Por qué la autenticación de email es esencial
Tres piezas que se complementan
SPF indica qué servidores tienen derecho a enviar para tu dominio. La regla se publica en un registro TXT en el apex. Bien configurado, limita la suplantación. Demasiado permisivo, deja pasar abusos.
DKIM firma tus mensajes. La clave pública vive en un TXT bajo selector._domainkey. Una firma válida demuestra que el mensaje no ha sido modificado e indica qué dominio lo firmó.
DMARC vincula la dirección visible a SPF y DKIM. Si SPF o DKIM pasa y está alineado con el dominio del remitente, el mensaje se considera conforme. La política decide entonces el tratamiento en caso de fallo: observación, cuarentena o rechazo.
Lo que ve un servidor destinatario
Al recibir, el servidor lee tus registros DNS y añade una cabecera Authentication-Results. Encontrarás spf=pass o fail, dkim=pass o fail, dmarc=pass o fail, con el dominio evaluado. Esta cabecera es tu verdad de campo. Confirma el efecto real de tu configuración, más allá de la teoría.
Lo que cambia BIMI
BIMI no es un filtro antispam. Muestra un logo validado cuando DMARC está en su lugar con una política aplicada. El logo se solicita mediante un registro DNS dedicado y a veces un certificado VMC. Resultado: el destinatario identifica mejor tu marca y detecta un falso más rápido.
Los errores más comunes
- Dos SPF con el mismo nombre → Fusionar en un único valor
- SPF que supera 10 lookups → Simplificar los include o usar el SPF Flattener
- Selector DKIM mal escrito → La clave se vuelve imposible de encontrar
- Clave pública truncada → La verificación falla silenciosamente
- DMARC sin alineamiento → El mensaje pasa pero no protege la identidad
- Reportes DMARC a buzón no supervisado → Pierdes observabilidad. Usa el Monitoring DMARC para recopilar y visualizar los reportes automáticamente
TTL y propagación DNS
La red no "propaga" en sentido estricto. Almacena en caché según el TTL. Un TTL corto ayuda durante una actualización. Un TTL demasiado corto a largo plazo sobrecarga innecesariamente. Un TTL medio (3600-86400s) estabiliza una configuración validada. Reduce antes de un cambio, restaura después.
Cómo usar la caja de herramientas CaptainDNS
Validadores de sintaxis SPF, DKIM, DMARC
Los validadores leen tus registros brutos y explican cada elemento:
SPF: orden de mecanismos, include, redirect, presencia de all, conteo de consultas DNS, IPs y dominios inexistentes. El objetivo es mantenerse bajo 10 lookups y evitar bucles.
DKIM: lectura de etiquetas v, k, p, t, s. Verificación de longitud de clave, detección de truncamientos, caracteres inválidos y mejores prácticas de rotación.
DMARC: lectura de etiquetas v, p, sp, adkim, aspf, pct, rua, ruf. Verificación del alineamiento elegido y validez de direcciones de reporte.
Inspectores de registros en directo
Los inspectores resuelven DNS y muestran la respuesta tal como se ve desde Internet:
- Inspector SPF: despliega la cadena include, muestra los dominios llamados y dónde se superaría el límite
- Inspector DKIM: resuelve el selector, extrae la clave pública y verifica la consistencia del formato
- Inspector DMARC: lee _dmarc.dominio, muestra la política activa, direcciones rua/ruf y porcentaje de aplicación
Estas herramientas verifican el presente, no la teoría. Ideal para un ticket o un despliegue en producción.
Auditoría de entregabilidad de email
Este control analiza MX, SPF, DKIM y DMARC simultáneamente para responder una pregunta simple: ¿está el dominio listo para enviar? También señala la causa más probable de fallo: SPF demasiado permisivo, clave DKIM faltante, política DMARC no aplicada, alineamiento estricto que falla en un subdominio, MX apuntando a un CNAME.
Generador de registro DMARC
El generador te ayuda a crear registros DMARC completos y conformes con las RFC:
- Configuración de dominio: entrada simple con generación automática del hostname _dmarc
- Políticas flexibles: elige entre none, quarantine y reject con gestión de subdominios
- Reportes integrados: direcciones rua/ruf con validación y guía de implementación
- Opciones avanzadas: alineamientos DKIM/SPF, porcentajes, intervalos y opciones de fallo
La herramienta genera el registro completo listo para publicar y guía al inspector para verificación post-despliegue.
DMARCbis: prepararse para la transición a DMARC v2
DMARCbis sucede a la RFC 7489 y eleva DMARC al rango de Proposed Standard del IETF. El cambio principal: la Public Suffix List es reemplazada por un algoritmo DNS Tree Walk para identificar el dominio organizacional.
