¿Por qué importa un cambio de registro para la entregabilidad?

Los proveedores de correo evalúan la alineación SPF, DKIM y DMARC en cada mensaje. Un mecanismo SPF debilitado, una clave DKIM retirada o una política DMARC degradada a p=none puede enviar tu correo legítimo a spam o exponer tu dominio a la suplantación. La monitorización detecta estos cambios antes de que te perjudiquen.

¿Un DNSSEC roto afecta de verdad al email?

Sí. Si la firma DNSSEC se rompe o un registro no pasa la validación, los resolutores que aplican DNSSEC pueden dejar de resolver tu dominio por completo, lo que bloquea tanto el sitio web como el correo. La monitorización marca una cadena DNSSEC rota o retirada como un cambio prioritario.

¿Puedo monitorizar varios dominios?

Sí, en los planes de pago. El número de dominios monitorizados aumenta con el plan, igual que la posibilidad de elegir qué pilares y registros vigilar y con qué frecuencia se comprueba cada dominio.

Monitorización de seguridad y entregabilidad email

¿Por qué monitorizar la seguridad y la entregabilidad email?

Ejecutar una auditoría del dominio de email una vez te dice dónde estás hoy. Pero tu configuración DNS no es estática. Los proveedores actualizan su infraestructura de envío, los equipos rotan claves DKIM, los registradores migran zonas y una sola edición de un registro TXT puede romper en silencio la autenticación o debilitar tu postura de seguridad.

La monitorización de seguridad y entregabilidad email cierra esa brecha. CaptainDNS repite la auditoría completa según la frecuencia elegida, compara el resultado con el análisis anterior y envía un resumen por email en cuanto algo significativo cambia. Ves el valor anterior, el nuevo valor y el motivo, para que ninguna regresión pase desapercibida.

Esto no se limita a la entregabilidad. La monitorización cubre el cuadro completo: cómo envía correo tu dominio, cómo lo recibe y cómo está protegido su DNS.

Qué vigila la monitorización

La auditoría, y por tanto la monitorización, abarca nueve protocolos repartidos en tres pilares:

Pilar	Protocolos	Qué puede significar un cambio
Envío	SPF, DKIM, DMARC, BIMI	Autenticación debilitada, correo en spam, logo de marca perdido
Recepción	MX, MTA-STS, TLS-RPT, DANE	TLS entrante degradado, enrutamiento alterado, reporting perdido
Seguridad DNS	DNSSEC	Resolución en riesgo, el dominio puede dejar de resolver

Para cada pilar, la monitorización vigila tanto la puntuación como los registros individuales. Un cambio en cualquiera de los dos puede disparar un aviso.

Los cambios que disparan un aviso

Cada aviso es un resumen que nombra el registro o el pilar afectado, muestra el valor antes y después y explica por qué importa. Disparadores habituales:

SPF debilitado o demasiado grande: el calificador pasa a ~all (softfail) o ?all (neutro), o el registro supera el límite de 10 lookups DNS y empieza a fallar. Valídalo con el SPF Record Check.
Clave DKIM retirada o caducada: un selector publicado desaparece o deja de devolver una clave pública, rompiendo las firmas de ese flujo. Verifícalo con el DKIM Record Check.
DMARC degradado: la política baja de p=reject o p=quarantine a p=none, eliminando la protección contra la suplantación. Revísalo con el DMARC Record Check.
DNSSEC roto o sin firmar: la cadena de firma se rompe o se retira DNSSEC, poniendo en riesgo la resolución para los resolutores validadores.
Registros de recepción alterados: los MX cambian, el modo de la política MTA-STS se reduce, el reporting TLS-RPT se retira, o los registros TLSA de DANE se modifican.
BIMI modificado: el registro BIMI o la referencia al logo cambia, lo que puede retirar tu indicador de marca de las bandejas compatibles.

Cómo configurar la monitorización en 3 pasos

Paso 1: ejecuta una auditoría del dominio

Abre la auditoría del dominio de email y analiza el dominio que quieres vigilar. CaptainDNS evalúa SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE y DNSSEC, y luego genera una puntuación para cada uno de los tres pilares.

Paso 2: crea una monitorización

Pulsa el botón Monitorizar en el resultado de la auditoría, o crea una nueva monitorización desde esta página. Inicia sesión para guardar la monitorización en tu cuenta. En los planes de pago, eliges qué pilares y registros vigilar y con qué frecuencia se comprueba el dominio.

Paso 3: recibe los avisos de cambio por email

CaptainDNS repite la auditoría según tu frecuencia y compara cada análisis con el anterior. Cuando cambia una puntuación de pilar o se modifica un registro vigilado, recibes un resumen por email con los valores antes y después y el motivo. Sin tener que vigilar un panel.

Planes y frecuencia de comprobación

Plan	Dominios	Personalización	Frecuencia de comprobación
Gratis	1	Ninguna	Cada 24 h
Starter	30	Elegir pilares y registros	Desde 6 h
Pro	75	Elegir pilares y registros	Desde 3 h
Business	250	Elegir pilares y registros	Desde 1 h
Enterprise	2500	Elegir pilares y registros	Desde 1 h

La monitorización gratuita basta para detectar la mayoría de las regresiones lentas. Las frecuencias más rápidas importan cuando operas dominios de alto volumen, realizas cambios de infraestructura frecuentes o necesitas reaccionar rápido ante un incidente de seguridad.

