¿Por qué SPF tiene un límite de 10 lookups?

La resolución SPF ocurre **en el momento de recibir el mensaje**, cada vez. Para evitar abusos (un SPF malicioso podría encadenar cientos de includes y hacer DDoS al DNS), **la RFC 7208 limita el total a 10 lookups DNS por verificación**. Más allá, los receptores devuelven `PermError` y tratan tu correo como si SPF no existiera. La herramienta cuenta tu cadena completa (nivel superior + cada include anidado) y marca rojo si superas los 10. **Solución**: aplana el SPF (sustituye `include:` por los rangos `ip4:` resueltos) o usa un servicio que lo haga por ti (EasyDMARC, dmarcian).

**DKIM (DomainKeys Identified Mail)** firma cada mensaje saliente con una clave privada en tu servidor de envío. La **clave pública correspondiente está en DNS** en `selector._domainkey.tudominio.com`. El receptor toma la clave pública, verifica la firma y confirma que el mensaje no se modificó en tránsito. Sin DKIM, cualquiera puede reescribir el cuerpo o los adjuntos y la reputación de tu dominio recibe el golpe. **Para pasar se requiere**: clave presente, base64 válido, no en modo prueba (flag `t=y`), idealmente **2048+ bits**.

¿Qué es un selector DKIM y dónde lo encuentro?

El **selector** es una etiqueta que tu proveedor asigna a un par de claves específico. Va entre tu subdominio y `._domainkey.`. Valores por defecto comunes: Google = `google`, Microsoft 365 = `selector1` / `selector2`, Mailchimp = `k1`, SendGrid = `s1` / `s2`, Mandrill = `mandrill`. **Cómo encontrar el tuyo**: envíate un correo de prueba, mira la fuente, busca la cabecera `DKIM-Signature` y la etiqueta `s=`, ese es el selector. O revisa la página "DKIM setup" de tu plataforma de envío.

**DMARC (Domain-based Message Authentication, Reporting & Conformance)** es la capa de política sobre SPF y DKIM. Indica a los receptores **qué hacer cuando ambos fallan**: `p=none` (entregar pero reportar), `p=quarantine` (enviar a spam), `p=reject` (rechazar el mensaje). Sin DMARC, cada receptor elige su propio comportamiento, tu entrega se vuelve una lotería. **Empieza con `p=none` + `rua=mailto:...`**, mira los reportes durante unas semanas, luego pasa a `quarantine` cuando confirmes que el correo legítimo está alineado.

¿Qué significa `-all` vs `~all` en SPF?

**El último mecanismo de tu registro SPF marca la política cuando ninguna otra regla coincide**. `-all` = **HardFail** (rechazar), `~all` = SoftFail (marcar como spam pero entregar), `?all` = Neutral (sin opinión), `+all` = Pasa todo (catastrófico, cualquiera puede suplantarte). **Buena práctica = `-all`**. `~all` son las ruedecitas de aprendizaje: úsalo el primer mes mientras observas reportes DMARC, luego cambia a `-all`.

Mi tarjeta DKIM está en amarillo por "clave legacy", ¿qué significa?

**Tu clave es de 1024 bits**. RSA de 1024 bits era el estándar hace 15 años, hoy se considera débil. **2048 bits es el mínimo moderno**, 4096 es excesivo. Rótala: la mayoría de proveedores (Google, Microsoft, AWS SES) tiene un botón "regenerar DKIM" en el panel admin. Importante: **la nueva clave recibe un selector nuevo** (p. ej. `selector2` junto a `selector1`), mantén ambos registros DNS activos 48-72h para drenar el correo en tránsito.

Mi DMARC dice `p=none`, ¿es malo?

**No necesariamente, pero está incompleto**. `p=none` significa "si SPF y DKIM fallan, entrega igualmente". Estás recogiendo reportes (`rua=`) pero no protegiendo a los destinatarios de la suplantación. **Es el punto de partida correcto** para un dominio que ya envía correo, pero deberías pasar a `quarantine` o `reject` en pocas semanas. **Un dominio que no envía nada de correo debería publicar `p=reject` inmediatamente**, la herramienta marca `p=none` como amarillo porque la mayoría de configuraciones se quedan ahí para siempre.

