¿Cuál es la diferencia entre un validador de sintaxis y un inspector de registro?

Un validador de sintaxis analiza un registro DNS bruto que pegas, sin resolución DNS. Un inspector resuelve el dominio en directo desde Internet y muestra la respuesta tal como la ven los servidores de correo.

¿En qué orden configurar SPF, DKIM y DMARC?

Empieza con SPF para autorizar tus servidores de envío, luego configura DKIM para firmar tus mensajes. Activa DMARC en modo p=none para observar, después pasa gradualmente a quarantine y reject.

¿Por qué mis emails van a spam a pesar de tener SPF y DKIM válidos?

SPF y DKIM válidos no siempre son suficientes. Verifica el alineamiento DMARC (el dominio SPF/DKIM debe coincidir con From), la reputación de tu IP, y usa el probador de email para un diagnóstico completo.

¿Qué es el límite de 10 lookups DNS para SPF?

Cada mecanismo include, a, mx, ptr y redirect dispara una consulta DNS. La especificación SPF limita estas consultas a 10 por verificación. Por encima, SPF devuelve permerror y tus emails pueden ser rechazados.

¿Es necesario BIMI para una buena entregabilidad?

No, BIMI no afecta la entregabilidad. Es una capa de identidad visual que muestra tu logo en clientes webmail compatibles. Requiere DMARC en quarantine o reject para funcionar.

¿Cómo sé si mi clave DKIM es demasiado corta?

El inspector DKIM muestra la longitud de la clave pública. Las claves de 1024 bits son aceptadas pero se recomiendan 2048 bits. Las claves de 512 bits se consideran débiles y pueden ser rechazadas.

¿Qué significa alineamiento estricto vs relajado en DMARC?

El alineamiento estricto exige coincidencia exacta entre el dominio From y el dominio SPF/DKIM. El alineamiento relajado acepta subdominios. Por defecto, DMARC usa relajado para mayor flexibilidad.

¿Qué es MTA-STS y por qué lo necesito?

MTA-STS (Mail Transfer Agent Strict Transport Security) impone el cifrado TLS para el correo entrante. Previene ataques man-in-the-middle y de degradación indicando a los servidores emisores que exijan TLS al conectarse a tus servidores de correo.

¿Cómo funciona MTA-STS con DMARC?

MTA-STS y DMARC son complementarios. DMARC valida la identidad del remitente, mientras MTA-STS impone el cifrado del transporte. Juntos protegen tanto la autenticidad como la confidencialidad de tu correo.

Herramientas SPF DKIM DMARC MTA-STS - Valida autenticación email

Validadores de sintaxis

Validador de sintaxis SPF

Controla tu cadena SPF antes de modificar. Verifica el orden de mecanismos, cuenta los lookups DNS y evita exceder límites.

Validador de sintaxis DKIM

Pega un registro DKIM bruto y verifica cada etiqueta antes de publicar. Detecta errores de sintaxis, claves truncadas y opciones inválidas.

Validador de sintaxis DMARC

Valida las etiquetas p=, sp=, adkim=, aspf= y verifica las direcciones de reporte rua/ruf antes de publicar.

Validador de sintaxis BIMI

Verifica la conformidad Tiny-PS de tu logo SVG, la URL HTTPS y la presencia del certificado VMC.

Validador de sintaxis MTA-STS

Valida tu registro DNS TXT MTA-STS y el contenido del archivo de política sin conexión. Verifica versión, modo, patrones MX y max_age antes del despliegue.

Validador de sintaxis TLS-RPT

Valide registros TXT TLS-RPT sin conexión antes de implementar.

Inspectores de registros

Inspector de registro SPF

Resuelve el dominio y despliega la cadena SPF completa. Detecta dónde se superaría el límite de 10 consultas DNS.

Inspector de registro DKIM

Resuelve un selector DKIM en directo desde Internet. Visualiza la clave pública, su longitud y detecta problemas de rotación.

Inspector de registro DMARC

Resuelve _dmarc.dominio, visualiza la política activa y el porcentaje de aplicación. Verifica antes de pasar a reject.

Inspector de registro BIMI

Resuelve default._bimi.dominio, descarga el logo y verifica el VMC antes de desplegar tu identidad visual.

Inspector de registro MTA-STS

Resuelve registros MTA-STS en directo. Obtén el archivo de política, verifica certificados TLS y cruza los patrones MX con tus servidores de correo.

Inspector de registros TLS-RPT

Verifique la configuración TLS-RPT para cualquier dominio con verificación de RUA externos.

DKIM Selector Finder

Descubre automáticamente todos los selectores DKIM configurados para un dominio sin conocer sus nombres.

