Una auditoría completa de la seguridad y entregabilidad email
La configuración email de un dominio se juega en dos frentes. Al enviar, la autenticación (SPF, DKIM, DMARC) decide si tus mensajes llegan a la bandeja de entrada o acaban en spam. Al recibir, la seguridad del transporte (MTA-STS, DANE, TLS-RPT) y la integridad del DNS (DNSSEC) protegen tus intercambios contra la interceptación y la suplantación. Una falla en un solo lado debilita el conjunto.
Esta auditoría de entregabilidad y seguridad email (también llamada "DMARC checker", "SPF lookup", "DKIM validator", "domain health check" o "email security audit") examina al detalle nueve protocolos, repartidos en tres pilares, en un solo escaneo.
Envío (outbound):
| Protocolo | Función | Impacto si falta o es inválido |
|---|---|---|
| SPF | Autoriza servidores a enviar en nombre de tu dominio | Riesgo de rechazo o clasificación como spam |
| DKIM | Firma criptográficamente tus mensajes | Autenticación débil, riesgo de spoofing |
| DMARC | Define la política cuando SPF/DKIM falla | Sin protección contra suplantación de identidad |
| BIMI | Muestra tu logotipo en las bandejas de entrada | Opcional, refuerza la confianza visual |
Recepción (inbound):
| Protocolo | Función | Impacto si falta o es inválido |
|---|---|---|
| MX | Indica dónde recibir emails | Dominio considerado como no destinado a email |
| MTA-STS | Fuerza el cifrado TLS para emails entrantes | Emails transmitidos en texto plano, vulnerables a interceptación |
| DANE | Autentica los certificados TLS de los MX vía DNSSEC | Sin verificación criptográfica del servidor de correo |
| TLS-RPT | Recibe informes de fallos TLS | Sin visibilidad sobre problemas de cifrado |
Esta auditoría se lanza en tres situaciones. Antes de una campaña, para confirmar que el dominio está listo para enviar. Para asegurar la recepción, controlando el cifrado del transporte y la integridad del DNS. Y después de un cambio de plataforma, cuando hay que verificar que los nuevos selectores DKIM y sus registros están bien publicados.
Cómo usar la auditoría email en 3 pasos
Paso 1: Introduce tu dominio
Escribe el dominio a auditar (captaindns.com). Si envías a través de varias plataformas (Mailchimp, Brevo, Google Workspace), añade los selectores DKIM correspondientes para una verificación completa del envío.
Dónde encontrar tus selectores DKIM:
- Mailchimp:
k1(configuración → dominio → autenticación) - Brevo:
mail(configuración → remitentes → DKIM) - Google Workspace:
google(Consola de Admin → Apps → Gmail → Autenticación) - Microsoft 365:
selector1,selector2(Admin → Dominios → Registros DNS)
Paso 2: Ejecución del análisis
La herramienta consulta tus registros DNS sin que tengas que intervenir.
En el lado del envío, verifica la sintaxis SPF, su recuento de lookups y su mecanismo -all, valida cada selector DKIM junto con el tamaño de la clave (2048 bits o más), controla la política DMARC y sus informes, y luego confirma que el registro BIMI apunta a un logotipo accesible.
En el lado de la recepción, lista tus MX y prueba su resolución y su redundancia, comprueba el registro MTA-STS, su política HTTPS y su modo (enforce o testing), confronta los registros TLSA de DANE con la validación DNSSEC, y se asegura de que el TLS-RPT declara un destino de informes.
