Iniciar sesión
CaptainDNS

Propagación y diagnósticos

Compara resolutores públicos y analiza las respuestas devueltas.

Autenticación de correo

Herramientas para verificar y validar la autenticación de tu correo.

Validador de sintaxis SPF

Revisa las cadenas include, el orden de los mecanismos y el límite de 10 consultas DNS antes de publicar cambios.

Inspector de registros SPF

Resuelve el TXT publicado, detecta límites de consultas y examina cada mecanismo con detalle.

Validador de sintaxis DKIM

Comprueba rápidamente la sintaxis de tus registros DKIM.

Verificación de registro DKIM

Resuelve un selector y analiza el registro TXT DKIM publicado.

Validador de sintaxis DMARC

Comprueba los destinos rua/ruf, los modos de alineación y la política activa antes de publicarla.

Inspector de registros DMARC

Resuelve la política publicada, revisa los diagnósticos y confirma la aplicación antes de activar el rechazo.

Validador de sintaxis BIMI

Valida las etiquetas BIMI, el logotipo y el certificado VMC antes de publicarlo.

Inspector de registros BIMI

Resuelve el registro BIMI publicado y revisa los diagnósticos de logo y VMC en un solo lugar.

Auditoría de entregabilidad de email

Analiza MX, SPF, DKIM y DMARC para confirmar que un dominio está listo para enviar.

Analizador de encabezados

Descifra participantes, resultados SPF/DKIM/DMARC y el recorrido del mensaje a partir de los encabezados brutos.

Generador de registros DMARC

Crea registros DMARC conformes con todas las opciones de política y reporte.

Texto

Transforma, codifica y mide tus textos al instante.

Convertidor de mayúsculas/minúsculas

Convierte cualquier bloque de texto a minúsculas o mayúsculas al instante.

Codificador / decodificador Base64

Codifica o decodifica contenido Base64 sin salir del navegador.

Generador de slug

Convierte cualquier titular en un slug optimizado para SEO en segundos.

Contador de palabras y caracteres

Calcula al instante cuántas palabras y caracteres contiene cualquier texto.

Imágenes

Previsualiza y valida tus logos BIMI antes de publicarlos.

Inspector de logo BIMI

Analiza la URL de un logo BIMI, su formato, metadatos y visualización.

Certificados

Analiza tus CSR, logotipos BIMI y certificados VMC antes del despliegue.

Analizador de CSR

Analiza un CSR, extrae los datos del sujeto, las huellas y los SAN solicitados.

Inspector VMC

Revisa un Verified Mark Certificate: entidad emisora, validez y SAN antes de publicar BIMI.

IP

Consulta direcciones, propietarios, registros inversos y rangos.

Búsqueda inversa

Resuelve un registro PTR y verifica la coherencia DNS.

WhoIs IP

Identifica al propietario de un rango IP y sus contactos.

Máscara IPv4

Calcula la red, el broadcast y los hosts utilizables de cualquier bloque IPv4.

Mi dirección IP

Detecta tus direcciones IPv4/IPv6 y su geolocalización.

Auditar la salud DNS de un dominio

¿Por qué realizar una auditoría completa?

Un dominio bien configurado responde rápido y de forma predecible. Cuando la delegación al padre es exacta, cada servidor es accesible en IPv4 e IPv6, el SOA está sincronizado y los ajustes básicos están limpios, las fallas casi siempre desaparecen. Esta auditoría verifica todo esto rastreando la cadena real de resolución. Primero compara la vista del padre con la vista de tu zona, luego consulta cada servidor para ver si responde autoritativamente, acepta UDP y TCP, y si sus respuestas son coherentes con las de sus pares. Obtienes una lectura fiel del estado del dominio en el momento en que lanzas el control.

¿Cómo funciona la auditoría?

El control comienza en el lado del padre. Lee la lista de NS publicada en el registro, así como las direcciones pegadas al padre cuando son necesarias. Estas direcciones de asistencia se llaman glue. Solo sirven si el nombre del servidor pertenece al dominio que auditas. La auditoría luego recupera la lista de NS de la zona misma y compara ambas vistas. Si hay una discrepancia, la resolución se vuelve aleatoria. Un resolver puede seguir la pista del padre, otro seguir la zona. El diagnóstico entonces reporta una diferencia padre-zona y te dice qué corregir.

Una vez validada la delegación, la herramienta consulta cada servidor. Prueba la resolución en IPv4 e IPv6 cuando es posible. Mide la latencia y verifica que el servidor responda autoritativamente para el dominio. También verifica que la recursión esté desactivada en un servidor autoritativo y que las transferencias de zona no estén abiertas a cualquiera. Si una respuesta está truncada en UDP, verifica que TCP tome el relevo. Estos puntos evitan errores sutiles que solo se ven bajo carga o con una respuesta voluminosa.

Delegación, glue y lame delegation

La delegación al padre debe apuntar a servidores que sepan responder autoritativamente para tu zona. Cuando el padre apunta a un host que no es autoritativo, se habla de lame delegation. Los resolvers pierden tiempo, a veces se rinden, y ves SERVFAIL. La auditoría detecta este caso e indica claramente qué servidor causa el problema. También verifica la frescura de los glue. Un glue obsoleto ocurre cuando la dirección de un NS ha cambiado pero el registro del padre no se ha actualizado. Resultado simple: algunos resolvers tienen la dirección correcta vía la zona, otros continúan intentando la dirección antigua vía el padre. El informe te guía para actualizar los glue en el registrador.