¿Necesito `rua=` y `ruf=`?

**`rua=` sí, `ruf=` rara vez**. `rua=mailto:dmarc@tudominio.com` habilita los **reportes agregados**, resúmenes XML diarios de Gmail, Outlook, Yahoo, etc. con contadores de pass/fail/IP origen. Sin `rua=` vas a ciegas. `ruf=` habilita los **reportes forenses** (cabecera completa del mensaje en cada fallo): Gmail y Outlook **ya no soportan `ruf=`** por el RGPD, así que casi nunca funciona. Configura `rua=` desde el día uno.

¿Estas comprobaciones son realmente privadas?

El dominio que escribes va a nuestro servidor y consultamos el DNS público de Cloudflare (1.1.1.1). **Nada se loguea, nada se almacena**. Los registros que ves son datos TXT públicos: cualquiera en el mundo puede obtenerlos con `dig` desde la línea de comandos. **Esta no es una consulta sensible** como una comprobación de contraseña, son los mismos datos que los servidores de correo de tus clientes consultan en cada mensaje que envías.

Comprobador de DNS de correo (SPF/DKIM/DMARC) - gratis

¿Por qué mis correos caen en spam? Comprueba SPF, DKIM y DMARC.

Escribe el dominio desde el que envías correo (la parte después de @ en la dirección From) y la herramienta lee los tres registros DNS que cada buzón moderno comprueba: SPF (qué servidores pueden enviar por ti), DKIM (la firma criptográfica de cada mensaje) y DMARC (qué hacer cuando SPF y DKIM no coinciden).

Obtienes tres tarjetas tipo semáforo: verde significa que pasa, amarillo que funciona pero es frágil, rojo que los receptores con mucha probabilidad enviarán tu correo a spam o lo rechazarán. Cada tarjeta se abre para mostrar el registro en bruto, los valores parseados y una lista de avisos en lenguaje claro.

Consultamos los registros desde nuestro servidor a través del DNS público de Cloudflare (1.1.1.1). No se escribe nada en ningún sitio, la consulta termina en menos de dos segundos.

Cómo usarla

Escribe el dominio desde el que envías. El dominio del From, no el correo completo. Para "marketing@tienda.com" el dominio es tienda.com. Eliminamos la parte de usuario si pegas la dirección entera.
Pulsa "Comprobar". La herramienta obtiene SPF, DKIM (para los 8 selectores más comunes) y DMARC en paralelo.
Si una tarjeta está verde, esa pieza está sana. Amarillo = funciona pero tiene un punto débil que merece arreglar (clave en modo prueba, `~all` en vez de `-all`, sin reportes DMARC). Rojo = los receptores pueden descartar tu correo.
¿No ves tu clave DKIM? Activa "Selectores DKIM personalizados" y escribe el selector que usa tu proveedor de correo (p. ej. `dkim`, `mxvault`, `mandrill`). El selector es el prefijo antes de `._domainkey.` en el registro DNS.
Lee los avisos en cada tarjeta. Están ordenados por impacto: arregla el aviso superior primero, luego vuelve a comprobar.

Cuándo es útil

Cinco momentos reales en los que comprobar SPF/DKIM/DMARC te salva:

Newsletter que cae en spam. Configuraste Mailchimp / Brevo / Klaviyo, enviaste la primera campaña, la mitad de los destinatarios no la recibió. Primer diagnóstico = comprobar SPF + DKIM, la plataforma de envío suele requerir que ambos estén alineados.
Migración a un nuevo proveedor de correo. Cambiar de Google Workspace a Microsoft 365, o añadir un emisor transaccional (Postmark, SendGrid). El SPF/DKIM viejo conviven con el nuevo hasta que termine la propagación, fácil de pasar por alto.
Queja de un cliente "mis correos se rechazan". El cliente dice "tu correo nunca llega". Puede ser: SPF sobre el límite de 10 lookups, clave DKIM revocada, DMARC `p=reject` sin `rua` desde el que depurar.
Auditoría de protección anti-phishing. Tu empresa envía facturas a clientes. Sin DMARC `p=reject` cualquiera puede suplantar tu dominio. La herramienta te dice exactamente qué pieza falta.
Prelanzamiento en un dominio nuevo. Antes de enviar el primer correo transaccional desde un dominio recién creado, verifica que las tres piezas están configuradas. La reputación se construye despacio, se arruina en una campaña.

