Iniciar sesión
CaptainDNS

Propagación y diagnósticos

Compara resolutores públicos y analiza las respuestas devueltas.

Autenticación de correo

Herramientas para verificar y validar la autenticación de tu correo.

Validador de sintaxis SPF

Revisa las cadenas include, el orden de los mecanismos y el límite de 10 consultas DNS antes de publicar cambios.

Inspector de registros SPF

Resuelve el TXT publicado, detecta límites de consultas y examina cada mecanismo con detalle.

Validador de sintaxis DKIM

Comprueba rápidamente la sintaxis de tus registros DKIM.

Verificación de registro DKIM

Resuelve un selector y analiza el registro TXT DKIM publicado.

Validador de sintaxis DMARC

Comprueba los destinos rua/ruf, los modos de alineación y la política activa antes de publicarla.

Inspector de registros DMARC

Resuelve la política publicada, revisa los diagnósticos y confirma la aplicación antes de activar el rechazo.

Validador de sintaxis BIMI

Valida las etiquetas BIMI, el logotipo y el certificado VMC antes de publicarlo.

Inspector de registros BIMI

Resuelve el registro BIMI publicado y revisa los diagnósticos de logo y VMC en un solo lugar.

Auditoría de entregabilidad de email

Analiza MX, SPF, DKIM y DMARC para confirmar que un dominio está listo para enviar.

Analizador de encabezados

Descifra participantes, resultados SPF/DKIM/DMARC y el recorrido del mensaje a partir de los encabezados brutos.

Generador de registros DMARC

Crea registros DMARC conformes con todas las opciones de política y reporte.

Texto

Transforma, codifica y mide tus textos al instante.

Convertidor de mayúsculas/minúsculas

Convierte cualquier bloque de texto a minúsculas o mayúsculas al instante.

Codificador / decodificador Base64

Codifica o decodifica contenido Base64 sin salir del navegador.

Generador de slug

Convierte cualquier titular en un slug optimizado para SEO en segundos.

Contador de palabras y caracteres

Calcula al instante cuántas palabras y caracteres contiene cualquier texto.

Imágenes

Previsualiza y valida tus logos BIMI antes de publicarlos.

Inspector de logo BIMI

Analiza la URL de un logo BIMI, su formato, metadatos y visualización.

Certificados

Analiza tus CSR, logotipos BIMI y certificados VMC antes del despliegue.

Analizador de CSR

Analiza un CSR, extrae los datos del sujeto, las huellas y los SAN solicitados.

Inspector VMC

Revisa un Verified Mark Certificate: entidad emisora, validez y SAN antes de publicar BIMI.

IP

Consulta direcciones, propietarios, registros inversos y rangos.

Búsqueda inversa

Resuelve un registro PTR y verifica la coherencia DNS.

WhoIs IP

Identifica al propietario de un rango IP y sus contactos.

Máscara IPv4

Calcula la red, el broadcast y los hosts utilizables de cualquier bloque IPv4.

Mi dirección IP

Detecta tus direcciones IPv4/IPv6 y su geolocalización.

Búsqueda registro CAA

En modo de traza iterativa, se ignora el resolvedor.
Consulta varios resolvedores públicos para comparar las respuestas.

¿Cómo usar correctamente las diferentes opciones del motor de búsqueda DNS?

¿Qué es la traza iterativa?

La traza ejecuta la resolución paso a paso. El resolvedor consulta primero a los servidores raíz, luego a los del TLD (.com, .fr, .eu) y finalmente a los servidores autoritativos de la zona objetivo. En cada etapa la página muestra el servidor consultado, la respuesta, el RCODE y la latencia.

  1. 1. Raíz

    Descubrimiento de los servidores del TLD para el nombre solicitado.

  2. 2. TLD

    Referencia a los NS de la zona (delegación).

  3. 3. Autoritativos

    Respuesta final (o error) con TTL y latencia.

¿Para qué sirve?