Paso 3: Lectura de los resultados
Obtienes:
- Puntuación global sobre 100 con insignia de configuración (Excelente, Bueno, Regular, Insuficiente)
- Diagnósticos por protocolo con estado pass/fail
- Acciones correctivas clasificadas por prioridad
- Exportación JSON para compartir con tu equipo técnico
Cálculo de la puntuación sobre 100
La puntuación global agrega tres pilares ponderados: envío (50%), recepción (35%) y seguridad DNS (15%). Esta es su composición.
| Pilar | Peso | Componentes |
|---|---|---|
| Envío (outbound) | 50% | SPF, DKIM, DMARC, BIMI |
| Recepción (inbound) | 35% | MX, MTA-STS, DANE, TLS-RPT |
| Seguridad DNS | 15% | DNSSEC, CAA |
Cada pilar se puntúa sobre 100 y luego se pondera según su peso. El total desemboca en un grado. Por encima de 90, todo está en su sitio: es el Excelente. Entre 75 y 89, la base aguanta y quedan algunos ajustes por hacer (Bueno). De 55 a 74, errores o advertencias erosionan tu entregabilidad o tu seguridad (Regular). Por debajo de 55, el pronóstico es sombrío: un bloqueo mayor compromete el envío o la recepción (Insuficiente).
Detalle de puntos por pilar
Envío (100 puntos):
| Componente | Puntos máx | Criterios principales |
|---|---|---|
| DMARC | 40 | Política p=reject, informes rua/ruf, alineación estricta |
| SPF | 30 | Sintaxis válida, límite 10 lookups, mecanismo -all |
| DKIM | 25 | Selectores válidos, clave ≥2048 bits, redundancia |
| BIMI | 5 | Registro válido, logotipo SVG Tiny PS, VMC presente |
Recepción (100 puntos):
| Componente | Puntos máx | Criterios principales |
|---|---|---|
| MX | 40 | Presencia, resolución, redundancia (2+ MX) |
| MTA-STS | 30 | DNS válido, política HTTPS, modo enforce |
| DANE | 15 | Registros TLSA publicados, DNSSEC firmado |
| TLS-RPT | 15 | Registro válido, destinos RUA configurados |
Seguridad DNS (100 puntos):
| Componente | Puntos máx | Criterios principales |
|---|---|---|
| DNSSEC | 80 | Zona firmada y cadena validada |
| CAA | 20 | Registro presente, emisión restringida, contacto iodef definido |
Un registro CAA (Certification Authority Authorization) declara qué autoridades de certificación tienen derecho a emitir un certificado para tu dominio. Sin él, cualquiera puede firmar un certificado para captaindns.com. El valor 0 issue ";" cierra la puerta a toda emisión, y la etiqueta iodef abre un canal para avisarte de los intentos.
Errores frecuentes detectados por la auditoría
Cuatro problemas se repiten en la gran mayoría de las auditorías fallidas. Así es como se reconocen y se corrigen.
SPF: demasiadas consultas DNS (permerror)
El SPF tolera como máximo 10 lookups DNS. Un solo include: de más, y todo se rompe: el resolver devuelve permerror e ignora sin más tu política. El síntoma típico es una puntuación SPF por los suelos cuando el registro existe perfectamente. La auditoría vuelve a contar tus lookups, detecta los include: anidados (a menudo 12 o más) y señala el exceso. La salida: reemplaza los include: por rangos IP, o haz el trabajo con un clic gracias a nuestro SPF Flattener.
DKIM: selector no encontrado
Cada plataforma de envío tiene su propio selector DKIM. Mientras no esté publicado en tu zona, la firma falla en cada correo, sin excepción. Crees que DKIM está configurado, y la auditoría muestra un NXDOMAIN en k1._domainkey.captaindns.com: la clave no existe en el DNS. Obtén el selector correcto de tu proveedor de envío y publica el registro TXT correspondiente.
DMARC: política demasiado permisiva
Una política p=none no protege de nada. Observa, no bloquea: las mensajerías dejan pasar los emails no autenticados emitidos en tu nombre. La auditoría lo señala en cuanto lee p=none, sobre todo cuando faltan también los informes rua. El procedimiento: endurece por etapas, p=quarantine y luego p=reject, sin perder de vista los informes DMARC para no bloquear ningún envío legítimo.