Para una auditoría DNS más profunda más allá del correo, usa la herramienta consulta DNS. Para validar que la contraseña de tu cuenta SMTP no se ha filtrado, mira comprobación de contraseñas filtradas.

Preguntas y respuestas

SPF (Sender Policy Framework) es una lista de servidores autorizados a enviar correo "From: tudominio.com". Cuando Gmail recibe un mensaje, comprueba la IP del remitente contra tu lista SPF. Sin coincidencia = el mensaje se trata como sospechoso (carpeta de spam o rechazado). Publicas SPF como registro TXT en tu dominio, un solo registro, empieza por `v=spf1`. Lo más duro no es escribirlo, es el límite de 10 lookups: cada `include:` cuenta, y los includes encadenados se saltan los 10 rápidamente.

¿Por qué mis correos caen en spam? Comprueba SPF, DKIM y DMARC.

Consultamos los registros desde nuestro servidor a través del DNS público de Cloudflare (1.1.1.1). No se escribe nada en ningún sitio, la consulta termina en menos de dos segundos.

Cómo usarla

Escribe el dominio desde el que envías. El dominio del From, no el correo completo. Para "marketing@tienda.com" el dominio es tienda.com. Eliminamos la parte de usuario si pegas la dirección entera.

Pulsa "Comprobar". La herramienta obtiene SPF, DKIM (para los 8 selectores más comunes) y DMARC en paralelo.

Si una tarjeta está verde, esa pieza está sana. Amarillo = funciona pero tiene un punto débil que merece arreglar (clave en modo prueba, `~all` en vez de `-all`, sin reportes DMARC). Rojo = los receptores pueden descartar tu correo.

¿No ves tu clave DKIM? Activa "Selectores DKIM personalizados" y escribe el selector que usa tu proveedor de correo (p. ej. `dkim`, `mxvault`, `mandrill`). El selector es el prefijo antes de `._domainkey.` en el registro DNS.

Lee los avisos en cada tarjeta. Están ordenados por impacto: arregla el aviso superior primero, luego vuelve a comprobar.

Cuándo es útil

Cinco momentos reales en los que comprobar SPF/DKIM/DMARC te salva:

Newsletter que cae en spam. Configuraste Mailchimp / Brevo / Klaviyo, enviaste la primera campaña, la mitad de los destinatarios no la recibió. Primer diagnóstico = comprobar SPF + DKIM, la plataforma de envío suele requerir que ambos estén alineados.
Migración a un nuevo proveedor de correo. Cambiar de Google Workspace a Microsoft 365, o añadir un emisor transaccional (Postmark, SendGrid). El SPF/DKIM viejo conviven con el nuevo hasta que termine la propagación, fácil de pasar por alto.
Queja de un cliente "mis correos se rechazan". El cliente dice "tu correo nunca llega". Puede ser: SPF sobre el límite de 10 lookups, clave DKIM revocada, DMARC `p=reject` sin `rua` desde el que depurar.
Auditoría de protección anti-phishing. Tu empresa envía facturas a clientes. Sin DMARC `p=reject` cualquiera puede suplantar tu dominio. La herramienta te dice exactamente qué pieza falta.
Prelanzamiento en un dominio nuevo. Antes de enviar el primer correo transaccional desde un dominio recién creado, verifica que las tres piezas están configuradas. La reputación se construye despacio, se arruina en una campaña.

Preguntas y respuestas

Comprobador de DNS de correo (SPF/DKIM/DMARC)

¿Por qué mis correos caen en spam? Comprueba SPF, DKIM y DMARC.

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Comprobador de contraseñas filtradas

Decodificador JWT

Comprobador de DNS de correo (SPF/DKIM/DMARC)

¿Por qué mis correos caen en spam? Comprueba SPF, DKIM y DMARC.

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Comprobador de contraseñas filtradas

Decodificador JWT