Ir al contenido principal

Nuevo

Prueba la entregabilidad de tus correos

Envía un correo de prueba y obtén un diagnóstico completo de tu autenticación SPF, DKIM y DMARC en segundos.

  • Prueba de envío real
  • Diagnóstico instantáneo
  • Sin registro
Iniciar la prueba

DMARC Checker

DMARC check y lookup con consulta DNS en directo - corrige tus fallos DMARC

¿Por qué está fallando tu DMARC? Introduce tu dominio para un DMARC check completo con lookup DNS, validación de política y verificación de alineación.

Lookup DNS en directo

La herramienta consulta _dmarc.captaindns.com y muestra exactamente lo que ven Gmail, Outlook y todos los servidores destinatarios.

Análisis completo de etiquetas

Política p/sp, alineaciones adkim/aspf, porcentaje pct, destinos rua/ruf: cada etiqueta es extraída e interpretada.

Detección de errores

Registro ausente, política inválida, etiquetas duplicadas: los problemas bloqueantes se identifican con explicación clara.

Verificación de reportes

Los URIs rua y ruf son validados. La herramienta detecta direcciones externas que requieren autorización _report._dmarc.

Verificación de propagación

Compare respuestas entre resolvedores para confirmar la propagación DNS después de modificar el registro.

¿Por qué inspeccionar su registro DMARC?

Un registro DMARC mal configurado en DNS puede:

  • Ser ignorado por los servidores destinatarios (Gmail, Outlook, Yahoo)
  • Bloquear sus emails legítimos si la política es demasiado estricta demasiado pronto
  • Dejar su dominio vulnerable al spoofing y phishing si la política está ausente

El inspector DMARC (DMARC record checker, DMARC lookup) consulta el DNS en tiempo real para mostrar exactamente lo que ven los servidores destinatarios. Usted detecta errores de publicación antes de que impacten su entregabilidad.

Casos de uso comunes:

  • Después de publicar → Verificar que el registro está correctamente propagado
  • Problemas de entregabilidad → Diagnosticar una configuración DMARC defectuosa
  • Auditoría de seguridad → Validar la protección contra spoofing de un dominio

Cómo usar el inspector DMARC en 3 pasos

Paso 1: Ingresar el dominio a analizar

Ingrese el dominio exactamente como aparece en sus direcciones de email:

  • captaindns.com (dominio principal)
  • marketing.captaindns.com (subdominio si envía desde un subdominio)

La herramienta consulta automáticamente _dmarc.dominio y recupera el registro TXT publicado.

Paso 2: Analizar los resultados

El inspector muestra:

ElementoDescripción
Política (p=)none, quarantine o reject - tratamiento de emails no autenticados
Política subdominios (sp=)Política específica para subdominios si es diferente
Alineación DKIM (adkim=)strict (s) o relaxed (r) - correspondencia dominio DKIM/From
Alineación SPF (aspf=)strict (s) o relaxed (r) - correspondencia dominio SPF/From
Porcentaje (pct=)Parte del tráfico sujeta a la política
Reportes agregados (rua=)Destinos de reportes XML diarios
Reportes forenses (ruf=)Destinos de reportes por mensaje

Paso 3: Corregir las alertas

Los resultados se clasifican por nivel de gravedad:

  • Error → Problema bloqueante, el registro es ignorado
  • ⚠️ Advertencia → Funcional pero mejora recomendada
  • Válido → Configuración correcta

Corrija los errores en su DNS, espere la propagación, luego ejecute la inspección nuevamente.

¿Qué es DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance) es un protocolo que:

  1. Vincula SPF y DKIM al dominio visible en la dirección From
  2. Define una política de tratamiento de emails no autenticados
  3. Genera reportes para seguir la autenticación de sus emails

El registro DMARC se publica como un registro TXT en _dmarc.sudominio.com.

Ejemplo de registro DMARC:

v=DMARC1; p=quarantine; rua=mailto:dmarc@captaindns.com; adkim=r; aspf=r; pct=100

Este registro indica:

  • Poner en cuarentena (spam) los emails no autenticados
  • Enviar los reportes a dmarc@captaindns.com
  • Usar alineación relaxed para DKIM y SPF
  • Aplicar la política al 100% de los mensajes

Lo que verifica el inspector DMARC

Resolución DNS

VerificaciónError si...
Registro TXT existeNingún TXT en _dmarc.dominio
Registro DMARC presenteTXT existe pero no comienza con v=DMARC1
Registro únicoMúltiples registros DMARC (conflicto)
Sin CNAME_dmarc apunta a un CNAME (prohibido por RFC)

Etiquetas obligatorias

EtiquetaVerificación
v=Debe ser DMARC1 en primera posición
p=Debe ser none, quarantine o reject

Política y alineación

EtiquetaValores aceptadosVerificación
pnone, quarantine, rejectPolítica coherente con el nivel de madurez
spnone, quarantine, rejectSi presente, política de subdominios válida
adkimr (relaxed), s (strict)Modo de alineación DKIM válido
aspfr (relaxed), s (strict)Modo de alineación SPF válido
pct1-100Porcentaje dentro de los límites

Destinos de reportes

EtiquetaVerificación
ruaFormato mailto: válido, dominio externo autorizado
rufFormato mailto: válido, dominio externo autorizado

Autorización externa: Si rua o ruf apunta a un dominio diferente (ej: rua=mailto:reports@otrodominio.com), el dominio destinatario debe publicar _report._dmarc.sudominio.com para autorizar la recepción.