MX: registro ausente o inválido
Sin MX, no hay correo entrante. Un dominio sin MX no recibe ningún email, y algunos filtros incluso lo juzgan ilegítimo al enviar. Cuando la auditoría devuelve una puntuación MX a cero, es que no se encontró ningún registro. Publica al menos un MX válido. Si el dominio no debe recibir correo, declara un null MX (0 .): es una postura explícita, no un error.
Plan de acción para mejorar tu seguridad y tu entregabilidad
Aborda el trabajo por orden de impacto. Las dos tablas siguientes clasifican las correcciones del envío y luego de la recepción, de lo más crítico a lo opcional.
Envío:
| Prioridad | Acción | Impacto |
|---|---|---|
| 1. Crítica | Configurar SPF con -all y mantenerse bajo 10 lookups | Evita el rechazo del servidor |
| 2. Alta | Publicar DKIM con clave ≥2048 bits para cada ESP | Firma auténtica del email |
| 3. Alta | Pasar DMARC a p=quarantine y luego p=reject | Protección contra spoofing |
| 4. Media | Configurar informes DMARC (rua) con el Monitoring DMARC | Monitorización de fallos |
| 5. Opcional | Añadir BIMI con logotipo certificado | Mejora la confianza visual |
Recepción:
| Prioridad | Acción | Impacto |
|---|---|---|
| 1. Alta | Publicar al menos 2 MX para redundancia | Garantiza la recepción incluso si un servidor cae |
| 2. Media | Desplegar MTA-STS en modo enforce | Fuerza el cifrado TLS para emails entrantes |
| 3. Baja | Publicar un registro TLS-RPT | Recibir informes de fallos de conexión TLS |
| 4. Baja | Añadir registros DANE/TLSA (si DNSSEC está activo) | Autenticación criptográfica de certificados MX |
Consejo: vuelve a lanzar la auditoría en los momentos que cuentan, antes de una campaña, tras un cambio de proveedor, en cada modificación DNS. Así detectas los problemas antes de que penalicen tus envíos o expongan tu dominio.
Casos de uso concretos
Incidente 1: Campaña de marketing con 80% en spam
Síntoma: Envías una newsletter vía Mailchimp, pero la mayoría llega a spam.
Diagnóstico con la auditoría:
- MX = ✅ Pass
- SPF = ❌ Fail → 14 lookups (límite superado)
- DKIM = ❌ Fail → Selector
k1no encontrado - DMARC = ⚠️
p=none
Acciones prioritarias:
- Aplanar el SPF para estar bajo 10 lookups
- Publicar el CNAME DKIM de Mailchimp
- Pasar DMARC a
p=quarantine
Incidente 2: correos B2B rechazados por Microsoft 365
Síntoma: Tus emails profesionales son rechazados por clientes que usan Outlook/Microsoft 365.
Diagnóstico con la auditoría:
- SPF = ✅ Pass
- DKIM = ✅ Pass
- DMARC = ❌ Fail → Política
p=rejectpero alineación fallida
Acciones prioritarias:
- Verificar que el dominio From coincide con el dominio DKIM (alineación estricta)
- Configurar
aspf=ryadkim=rpara una alineación relajada
Incidente 3: migración a Google Workspace
Síntoma: Después de migrar a Google Workspace, los emails llegan a spam.
Diagnóstico con la auditoría:
- SPF = ⚠️ Warning →
include:_spf.google.comfaltante - DKIM = ❌ Fail → Selector
googleno publicado
Acciones prioritarias:
- Añadir
include:_spf.google.comal SPF - Generar y publicar la clave DKIM desde la Consola de Admin
FAQ - Preguntas frecuentes
P: ¿Qué verifica exactamente esta auditoría email?