  • Comparar respuestas según los resolvedores y las regiones
  • Detectar un caché caliente, un TTL demasiado largo o una delegación incompleta
  • Explicar una diferencia de latencia o un RCODE inesperado

Truco: deja la traza desactivada para las comprobaciones rápidas; actívala cuando investigues o prepares un ticket/post-mortem.

¿Qué es la traza clásica?

La traza clásica consulta únicamente el resolvedor seleccionado (UDP o DoH) y muestra la respuesta tal como se percibe desde ese punto de la red. Obtienes el RCODE, las secciones de la respuesta y la latencia del tramo cliente → resolvedor.

  1. 1. Resolvedor elegido

    Utiliza el preset o la configuración personalizada para lanzar la consulta exactamente como lo haría tu servicio.

  2. 2. Protocolo conservado

    Respeta el transporte seleccionado (UDP, TCP o DoH) para reproducir el comportamiento real.

  3. 3. Respuesta detallada

    Muestra las secciones question, answer y authority/additional cuando existen, con TTL y metadatos útiles.

¿Por qué usarla?

  • Comprobar la visión de un resolvedor específico antes de sospechar de la delegación
  • Confirmar los valores en caché y el impacto de un TTL o de un vaciado
  • Documentar una resolución tal como la ve un cliente o un microservicio

Truco: deja desactivada la opción de traza iterativa cuando audites un resolvedor concreto; actívala después para compararla con el recorrido raíz → TLD → autoritativo.

¿Cómo funciona la prueba de propagación?

La prueba consulta en paralelo un conjunto de resolvedores públicos (Google, Cloudflare, Quad9, OpenDNS, ISP…) y agrupa las respuestas por contenido y RCODE. Ves al instante quién ya aplicó la actualización.

  1. 1. Resolvedores multipunto

    Activa los presets de propagación para consultar a varios actores repartidos por el mundo.

  2. 2. Comparación automática

    Agrupa las respuestas idénticas y señala las divergencias o los errores propios de cada resolvedor.

  3. 3. Resumen accionable

    Ofrece un resumen claro, la lista de resolvedores, sus latencias y el estado de cada grupo.

¿Cuándo usarla?

  • Seguir la difusión de un cambio DNS a escala mundial
  • Identificar cachés aún antiguos y decidir un vaciado específico
  • Compartir un estado de propagación en un ticket o post-mortem

Truco: durante la prueba de propagación la selección de resolvedor queda bloqueada. Desactiva el modo para volver al diagnóstico unitario.

Información adicional sobre los registros DNS tipo CAA

Un registro CAA define qué autoridades de certificación pueden emitir certificados para un dominio. Sirve como salvaguarda. Una autoridad no listada debe rechazar la emisión. El CAA funciona por herencia. Sin regla en un subdominio se aplica la regla del apex.
Un registro CAA contiene un nombre, un tipo, una bandera, una etiqueta, un valor y un TTL. El TTL indica cuánto tiempo la respuesta permanece en caché en el resolutor local.

Ejemplo registro DNS de tipo CAA

NombreTipoFlagTagValorTTL en segundos
@CAA0issue"letsencrypt.org"3600

En este ejemplo la zona autoriza a Let's Encrypt a emitir certificados para el dominio. La bandera a cero conviene para los usos corrientes. El TTL a 3600 corresponde a una hora.

Ejemplos comunes

NombreTipoFlagTagValorFunción
@CAA0issue"digicert.com"Autorizar una autoridad
@CAA0issuewild"letsencrypt.org"Autorizar certificados wildcard
@CAA0iodef"mailto:security@ejemplo.com"Recibir reportes de incidente
@CAA0issue";"Prohibir toda emisión

La etiqueta issue autoriza la emisión de certificados clásicos. La etiqueta issuewild se dirige a los certificados wildcard. La etiqueta iodef indica dónde enviar un reporte en caso de intento no autorizado.