Diagnósticos comunes y soluciones

DMARC_NOT_FOUND - Registro ausente

Causa: No existe ningún registro TXT en _dmarc.sudominio.com

Solución:

  1. Cree un registro TXT en _dmarc.sudominio.com
  2. Contenido mínimo: v=DMARC1; p=none; rua=mailto:dmarc@sudominio.com
  3. Publique y espere la propagación DNS

DMARC_MULTIPLE_RECORDS - Múltiples registros

Causa: Más de un registro TXT DMARC existe en _dmarc.sudominio.com

Solución:

  1. Identifique todos los registros DMARC en su DNS
  2. Conserve únicamente el que desea aplicar
  3. Elimine los duplicados

MISSING_POLICY - Etiqueta p= ausente

Causa: El registro contiene v=DMARC1 pero no tiene etiqueta p=

Solución: Agregue una política: v=DMARC1; p=none; ...

INVALID_RUA_URI - URI de reporte inválido

Causa: La etiqueta rua contiene una dirección mal formateada

Ejemplos de corrección:

- rua=reports@captaindns.com        # Falta mailto:
+ rua=mailto:reports@captaindns.com

- rua=mailto: reports@captaindns.com  # Espacio prohibido
+ rua=mailto:reports@captaindns.com

Progresión hacia una política DMARC estricta

Fase 1: Observación (p=none)

v=DMARC1; p=none; rua=mailto:dmarc@captaindns.com
  • Sin impacto en la entregabilidad
  • Recopile reportes durante 2-4 semanas
  • Identifique todas las fuentes de envío legítimas
  • Configure SPF y DKIM para cada fuente

Fase 2: Cuarentena progresiva

v=DMARC1; p=quarantine; pct=10; rua=mailto:dmarc@captaindns.com
  • Comience con el 10% del tráfico
  • Monitoree los reportes para detectar falsos positivos
  • Aumente progresivamente: 10% → 25% → 50% → 100%

Fase 3: Rechazo (protección máxima)

v=DMARC1; p=reject; rua=mailto:dmarc@captaindns.com
  • Los emails no autenticados son rechazados
  • Protección completa contra spoofing
  • Mantenga el monitoreo de reportes

FAQ - Preguntas frecuentes

P: ¿Cuál es la diferencia entre el inspector DMARC y el validador de sintaxis?

R: El inspector DMARC consulta el DNS para verificar el registro publicado en su dominio. El validador de sintaxis analiza un registro que usted pega antes de publicarlo. Flujo recomendado: validador → publicación → inspector.

P: ¿Qué significa "registro DMARC no encontrado"?

R: No existe ningún registro TXT en _dmarc.sudominio.com. Cree un registro TXT con al menos:

v=DMARC1; p=none; rua=mailto:reports@sudominio.com

P: ¿Por qué el inspector detecta múltiples registros DMARC?

R: La especificación RFC 7489 requiere un solo registro DMARC por dominio. Múltiples registros crean un conflicto: los servidores destinatarios ignoran todos los registros. Elimine los duplicados inmediatamente.

P: ¿Qué política DMARC elegir?

R: Progresión recomendada:

  1. p=none → Observar sin impacto (2-4 semanas mínimo)
  2. p=quarantine → Marcar como spam (aumentar pct progresivamente)
  3. p=reject → Rechazar emails no autenticados

Nunca pase directamente a p=reject sin análisis de reportes.

P: ¿Cuánto tiempo para ver los cambios DMARC?

R: La propagación DNS depende del TTL (Time To Live) del registro:

  • TTL 3600 (1h) → 1-4 horas
  • TTL 86400 (24h) → 24-48 horas

Reduzca el TTL antes de modificar para acelerar las futuras propagaciones.

P: ¿El inspector también verifica SPF y DKIM?

R: No, el inspector DMARC se enfoca en el registro _dmarc. Para una verificación completa de autenticación de email:

Herramientas complementarias

HerramientaUtilidad
Validador sintaxis DMARCValidar sintaxis ANTES de publicación DNS
Generador DMARCCrear un registro DMARC conforme a las especificaciones
Inspector SPFVerificar el registro SPF del dominio
Inspector DKIMVerificar la clave pública DKIM
Probador de emailProbar autenticación completa con un email real
Propagación DNSVerificar propagación mundial del registro

Recursos útiles