R: Nueve protocolos repartidos en tres pilares. Al enviar, la auditoría controla el SPF (servidores autorizados), el DKIM (firma criptográfica), el DMARC (política de autenticación) y el BIMI (logotipo de marca). Al recibir, cubre los MX (servidores entrantes), MTA-STS (cifrado TLS forzado), DANE (autenticación de los certificados vía DNSSEC) y TLS-RPT (informes de fallos TLS). El pilar de seguridad DNS abarca el DNSSEC (firma de la zona) y el CAA (autoridades de certificación autorizadas).
P: ¿Cómo funciona la puntuación sobre 100?
R: Tres pilares ponderados se combinan: el envío (50%) reúne DMARC (40 pts), SPF (30 pts), DKIM (25 pts) y BIMI (5 pts); la recepción (35%) suma MX (40 pts), MTA-STS (30 pts), DANE (15 pts) y TLS-RPT (15 pts); la seguridad DNS (15%) reparte DNSSEC (80 pts) y CAA (20 pts). Cada pilar se puntúa sobre 100 y luego se lleva al total según su peso. Por encima de 90, la configuración está a punto.
P: ¿Por qué mi SPF muestra "demasiados lookups"?
R: La RFC 7208 limita el SPF a 10 resoluciones DNS. Cada include:, a:, mx: o redirect= consume una. Apila Mailchimp, Brevo y Google, y la cuenta se dispara enseguida. Para volver a bajar de la barrera, nuestro SPF Flattener convierte tus includes en direcciones IP directas.
P: ¿Cómo añado un selector DKIM?
R: El selector cambia de un proveedor a otro: k1 para Mailchimp, mail para Brevo, google para Google Workspace, selector1 y selector2 para Microsoft 365. Introdúcelo en el formulario de auditoría y la herramienta confirma que está bien publicado en tu zona.
P: ¿Qué política DMARC debo usar?
R: Avanza por etapas. Se empieza en p=none para observar sin bloquear nada, se pasa a p=quarantine para enviar a spam los mensajes sospechosos, y luego se cierra con p=reject para rechazar todo lo que no esté autenticado. En cada etapa, mantén activos los informes rua: son ellos los que te evitan bloquear un envío legítimo.
P: ¿La auditoría es gratuita?
R: Sí, gratuita y sin registro. Introduces tu dominio y los resultados aparecen.
P: ¿Se almacenan mis datos?
R: No. La auditoría solo consulta registros DNS públicos, accesibles para cualquiera mediante una consulta DNS estándar. No conservamos nada.
Herramientas complementarias
| Herramienta | Utilidad |
|---|---|
| Analizador de encabezados de email | Verificar los veredictos SPF/DKIM/DMARC en un email recibido |
| Inspector SPF | Analizar tu registro SPF en detalle |
| SPF Flattener | Aplanar tu SPF para cumplir el límite de 10 DNS lookups |
| Inspector DKIM | Validar tus claves DKIM selector por selector |
| Inspector DMARC | Desglosar y probar tu política DMARC |
| Verificador de propagación DNS | Confirmar que tus registros DNS están propagados globalmente |
| Verificador blacklist IP | Verificar si tu IP está en una lista negra |
| Verificador blacklist dominio | Verificar si tu dominio está en lista negra |
| Monitoring DMARC | Recopilar y visualizar los reportes DMARC agregados de tus dominios |
| Analizador de informes TLS-RPT | Analizar los informes TLS-RPT recibidos por email |
Recursos útiles
- RFC 7208 - SPF (especificación oficial SPF)
- RFC 6376 - DKIM (especificación oficial DKIM)
- RFC 7489 - DMARC (especificación oficial DMARC)
- RFC 8461 - MTA-STS (SMTP MTA Strict Transport Security)
- RFC 8460 - TLS-RPT (SMTP TLS Reporting)
- RFC 6698 - DANE (DNS-Based Authentication of Named Entities)
- Google - Autenticación de email (guía Gmail)
- Microsoft - Autenticación de email (guía Microsoft 365)