Reglas esenciales

Publicar el CAA en el apex para cubrir todo el dominio. Definir excepciones al nivel de un subdominio si es necesario.
El destino de un MX u otro servicio no cambia nada al CAA. La decisión de emisión se toma sobre el nombre del certificado objetivo.
La bandera crítica existe para usos avanzados. Un valor de ciento veintiocho pide a la autoridad comprender la etiqueta sino rechaza.

TTL explicado claramente

Un TTL corto hace visible un ajuste más rápido. Práctico durante un cambio de autoridad.
Un TTL medio o largo reduce las consultas hacia los servidores autoritarios. Adaptado a una política estable.
Reducir el TTL algunas horas antes del cambio luego subirlo después de la validación.

Bueno saber
La herencia es clave. Una regla establecida en tienda.ejemplo.com reemplaza la del apex para este subdominio. Sin regla local se aplica la regla padre.

Dónde usar un registro CAA

En el apex para definir la política general. En un subdominio para otorgar una excepción controlada como un servicio gestionado por un tercero. Probar luego la emisión real en la autoridad objetivo.

A evitar
Olvidar el iodef que facilita las notificaciones.
Autorizar demasiadas autoridades lo que complica el control.
Dejar un CAA antiguo activo después de un cambio de proveedor.

Verificar en línea

Una búsqueda DNS en línea permite ingresar un nombre de dominio. El resultado muestra las etiquetas CAA y el TTL visible desde Internet. Es un primer control útil. Hacer luego una prueba local desde su máquina.

Verificar bajo Windows

Windows proporciona nslookup. Se puede usar en modo interactivo.

Resolutor local
nslookup
set q=caa
ejemplo.com
Resolutor específico
nslookup
set q=caa
server 1.1.1.1
ejemplo.com

La primera parte interroga según la configuración de red de la máquina. La segunda fuerza el uso de un resolutor tercero aquí el de Cloudflare.

Verificar bajo Linux y bajo Mac

En estos sistemas el comando dig es práctico y fácil de usar.

Resolutor local
dig CAA ejemplo.com
Resolutor específico
dig CAA ejemplo.com @1.1.1.1

Lectura rápida de las respuestas

La presencia de una etiqueta issue o issuewild indica la autoridad autorizada. Un valor con punto y coma solo prohíbe la emisión.
Un TTL restante elevado puede explicar un desfase después de un cambio.
Una ausencia total de CAA significa ninguna restricción. Las autoridades pueden emitir según sus controles habituales.

Procedimiento de migración simple

  1. Listar la autoridad elegida y la eventual necesidad en wildcard.
  2. Publicar los CAA en el apex con un TTL reducido.
  3. Agregar iodef hacia una dirección de contacto funcional.
  4. Probar la emisión de un certificado de prueba en la autoridad.
  5. Subir el TTL cuando todo esté validado.

Consejo práctico
Mantener una ficha con la lista de los CAA publicados. Anotar la fecha, el TTL y la razón del cambio. Conservar la prueba de las pruebas de emisión exitosas.

Casos frecuentes

Limitar a un solo proveedor

Publicar una única etiqueta issue. Verificar que todos los servicios pasen por esta autoridad.

Autorizar wildcard

Agregar issuewild para la misma autoridad. Mantener issue para los certificados no wildcard.

Recibir alertas

Agregar iodef con un correo dedicado o una dirección https de recepción.

Resolución de problemas rápida

  1. Si la emisión falla verificar que la etiqueta issue o issuewild mencione bien la autoridad objetivo.
  2. Si la autoridad reclama una corrección verificar la herencia hasta el apex.
  3. Si el cambio no se tiene en cuenta esperar la expiración del TTL y purgar la caché del resolutor local si es posible.

En resumen, un registro CAA define quién puede emitir certificados para un dominio. Las etiquetas issue, issuewild e iodef cubren la mayoría de las necesidades. La herencia guía la decisión. Un TTL ajustado facilita la transición. La verificación pasa por una herramienta en línea luego por nslookup y por dig.
Con estas referencias la gestión permanece clara. Los cambios se desarrollan sin estrés. Los certificados se emiten según su política.