MI IP

Entregabilidad de correo: SPF, DKIM, DMARC y MX

Analiza los registros de un dominio para diagnosticar si su correo se entrega correctamente: MX (dónde llega), SPF (quién puede enviarlo), DKIM (firma) y DMARC (qué hacer si algo falla).

¿Qué son SPF, DKIM, DMARC y MX, y por qué le importan a tu correo?

SPF, DKIM y DMARC son tres estándares que trabajan juntos para que los servidores de correo del mundo puedan confiar en que un mensaje realmente proviene de quien dice enviarlo, y para decidir qué hacer cuando no es así. El registro MX, por su parte, define hacia dónde debe entregarse el correo dirigido a un dominio. Sin estos registros bien configurados, es habitual que el correo legítimo termine en la carpeta de spam del destinatario, o que se rechace directamente.

Esta herramienta consulta los cuatro registros de un dominio y explica en lenguaje simple qué significa cada resultado: no basta con saber si un registro existe, también importa qué política define y qué implica para la entrega real del correo.

MX: quién recibe el correo del dominio

El registro MX (Mail Exchange) le indica al resto de internet a qué servidores debe entregarse el correo dirigido a un dominio, con una prioridad numérica: el servidor con el número más bajo se intenta primero, y los demás actúan como respaldo si el principal no responde. Un dominio sin registros MX simplemente no puede recibir correo directamente, aunque sí puede enviarlo.

SPF: quién puede enviar correo en su nombre

SPF (Sender Policy Framework) es un registro TXT que lista qué servidores están autorizados a enviar correo en nombre de un dominio. Cuando un servidor receptor recibe un mensaje, compara la IP de origen contra esa lista; si no coincide, el mecanismo final del registro (la etiqueta "all") le indica qué tan estrictamente debe tratar ese correo no autorizado: rechazarlo, marcarlo como sospechoso o simplemente ignorarlo.

Un dominio sin SPF, o con una política demasiado permisiva, es más fácil de suplantar: cualquiera puede enviar correo falsificando el remitente sin que el servidor receptor tenga forma de detectarlo.

DMARC: qué hacer con el correo que falla

DMARC (Domain-based Message Authentication, Reporting and Conformance) se apoya en SPF y DKIM para decidir qué hacer cuando un mensaje falla esas verificaciones: puede pedir que se entregue igual (solo monitoreo), que se envíe a spam (cuarentena) o que se rechace directamente. También permite recibir reportes agregados de otros servidores sobre quién está enviando correo en nombre del dominio, útil para detectar suplantación.

Publicar DMARC sin SPF ni DKIM configurados correctamente no sirve de mucho: DMARC evalúa el resultado de esas dos verificaciones, así que los tres registros funcionan como un conjunto, no de forma aislada.

DKIM: la firma que garantiza que el mensaje no fue alterado

DKIM (DomainKeys Identified Mail) agrega una firma criptográfica a cada correo saliente, verificable con una clave pública publicada en un registro TXT bajo un "selector" específico (por ejemplo, google._domainkey.midominio.cl). A diferencia de SPF y DMARC, DKIM no es enumerable: hay que conocer el selector exacto para encontrar el registro, así que esta herramienta sondea una lista de selectores comunes además del que escribas; que ninguno resuelva no significa que el dominio no firme con DKIM, solo que no usa esos selectores.

Si el problema de entrega parece venir de la reputación de una IP en particular, revisa nuestra herramienta de lista negra (DNSBL); para revisar el resto de los registros DNS de un dominio (A, NS, TXT y más), usa el DNS Checker.

Preguntas frecuentes sobre entregabilidad de correo

¿Por qué mi correo cae en la carpeta de spam?

Puede deberse a varios factores combinados: falta de SPF, DKIM o DMARC bien configurados, una IP de envío con mala reputación (revisa nuestra herramienta de lista negra), contenido que los filtros anti-spam consideran sospechoso, o un dominio muy nuevo sin historial de envío. Los registros que analiza esta herramienta son la base técnica, pero no la única variable.

¿Qué es una política DMARC y cuál debería usar?

Es la instrucción (p=none, p=quarantine o p=reject) que le dice a los servidores receptores qué hacer con el correo que falla SPF o DKIM. Lo recomendable es empezar con "none" para monitorear sin afectar la entrega, y avanzar gradualmente hacia "quarantine" o "reject" una vez que confirmes que todo tu correo legítimo pasa las verificaciones.

¿Necesito configurar los tres registros (SPF, DKIM y DMARC)?

Sí, idealmente los tres: SPF y DKIM son las verificaciones técnicas, y DMARC define qué hacer con el correo que no las pasa, además de indicarle a otros servidores que existe una política definida. Tener solo uno o dos deja huecos que facilitan la suplantación de tu dominio.

¿Por qué DKIM pide un selector en vez de solo el dominio?

Porque un dominio puede usar varias claves DKIM a la vez (por ejemplo, una por cada proveedor de correo que utiliza), cada una publicada bajo un selector distinto. Sin conocer el selector exacto no es posible encontrar el registro, por eso esta herramienta prueba una lista de selectores comunes además del que escribas.

¿Qué significa que un dominio no tenga registros MX?

Que no puede recibir correo dirigido directamente a ese dominio; los mensajes rebotarían. Es distinto de un problema de SPF, DKIM o DMARC, que afectan el envío y la autenticación, no la recepción.