Accesibilidad de red y transporte

Un servidor autoritativo debe responder en UDP. También debe aceptar TCP cuando una respuesta excede el tamaño previsto. Cortafuegos demasiado estrictos rompen este respaldo. La auditoría intenta ambos modos y te dice si TCP está bloqueado. Verifica la presencia de IPv4. Señala la ausencia de IPv6 como una mejora posible en lugar de un error bloqueante. Finalmente, recuerda que un servidor autoritativo no debe hacer recursión y que una transferencia de zona no debe estar abierta al público. Estos puntos conciernen la seguridad y la estabilidad.

Coherencia de respuestas y SOA

Todos los servidores de una misma zona deben publicar el mismo conjunto NS, el mismo serial SOA y los mismos datos en el instante T. Cuando un servidor no ha recibido la última versión, ves respuestas diferentes según el servidor consultado. El diagnóstico lee el SOA en cada host y verifica que el serial avance de forma monótona. También examina las temporizaciones del SOA. Un refresh razonable permite a los secundarios seguir al primario. Un retry corto acelera la recuperación después de un fallo. Un expire suficiente evita que un secundario abandone la zona demasiado rápido. El TTL mínimo sirve para el caché negativo y debe permanecer medido. El informe comenta estos valores de manera práctica, sin dogma, para ajustarse a tu ritmo de cambio.

IPv4 e IPv6

La presencia de IPv6 no es obligatoria pero se está convirtiendo en un estándar. Activar IPv6 en tus NS elimina una fuente de errores del lado de visitantes y robots que priorizan esta pila cuando existe. La auditoría prueba ambas pilas cuando están publicadas. Señala la ausencia de AAAA como una oportunidad de mejora y no como un fallo.

DNSSEC si lo usas

Si tu dominio está firmado, la auditoría verifica que el padre publique un DS que corresponda a las claves de la zona. Lee los DNSKEY y verifica si las firmas son válidas en el apex. Una discrepancia entre DS y claves rompe la cadena de confianza. El informe explica qué actualizar primero y recuerda el orden de las operaciones durante un cambio de clave.

Leer el resultado y actuar

La parte superior del informe resume el estado general. Los puntos clasificados como errores bloquean o degradan francamente la resolución. Corrige las diferencias padre-zona, los glue faltantes, un TCP cerrado, una lame delegation o un serial divergente con prioridad. Los puntos clasificados como advertencias mejoran la calidad sin ser bloqueantes. Un IPv6 ausente, una dispersión de NS débil, temporizaciones SOA poco realistas entran en esta categoría. Cada punto viene acompañado de una frase de acción concreta. Sabes qué hacer y dónde hacerlo, en la zona o en el registrador.

Escenarios concretos

Antes de cambiar de proveedor DNS, lanza la auditoría y luego reduce los TTL de los registros críticos. Agrega los nuevos NS, actualiza la delegación en el registro, declara los glue si tus NS están en tu dominio, espera el final de los cachés, luego relanza la auditoría. Validas que el padre y la zona cuentan la misma historia y que todos los servidores responden autoritativamente con el mismo SOA.

Después de un cambio de dirección en un NS, verifica inmediatamente el glue en el padre. Mientras la dirección antigua permanezca publicada, parte del tráfico continúa yendo al lugar equivocado. La auditoría pone este punto frente a ti con la dirección exacta a corregir.

Si los usuarios ven errores aleatorios, consulta la sección de coherencia. Un serial congelado o un NS que no ha recibido la última zona explica a menudo un comportamiento intermitente. El control te muestra qué servidor está retrasado y te da el orden de puesta en línea.

Buenas prácticas simples

  • Mantén al menos dos NS en redes distintas.
  • Actualiza la delegación y los glue con cada cambio.
  • Deja TCP abierto en los autoritativos.
  • Desactiva la recursión y bloquea las transferencias de zona.
  • Elige temporizaciones SOA adaptadas a tu cadencia de actualización.
  • Activa IPv6 cuando puedas.
  • Documenta cada modificación con la fecha y la razón.

Son gestos cortos que evitan incidentes largos.

Lo que ganas

Un dominio que pasa la auditoría se resuelve en todas partes de la misma manera. Los cambios se propagan según el TTL elegido y no al azar. Reduces los tickets relacionados con una "propagación" interminable que en realidad es solo un caché mal anticipado. También detectas debilidades que no se ven durante un simple lookup, como una lame delegation o un TCP cerrado. El resultado es un plan de acción claro. Corriges, verificas, pasas página.

Privacidad y perímetro

El control consulta únicamente información pública. Contacta tu zona y el padre como lo haría un resolver. No se requieren datos privados. La herramienta no almacena tu configuración. Solo se conservan métricas técnicas anónimas para monitorear la disponibilidad del servicio.

Con esta auditoría, partes de los hechos. Padre y zona están alineados o no lo están. Los servidores responden autoritativamente o no lo hacen. El SOA está sincronizado o queda atrás. Ganas una visión clara de tu dominio y un camino simple para corregir lo que debe corregirse.