Se añaden tres tags (psd, np, t) y se eliminan tres (pct, ri, rf). El reporting se separa en tres documentos normativos distintos.
DMARCbis Checker analiza la compatibilidad de tus registros DMARC con el nuevo estándar. Detecta tags obsoletos, verifica el descubrimiento vía Tree Walk y recomienda los ajustes necesarios.
Migración DMARCbis genera automáticamente un registro conforme al nuevo estándar a partir de tu registro DMARC actual, con un comparativo antes/después.
BIMI operacional
El validador BIMI controla la estructura del registro, prueba la URL HTTPS del logo, verifica las restricciones Tiny-PS y descarga el VMC cuando está disponible. Combinado con DMARC aplicado en quarantine o reject, asegura la visualización de tu logo en clientes webmail compatibles.
MTA-STS para seguridad del transporte
MTA-STS (RFC 8461) añade una capa crítica de protección al imponer cifrado TLS para el correo entrante. Sin MTA-STS, el TLS oportunista puede ser degradado por atacantes. Con MTA-STS, los servidores emisores deben usar TLS o rechazar la entrega.
Herramientas MTA-STS
Validador de sintaxis: Pega tu registro DNS TXT y el contenido del archivo de política. El validador verifica versión, modo, patrones MX y directivas max_age antes de publicar.
Inspector de registro: Introduce un dominio para obtener el registro MTA-STS y archivo de política en directo. Verifica certificados TLS y cruza patrones MX con servidores de correo reales.
Generador: Crea registros y archivos de política MTA-STS conformes. Configura modo testing o enforce, añade patrones MX, establece duración de caché. Salida lista para copiar con instrucciones de despliegue.
Alojamiento MTA-STS: Deja que CaptainDNS aloje tu archivo de política MTA-STS. Sin servidor web que configurar: crea tu política, verifica la propiedad del dominio, apunta un CNAME y listo. HTTPS automático, certificados gestionados y actualizaciones instantáneas al modificar tu política.
Despliegue MTA-STS recomendado
- Genera el registro DNS TXT y el archivo de política
- Aloja el archivo de política: usa el alojamiento MTA-STS para alojamiento sin mantenimiento, o aloja tú mismo en
https://mta-sts.tudominio.com/.well-known/mta-sts.txt - Publica el registro DNS TXT en
_mta-sts.tudominio.com - Empieza en modo testing para identificar problemas sin romper la entrega
- Cambia a enforce una vez verificado que todos los servidores MX soportan TLS
- Monitorea con TLS-RPT para recibir informes de fallos
TLS-RPT para informes de transporte
TLS-RPT (RFC 8460) complementa MTA-STS recibiendo informes sobre fallos de negociación TLS. Sin estos informes, no sabrías si los emails entrantes están fallando silenciosamente por un certificado expirado o una mala configuración.
Validador de sintaxis: Pega tu registro DNS TXT TLS-RPT y valida la conformidad RFC antes de publicar. Verificación de URIs de reporte mailto y HTTPS.
Inspector de registro: Resuelve el registro TLS-RPT de un dominio en directo. Verifica las direcciones de reporte, incluyendo autorizaciones de recepción externa.
Generador: Crea un registro TLS-RPT válido con URIs de reporte mailto y/o HTTPS. Salida lista para copiar en tu zona DNS.
Monitorización TLS-RPT: Sigue los informes TLS-RPT de tus dominios sin salir de CaptainDNS. Visualiza los fallos de negociación TLS, identifica certificados problemáticos y recibe alertas ante anomalías.
DANE/TLSA para autenticación de certificados
DANE (RFC 6698/7672) vincula los certificados TLS a los nombres de dominio mediante registros DNS TLSA firmados con DNSSEC. A diferencia del modelo clásico basado en autoridades de certificación, DANE permite al propietario del dominio especificar exactamente qué certificado debe presentar un servidor.
Validador de sintaxis: Pega un registro TLSA bruto y verifica los campos usage, selector, matching type y datos de certificado antes de publicar. Detecta combinaciones no recomendadas y errores de formato hexadecimal.
Inspector de registro: Introduce un dominio para verificar la configuración DANE completa: resolución MX, consulta TLSA, validación DNSSEC y correspondencia con el certificado TLS del servidor.
Generador: Crea un registro TLSA a partir de tu certificado PEM o directamente desde el servidor via STARTTLS. Soporta DANE-EE, DANE-TA, SHA-256, SHA-512 y selector SPKI.