Generadores de registros

Generador de Registro SPF

Genere un registro SPF válido con proveedores de email preconfigurados.

SPF Flattener

Aplana tus registros SPF para eliminar includes anidados y cumplir con el límite de 10 consultas DNS.

Generador DKIM

Genere pares de claves DKIM (RSA/Ed25519) y registros DNS TXT.

Generador de registro DMARC

Crea un registro DMARC completo con todas las opciones: políticas, alineamientos, reportes, porcentajes. Listo para publicar.

Generador MTA-STS

Genera registros y archivos de política MTA-STS conformes con RFC 8461. Configura modo, patrones MX y duración de caché con guía paso a paso.

Generador TLS-RPT

Genere registros DNS TLS-RPT con URIs de reporte mailto y HTTPS.

Generador de registros BIMI

Genera registros BIMI DNS con URL del logo y certificado VMC opcional.

Herramientas de entregabilidad

Auditoría de entregabilidad de email

Analiza MX, SPF, DKIM y DMARC simultáneamente. Identifica en segundos las causas que bloquean la entregabilidad.

Probador de email

Envía un email de prueba y obtén una puntuación de entregabilidad sobre 100. Diagnóstico completo con acciones recomendadas.

Analizador de cabeceras de email

Pega las cabeceras brutas de un email recibido. Identifica el remitente, verifica SPF/DKIM/DMARC y traza el enrutamiento completo.

Verificador blacklist IP

Verifica si tu IP está en listas negras

Verificador blacklist dominio

Verifica si tu dominio está en listas negras URI

Por qué la autenticación de email es esencial

Tres piezas que se complementan

SPF indica qué servidores tienen derecho a enviar para tu dominio. La regla se publica en un registro TXT en el apex. Bien configurado, limita la suplantación. Demasiado permisivo, deja pasar abusos.

DKIM firma tus mensajes. La clave pública vive en un TXT bajo selector._domainkey. Una firma válida demuestra que el mensaje no ha sido modificado e indica qué dominio lo firmó.

DMARC vincula la dirección visible a SPF y DKIM. Si SPF o DKIM pasa y está alineado con el dominio del remitente, el mensaje se considera conforme. La política decide entonces el tratamiento en caso de fallo: observación, cuarentena o rechazo.

Lo que ve un servidor destinatario

Al recibir, el servidor lee tus registros DNS y añade una cabecera Authentication-Results. Encontrarás spf=pass o fail, dkim=pass o fail, dmarc=pass o fail, con el dominio evaluado. Esta cabecera es tu verdad de campo. Confirma el efecto real de tu configuración, más allá de la teoría.

Lo que cambia BIMI

BIMI no es un filtro antispam. Muestra un logo validado cuando DMARC está en su lugar con una política aplicada. El logo se solicita mediante un registro DNS dedicado y a veces un certificado VMC. Resultado: el destinatario identifica mejor tu marca y detecta un falso más rápido.

Los errores más comunes

Dos SPF con el mismo nombre → Fusionar en un único valor
SPF que supera 10 lookups → Simplificar los include o usar el SPF Flattener
Selector DKIM mal escrito → La clave se vuelve imposible de encontrar
Clave pública truncada → La verificación falla silenciosamente
DMARC sin alineamiento → El mensaje pasa pero no protege la identidad
Reportes DMARC a buzón no supervisado → Pierdes observabilidad

TTL y propagación DNS

La red no "propaga" en sentido estricto. Almacena en caché según el TTL. Un TTL corto ayuda durante una actualización. Un TTL demasiado corto a largo plazo sobrecarga innecesariamente. Un TTL medio (3600-86400s) estabiliza una configuración validada. Reduce antes de un cambio, restaura después.

Cómo usar la caja de herramientas CaptainDNS

Validadores de sintaxis SPF, DKIM, DMARC

Los validadores leen tus registros brutos y explican cada elemento:

SPF: orden de mecanismos, include, redirect, presencia de all, conteo de consultas DNS, IPs y dominios inexistentes. El objetivo es mantenerse bajo 10 lookups y evitar bucles.

DKIM: lectura de etiquetas v, k, p, t, s. Verificación de longitud de clave, detección de truncamientos, caracteres inválidos y mejores prácticas de rotación.

DMARC: lectura de etiquetas v, p, sp, adkim, aspf, pct, rua, ruf. Verificación del alineamiento elegido y validez de direcciones de reporte.