Casos de uso reales

Caso 1: un proveedor debilita SPF en silencio

Síntoma: la puntuación de Envío baja unos días después de incorporar un nuevo proveedor de correo.

Diagnóstico: el aviso de monitorización muestra que el registro SPF cambió de -all a ~all, y ahora incluye un include: extra que llevó el registro por encima de 10 lookups DNS. Algunos receptores tratan el registro como un permerror.

Acción: aplanar el registro SPF y restaurar un calificador estricto. El siguiente análisis confirma que la puntuación se recupera.

Caso 2: DMARC degradado sin avisar

Síntoma: la monitorización informa de un cambio en el pilar DMARC.

Diagnóstico: durante una limpieza de DNS, la política se revirtió de p=reject a p=none, eliminando la protección contra la suplantación sin que nadie lo notara.

Acción: volver a publicar p=reject (o p=quarantine durante una transición). Los valores antes y después del aviso hacen evidente la regresión.

Caso 3: DNSSEC se rompe durante una migración

Síntoma: un aviso prioritario marca el pilar Seguridad DNS.

Diagnóstico: una transferencia de zona a un nuevo proveedor dejó la cadena DNSSEC rota. Los resolutores validadores corren el riesgo de no resolver el dominio, amenazando web y correo.

Acción: volver a firmar la zona o desactivar DNSSEC de forma limpia en el registrador. La monitorización confirma que la resolución vuelve a ser segura.

FAQ - Preguntas frecuentes

P: ¿Qué hace la monitorización de seguridad y entregabilidad email?

R: Repite la auditoría email completa de tu dominio según la frecuencia elegida y compara cada análisis con el anterior. Cuando cambia una puntuación de pilar o se modifica un registro vigilado (SPF, DKIM, DMARC, BIMI, MTA-STS, DANE, TLS-RPT, DNSSEC), recibes un resumen por email con el valor antes y después y el motivo.

P: ¿Qué registros se monitorizan?

R: Los nueve protocolos que cubre la auditoría: SPF, DKIM, DMARC, BIMI, MTA-STS, TLS-RPT, DANE, DNSSEC y los registros MX detrás de la recepción. La monitorización vigila tanto los registros en sí como las puntuaciones de los tres pilares: Envío, Recepción y Seguridad DNS.

P: ¿Cuándo recibo un aviso?

R: Recibes un resumen por email cuando cambia una puntuación de pilar o cuando cambia un registro vigilado. Disparadores habituales: SPF que pasa a ~all o ?all o supera los 10 lookups, una clave DKIM retirada o caducada, DMARC degradado a p=none, DNSSEC roto o sin firmar, y cambios en MX, MTA-STS, TLS-RPT, DANE o BIMI.

P: ¿Con qué frecuencia se comprueba mi dominio?

R: El plan gratuito comprueba un dominio cada 24 horas sin personalización. Los planes de pago monitorizan más dominios, te dejan elegir qué pilares y registros vigilar y aumentan la frecuencia: cada 6 horas en Starter, cada 3 horas en Pro y cada hora en Business y Enterprise.

P: ¿Cómo empiezo a monitorizar un dominio?

R: Ejecuta la auditoría del dominio de email y pulsa el botón Monitorizar en el resultado. También puedes crear una nueva monitorización directamente desde esta página. Necesitas una cuenta de CaptainDNS; inicia sesión y la monitorización se guarda en ella.

P: ¿La monitorización es gratuita?

R: Sí. La monitorización gratuita cubre un dominio comprobado cada 24 horas sin personalización. Los planes de pago añaden más dominios, pilares y registros seleccionables y frecuencias de comprobación más rápidas, hasta cada hora.

P: ¿Qué diferencia hay con la monitorización DMARC?

R: La monitorización DMARC ingiere los informes agregados que envían los proveedores de correo para mostrar quién envía correo por tu dominio. La monitorización de seguridad y entregabilidad email vigila tu propia configuración DNS en los nueve protocolos y te avisa cuando cambia un registro o una puntuación. Las dos son complementarias.

Herramientas complementarias

Herramienta	Propósito
Auditoría del dominio de email	Ejecutar la auditoría completa de los nueve protocolos e iniciar una monitorización
Monitorización DMARC	Recopilar y analizar los informes agregados DMARC
SPF Record Check	Comprobar tu registro DNS SPF
DKIM Record Check	Comprobar tu registro DNS DKIM
DMARC Record Check	Comprobar tu registro DNS DMARC
Hosting MTA-STS	Alojar gratis tu política MTA-STS
Monitorización TLS-RPT	Monitorizar los informes TLS SMTP
Hosting BIMI	Alojar gratis tu logo y certificado BIMI

Recursos útiles

RFC 7208: SPF, Sender Policy Framework
RFC 6376: DKIM, DomainKeys Identified Mail
RFC 7489: DMARC, Domain-based Message Authentication
RFC 8461: MTA-STS, SMTP MTA Strict Transport Security
RFC 8460: TLS-RPT, SMTP TLS Reporting
RFC 6698: DANE, DNS-Based Authentication of Named Entities
RFC 4033: DNSSEC, DNS Security Introduction and Requirements