Despliegue DANE recomendado
- Activa DNSSEC en tu dominio (prerrequisito absoluto)
- Genera el registro TLSA con el generador DANE
- Publica el registro en
_25._tcp.tumailhost - Verifica con el inspector DANE tras la propagación
- Activa TLS-RPT para recibir informes de fallos DANE
- Planifica la rotación: actualiza el registro TLSA antes de cada renovación de certificado
Generadores de registros
Más allá del generador DMARC, la caja de herramientas cubre la creación de registros para cada protocolo:
Generador SPF: Construye un registro SPF válido seleccionando tus proveedores de email preconfigurados (Google Workspace, Microsoft 365, etc.). El generador ensambla mecanismos, verifica el límite de 10 lookups y produce un registro listo para publicar.
SPF Flattener: Aplana tus registros SPF para eliminar includes anidados. La herramienta resuelve cada include en direcciones IP directas, reduciendo los lookups DNS y previniendo errores permerror en producción.
Generador DKIM: Genera un par de claves DKIM (RSA 1024/2048 bits o Ed25519) y el registro DNS TXT asociado. La herramienta produce la clave privada para tu servidor y la clave pública para publicar en DNS.
Generador BIMI: Crea un registro BIMI DNS con la URL de tu logo SVG y certificado VMC opcional. La herramienta verifica los prerrequisitos DMARC y guía la publicación.
DKIM Selector Finder
Encontrar un selector DKIM puede ser tedioso cuando no conoces su nombre. El DKIM Selector Finder consulta automáticamente una base de datos de selectores conocidos (Google, Microsoft, Amazon SES, etc.) y prueba cada uno contra tu dominio. Resultado: la lista de selectores activos con sus claves públicas, sin necesidad de adivinar.
Verificación de reputación y conectividad
Blacklists de IP y dominio
Un SPF y DKIM perfectos no sirven de nada si tu IP o dominio está en una blacklist. El verificador blacklist IP consulta las principales DNSBL (Spamhaus, Barracuda, SORBS, etc.) y el verificador blacklist dominio verifica las listas URI (SURBL, URIBL, etc.). Un dominio en blacklist verá sus emails rechazados o marcados como spam, independientemente de la autenticación.
SMTP/MX Tester
El tester SMTP verifica la conectividad de tus servidores MX: resolución DNS, conexión SMTP, banner, soporte STARTTLS, validez del certificado TLS y detección de open relay. Es el último eslabón: la autenticación DNS es correcta, ¿pero el servidor es realmente alcanzable y seguro?
Método recomendado para despliegue en producción
- Documentar estado inicial: capturas DNS y ejemplos de Authentication-Results
- Reducir TTL antes de cambios (300-600s)
- Desplegar SPF limpio y único, verificar con el inspector
- Publicar clave DKIM en un nuevo selector, probar la firma
- Activar DMARC en p=none, analizar reportes, corregir y luego aplicar
- Añadir BIMI cuando DMARC esté aplicado y logo/VMC pasen validación
- Restaurar TTL cómodo (3600-86400s) cuando esté estable
Seguimiento y operación diaria
Las configuraciones evolucionan con proveedores, subdominios, microservicios y campañas puntuales. Mantén un ciclo simple: control regular, lectura de reportes, rotación de claves, limpieza de includes y selectores obsoletos. Un cambio debe siempre dejar rastro: fecha, autor, valor anterior, valor nuevo, razón. Esto acorta cada diagnóstico.
Herramientas complementarias
| Herramienta | Utilidad |
|---|---|
| Verificador de propagación DNS | Confirmar que tus cambios DNS son visibles mundialmente |
| Búsqueda DNS | Consultar cualquier tipo de registro DNS |
| Whois IP | Identificar el propietario de una dirección IP |
| Verificador blacklist IP | Verificar si tu IP está en una lista negra |
| Verificador blacklist dominio | Verificar si tu dominio está en lista negra |
| Monitoring DMARC | Recopilar y visualizar los reportes DMARC agregados de tus dominios |
| SMTP/MX Tester | Probar conectividad SMTP, STARTTLS y certificados TLS |
Recursos útiles
- RFC 7208 - Sender Policy Framework (SPF) (especificación oficial)
- RFC 6376 - DomainKeys Identified Mail (DKIM) (especificación oficial)
- RFC 7489 - Domain-based Message Authentication (DMARC) (especificación oficial)
- RFC 8461 - MTA Strict Transport Security (MTA-STS) (especificación oficial)
- RFC 8460 - SMTP TLS Reporting (TLS-RPT) (especificación oficial)
- RFC 6698 - DNS-Based Authentication of Named Entities (DANE) (especificación oficial)
- RFC 7672 - SMTP Security via Opportunistic DANE TLS (DANE para SMTP)
- Google - Directrices para remitentes de email (requisitos Gmail)
- Microsoft - Autenticación de email en Microsoft 365 (guía Outlook/M365)