Inspectores de registros en directo

Los inspectores resuelven DNS y muestran la respuesta tal como se ve desde Internet:

Inspector SPF: despliega la cadena include, muestra los dominios llamados y dónde se superaría el límite
Inspector DKIM: resuelve el selector, extrae la clave pública y verifica la consistencia del formato
Inspector DMARC: lee _dmarc.dominio, muestra la política activa, direcciones rua/ruf y porcentaje de aplicación

Estas herramientas verifican el presente, no la teoría. Ideal para un ticket o un despliegue en producción.

Auditoría de entregabilidad de email

Este control analiza MX, SPF, DKIM y DMARC simultáneamente para responder una pregunta simple: ¿está el dominio listo para enviar? También señala la causa más probable de fallo: SPF demasiado permisivo, clave DKIM faltante, política DMARC no aplicada, alineamiento estricto que falla en un subdominio, MX apuntando a un CNAME.

Generador de registro DMARC

El generador te ayuda a crear registros DMARC completos y conformes con las RFC:

Configuración de dominio: entrada simple con generación automática del hostname _dmarc
Políticas flexibles: elige entre none, quarantine y reject con gestión de subdominios
Reportes integrados: direcciones rua/ruf con validación y guía de implementación
Opciones avanzadas: alineamientos DKIM/SPF, porcentajes, intervalos y opciones de fallo

La herramienta genera el registro completo listo para publicar y guía al inspector para verificación post-despliegue.

BIMI operacional

El validador BIMI controla la estructura del registro, prueba la URL HTTPS del logo, verifica las restricciones Tiny-PS y descarga el VMC cuando está disponible. Combinado con DMARC aplicado en quarantine o reject, asegura la visualización de tu logo en clientes webmail compatibles.

MTA-STS para seguridad del transporte

MTA-STS (RFC 8461) añade una capa crítica de protección al imponer cifrado TLS para el correo entrante. Sin MTA-STS, el TLS oportunista puede ser degradado por atacantes. Con MTA-STS, los servidores emisores deben usar TLS o rechazar la entrega.

Herramientas MTA-STS

Validador de sintaxis: Pega tu registro DNS TXT y el contenido del archivo de política. El validador verifica versión, modo, patrones MX y directivas max_age antes de publicar.

Inspector de registro: Introduce un dominio para obtener el registro MTA-STS y archivo de política en directo. Verifica certificados TLS y cruza patrones MX con servidores de correo reales.

Generador: Crea registros y archivos de política MTA-STS conformes. Configura modo testing o enforce, añade patrones MX, establece duración de caché. Salida lista para copiar con instrucciones de despliegue.

Despliegue MTA-STS recomendado

Genera el registro DNS TXT y el archivo de política
Aloja el archivo de política en https://mta-sts.tudominio.com/.well-known/mta-sts.txt
Publica el registro DNS TXT en _mta-sts.tudominio.com
Empieza en modo testing para identificar problemas sin romper la entrega
Cambia a enforce una vez verificado que todos los servidores MX soportan TLS
Monitorea con TLS-RPT para recibir informes de fallos

Método recomendado para despliegue en producción

Documentar estado inicial: capturas DNS y ejemplos de Authentication-Results
Reducir TTL antes de cambios (300-600s)
Desplegar SPF limpio y único, verificar con el inspector
Publicar clave DKIM en un nuevo selector, probar la firma
Activar DMARC en p=none, analizar reportes, corregir y luego aplicar
Añadir BIMI cuando DMARC esté aplicado y logo/VMC pasen validación
Restaurar TTL cómodo (3600-86400s) cuando esté estable

Seguimiento y operación diaria

Las configuraciones evolucionan con proveedores, subdominios, microservicios y campañas puntuales. Mantén un ciclo simple: control regular, lectura de reportes, rotación de claves, limpieza de includes y selectores obsoletos. Un cambio debe siempre dejar rastro: fecha, autor, valor anterior, valor nuevo, razón. Esto acorta cada diagnóstico.

Herramientas complementarias

Herramienta	Utilidad
Verificador de propagación DNS	Confirmar que tus cambios DNS son visibles mundialmente
Búsqueda DNS	Consultar cualquier tipo de registro DNS
Whois IP	Identificar el propietario de una dirección IP
Verificador blacklist IP	Verificar si tu IP está en una lista negra
Verificador blacklist dominio	Verificar si tu dominio está en lista negra

Recursos útiles

RFC 7208 - Sender Policy Framework (SPF) (especificación oficial)
RFC 6376 - DomainKeys Identified Mail (DKIM) (especificación oficial)
RFC 7489 - Domain-based Message Authentication (DMARC) (especificación oficial)
Google - Directrices para remitentes de email (requisitos Gmail)
Microsoft - Autenticación de email en Microsoft 365 (guía Outlook/M365)