¿Dónde encuentro mi registro SPF?

El registro SPF es un TXT en la raíz del dominio (@). Comienza con v=spf1 y lista los servidores autorizados a enviar emails para su dominio.

¿Cómo verifico un registro DKIM?

El registro DKIM es un TXT en selector._domainkey.sudominio.com. El selector depende de su proveedor de email. Busque v=DKIM1 en el valor.

¿Dónde está mi registro DMARC?

El registro DMARC es un TXT en _dmarc.sudominio.com. Comienza con v=DMARC1 y define la política para emails que fallan SPF o DKIM.

¿Puedo tener múltiples registros TXT?

Sí, puede tener múltiples TXT en el mismo nombre. Sin embargo, para SPF, debe tener solo UN registro que comience con v=spf1. Múltiples SPF causan fallos.

Mi TXT está truncado, ¿por qué?

Los registros TXT de más de 255 caracteres se dividen en múltiples cadenas. Esto es normal. El resolutor los recombina automáticamente.

¿Cómo elimino un token de verificación antiguo?

Una vez completada la verificación, puede eliminar el TXT temporal desde su interfaz DNS. Siempre conserve sus registros SPF, DKIM y DMARC.

Búsqueda registro TXT

Verifique SPF, DKIM, DMARC y sus configuraciones textuales

¿Problemas de autenticación de email? Verifique que sus registros TXT para SPF, DKIM y DMARC estén correctamente publicados y propagados.

Host

Tipo

Resolvedor

Trazado iterativo

En modo de traza iterativa, se ignora el resolvedor.

Prueba de propagación

Consulta varios resolvedores públicos para comparar las respuestas.

SPF, DKIM, DMARC

Muestre los registros de autenticación de email. Identifique rápidamente errores de sintaxis o registros faltantes.

Verificaciones de dominio

Consulte los tokens de verificación (Google, Microsoft, etc.) publicados en su zona DNS.

Sintaxis completa

Visualice el valor completo de cada TXT, incluso registros largos con concatenación.

Multi-resolutor

Compare las respuestas de Google, Cloudflare, Quad9 para detectar problemas de propagación.

Gratuito e ilimitado

Pruebe tantos dominios como necesite. Sin registro requerido.

¿Cómo usar correctamente las diferentes opciones del motor de búsqueda DNS?

¿Qué es la traza iterativa?

La traza ejecuta la resolución paso a paso. El resolvedor consulta primero a los servidores raíz, luego a los del TLD (.com, .fr, .eu) y finalmente a los servidores autoritativos de la zona objetivo. En cada etapa la página muestra el servidor consultado, la respuesta, el RCODE y la latencia.

1. Raíz
Descubrimiento de los servidores del TLD para el nombre solicitado.
2. TLD
Referencia a los NS de la zona (delegación).
3. Autoritativos
Respuesta final (o error) con TTL y latencia.

¿Para qué sirve?

Comparar respuestas según los resolvedores y las regiones
Detectar un caché caliente, un TTL demasiado largo o una delegación incompleta
Explicar una diferencia de latencia o un RCODE inesperado

Truco: deja la traza desactivada para las comprobaciones rápidas; actívala cuando investigues o prepares un ticket/post-mortem.

¿Qué es la traza clásica?

La traza clásica consulta únicamente el resolvedor seleccionado (UDP o DoH) y muestra la respuesta tal como se percibe desde ese punto de la red. Obtienes el RCODE, las secciones de la respuesta y la latencia del tramo cliente → resolvedor.

1. Resolvedor elegido
Utiliza el preset o la configuración personalizada para lanzar la consulta exactamente como lo haría tu servicio.
2. Protocolo conservado
Respeta el transporte seleccionado (UDP, TCP o DoH) para reproducir el comportamiento real.
3. Respuesta detallada
Muestra las secciones question, answer y authority/additional cuando existen, con TTL y metadatos útiles.

¿Por qué usarla?

Comprobar la visión de un resolvedor específico antes de sospechar de la delegación
Confirmar los valores en caché y el impacto de un TTL o de un vaciado
Documentar una resolución tal como la ve un cliente o un microservicio

Truco: deja desactivada la opción de traza iterativa cuando audites un resolvedor concreto; actívala después para compararla con el recorrido raíz → TLD → autoritativo.

¿Cómo funciona la prueba de propagación?

La prueba consulta en paralelo un conjunto de resolvedores públicos (Google, Cloudflare, Quad9, OpenDNS, ISP…) y agrupa las respuestas por contenido y RCODE. Ves al instante quién ya aplicó la actualización.

1. Resolvedores multipunto
Activa los presets de propagación para consultar a varios actores repartidos por el mundo.
2. Comparación automática
Agrupa las respuestas idénticas y señala las divergencias o los errores propios de cada resolvedor.
3. Resumen accionable
Ofrece un resumen claro, la lista de resolvedores, sus latencias y el estado de cada grupo.

¿Cuándo usarla?

Seguir la difusión de un cambio DNS a escala mundial
Identificar cachés aún antiguos y decidir un vaciado específico
Compartir un estado de propagación en un ticket o post-mortem

Truco: durante la prueba de propagación la selección de resolvedor queda bloqueada. Desactiva el modo para volver al diagnóstico unitario.

¿Qué es un registro TXT?

Un registro TXT (Text) publica texto arbitrario asociado a un nombre de dominio. Es un formato versátil usado para muchas aplicaciones, incluyendo autenticación de email y verificación de propiedad.

Estructura de un registro TXT:

Campo	Descripción	Ejemplo
Nombre	El dominio o subdominio	`@` o `_dmarc`
Tipo	Siempre `TXT`	`TXT`
Valor	Texto libre	`"v=spf1 include:_spf.google.com -all"`
TTL	Duración de caché en segundos	`3600`

Registros TXT comunes

SPF (Sender Policy Framework)

Publicado en la raíz del dominio. Define los servidores autorizados a enviar emails.

captaindns.com.  3600  IN  TXT  "v=spf1 include:_spf.google.com -all"

DKIM (DomainKeys Identified Mail)

Publicado en selector._domainkey.dominio.com. Contiene la clave pública para verificar firmas.

selector._domainkey.captaindns.com.  3600  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBg..."

DMARC (Domain-based Message Authentication)

Publicado en _dmarc.dominio.com. Define la política cuando SPF/DKIM fallan.

_dmarc.captaindns.com.  3600  IN  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com"

Buenas prácticas

SPF

Regla	Explicación
Un solo registro SPF	Múltiples v=spf1 causan fallos
Máximo 10 lookups DNS	Cuente include, a, mx (no ip4/ip6)
Terminar con -all o ~all	Define el comportamiento por defecto

DKIM

Regla	Explicación
Clave mínimo 2048 bits	RSA 1024 bits está obsoleto
Un selector por servicio	Facilita la rotación

DMARC

Regla	Explicación
Comenzar con p=none	Observe sin bloquear durante la configuración
Configurar rua	Reciba reportes para diagnóstico

Herramientas complementarias

Herramienta	Utilidad
Inspector SPF	Análisis y validación SPF detallada
Inspector DKIM	Verificación de clave y firma DKIM
Inspector DMARC	Análisis de política DMARC
Probador de email	Prueba completa SPF/DKIM/DMARC desde su servidor

Recursos útiles

RFC 7208 - SPF (especificación SPF)
RFC 6376 - DKIM (especificación DKIM)
RFC 7489 - DMARC (especificación DMARC)