Let's Encrypt auto-renovado
- Rotación automática del identificador de política (campo
iddel registro DNS) - Transición asistida del modo
testingaenforce
Añades dos registros DNS. CaptainDNS se encarga del resto. Sin servidores web que configurar.
Configurar el alojamiento MTA-STS
Alojamiento BIMI: mostrar tu logo en las bandejas de entrada
BIMI (Brand Indicators for Message Identification) muestra tu logo de marca junto a tus emails en los clientes de correo compatibles. Gmail, Yahoo Mail y Apple Mail lo soportan.
Alojar un logo BIMI requiere un archivo SVG en formato Tiny-PS servido en HTTPS con los headers de seguridad adecuados (CSP, Content-Type). Si tienes un certificado VMC o CMC, también hay que alojarlo y mantenerlo accesible.
Lo que CaptainDNS gestiona por ti:
- Alojamiento HTTPS del logo SVG Tiny-PS con headers CSP conformes
- Alojamiento del certificado VMC o CMC (si tienes uno)
- Generación automática del registro DNS BIMI
Requisito previo: tu dominio debe tener un DMARC en p=quarantine o p=reject. El monitoreo DMARC de CaptainDNS te ayuda a conseguirlo.
Configurar el alojamiento BIMI
Monitoreo TLS-RPT: detectar los fallos TLS invisibles
TLS-RPT (RFC 8460) es un mecanismo de reporting. Los servidores destinatarios envían informes JSON describiendo los fallos de negociación TLS encontrados al recibir emails para tu dominio.
Sin TLS-RPT, esos fallos son invisibles. Un certificado expirado, un MX mal configurado, un downgrade... ninguna señal llega. Emails son rechazados sin que nadie se dé cuenta.
Lo que CaptainDNS gestiona por ti:
- Recepción y almacenamiento de los informes TLS-RPT
- Análisis de los 9 tipos de fallo definidos por la RFC 8460 (certificate expired, sts-policy-invalid, etc.)
- Panel de control con historial, tendencias y alertas
TLS-RPT y MTA-STS están diseñados para funcionar juntos. Los informes TLS-RPT te confirman que tu política MTA-STS se respeta, o te alertan cuando no es así.
Monitoreo DMARC: entender quién envía en nombre de tu dominio
El monitoreo DMARC recopila y analiza los informes agregados (RUA) enviados por los proveedores de correo. Estos informes indican qué servidores envían emails en nombre de tu dominio y si la autenticación SPF/DKIM tiene éxito o falla.
Lo que CaptainDNS gestiona por ti:
- Recepción y parsing de los informes DMARC agregados
- Asistente inteligente que detecta tu registro DMARC existente y propone las modificaciones necesarias
- Progresión guiada de
p=none(observación) ap=quarantiney luegop=reject - Identificación de fuentes de envío legítimas vs. sospechosas
Desde febrero de 2024, Google y Yahoo exigen un registro DMARC para todo remitente. Para los remitentes de más de 5 000 emails/día hacia Gmail, la alineación DMARC es obligatoria. El monitoreo te da la visibilidad necesaria para subir a enforcement sin romper tus flujos legítimos.
Lo que los conecta: verificación compartida y panel de control unificado
Las cuatro herramientas comparten un mecanismo común de verificación de dominio. Añades un solo registro TXT:
_captaindns-verify.captaindns.com. 3600 IN TXT "captaindns-verify=xxxxxxxxxxxx"
Este registro demuestra que controlas el dominio. Una vez verificado, todos los servicios se pueden activar sin re-verificación.
El panel de control unificado agrupa el estado de cada protocolo por dominio:
- Estado de la política MTA-STS (testing/enforce)
- Logo BIMI activo y conformidad SVG
- Informes TLS-RPT recibidos y fallos detectados
- Informes DMARC agregados y progresión de la política
Puedes gestionar hasta 5 dominios desde una sola cuenta. Si tu cartera es más amplia, contáctanos para ajustar el límite.
La seguridad email solo tiene valor si cubre todos tus dominios. Un solo dominio sin DMARC o sin MTA-STS basta para crear una brecha explotable por un atacante. Aplicar estos protocolos a toda tu cartera, dominios activos y dominios aparcados, es el único enfoque que funciona.
¿Por dónde empezar?
El orden de despliegue recomendado sigue las dependencias entre protocolos:
-
Monitoreo DMARC: es el requisito previo de todo lo demás. Necesitas visibilidad sobre tus flujos antes de endurecer nada. DMARC en enforcement es también el requisito previo de BIMI.
-
MTA-STS: una vez que DMARC está en su lugar, asegura el transporte. Empieza en modo
testingpara validar que todo funciona. -
TLS-RPT: actívalo al mismo tiempo que MTA-STS o justo después. Los informes TLS-RPT te confirman que la política MTA-STS se aplica.
-
BIMI: último paso. Cuando DMARC está en
p=quarantineop=reject, aloja tu logo para beneficiarte de la visualización en bandeja de entrada.
Tiempo total estimado: menos de 20 minutos para las cuatro herramientas, sin contar el tiempo de propagación DNS.
Empieza por el monitoreo DMARC: es la base de toda la cadena. Activa la recopilación de informes, identifica tus fuentes de envío y luego sube progresivamente hacia el enforcement. Activar el monitoreo DMARC y accede a las cuatro herramientas en pocos minutos.
FAQ
¿Hay que pagar para usar estas herramientas?
No. Las cuatro herramientas (alojamiento MTA-STS, alojamiento BIMI, monitoreo TLS-RPT y monitoreo DMARC) son gratuitas. CaptainDNS aloja la infraestructura, gestiona los certificados y analiza los informes sin coste.
¿Cuántos dominios puedo añadir?
Puedes gestionar hasta 5 dominios desde una sola cuenta CaptainDNS. Si necesitas cubrir una cartera más amplia, contáctanos para ajustar el límite. La verificación compartida por registro TXT se aplica de forma independiente a cada dominio.
¿Necesito un servidor web para alojar una política MTA-STS?
No. Eso es precisamente lo que el alojamiento MTA-STS de CaptainDNS elimina. Añades dos registros DNS (un CNAME para mta-sts.captaindns.com y un TXT para _mta-sts). CaptainDNS aloja el archivo de política en HTTPS con un certificado Let's Encrypt auto-renovado.
¿Se puede usar BIMI sin certificado VMC?
Sí. El modo auto-declarado (sin certificado) muestra tu logo en Yahoo Mail y Fastmail. Para Gmail, se necesita un certificado CMC o VMC. CaptainDNS aloja el logo SVG y el certificado si tienes uno, pero el certificado en sí queda a tu cargo.
¿Qué es un informe TLS-RPT?
Un informe TLS-RPT es un archivo JSON enviado por los servidores de correo destinatarios. Describe los resultados de la negociación TLS para los emails dirigidos a tu dominio: éxitos, fallos, tipos de error. Sin monitoreo, estos informes llegan por email y nadie los lee. CaptainDNS los recopila y los presenta en un panel de control.
¿Son compatibles estas herramientas con mi proveedor de correo actual?
Sí. MTA-STS, BIMI, TLS-RPT y DMARC son estándares abiertos que funcionan vía DNS. Son compatibles con Microsoft 365, Google Workspace, OVHcloud, Infomaniak y cualquier proveedor que soporte la configuración de registros DNS personalizados.
