Comprobador de registros SPF/DKIM/DMARC

Introduce un dominio para consultar en tiempo real sus registros SPF, DMARC y DKIM, y diagnosticar la configuración de autenticación de correo contra la suplantación.

Consejos

  • El orden habitual es SPF, luego DKIM y por último DMARC. Configura primero SPF y DKIM, y usa DMARC al final para indicar claramente a los receptores cómo actuar.
  • No empieces DMARC directamente con p=reject. Recoge primero informes con p=none para identificar todos los orígenes de envío legítimos antes de endurecer la política paso a paso.
  • Los dominios con muchos "include" en SPF pueden superar el límite de "10 consultas DNS / 255 caracteres" y provocar fallos de resolución, así que conviene depurar periódicamente los include innecesarios.
  • Esta herramienta solo prueba selectores DKIM comunes, así que un resultado de "no encontrado" puede simplemente significar que se usa un selector distinto.
  • Grandes receptores como Gmail y Outlook exigen desde 2024 SPF, DKIM y DMARC a los remitentes masivos, por lo que los dominios que envían boletines deberían revisar esta configuración con prioridad.

Preguntas frecuentes

No es estrictamente obligatorio, pero solo cuando los tres están configurados juntos se logra una defensa coherente: demostrar la legitimidad del remitente (SPF/DKIM) e indicar al receptor cómo actuar ante un fallo (DMARC). Configurar solo uno tiene un efecto limitado, por lo que se recomienda implementarlos en orden.

No necesariamente. Como el nombre del selector DKIM lo elige libremente cada servicio de envío, un resultado de "no encontrado" solo indica que el dominio no usa uno de los nombres comunes que prueba esta herramienta (default, google, etc.). Para comprobarlo con precisión, consulta el panel del servicio de envío o la cabecera DKIM-Signature de un correo.

No es recomendable. Si aún no has identificado todos los orígenes de envío legítimos (servicios de boletines, sistemas internos, etc.), poner reject de inmediato puede bloquear también correo legítimo. Es más seguro empezar con p=none, recopilar informes durante unas semanas para confirmar que no hay problemas, y luego endurecer gradualmente hacia quarantine y reject.

Lo recomendable a largo plazo es -all (Fail, rechazo explícito), pero durante un periodo de transición en el que no se tiene plena confianza en la configuración de SPF, es más seguro usar ~all (SoftFail, tratado como sospechoso) y confirmar que no se bloquea correo legítimo antes de pasar a -all.

No. La consulta DNS del dominio introducido se realiza al instante y los datos de los registros obtenidos no se almacenan en el servidor.
ツールくん

A propósito — Cómo nacieron los tres pilares de la autenticación de correo

SPF, DKIM y DMARC surgieron en momentos y por motivos distintos. SPF, el primero en aparecer (hacia 2003), declara qué direcciones IP pueden enviar correo en nombre de un dominio, y se popularizó como respuesta a los spammers que falsificaban la dirección del remitente. Sin embargo, SPF es débil frente al reenvío: al reenviarse un mensaje, la IP de origen cambia y la autenticación se rompe.

DKIM (estandarizado hacia 2007) vino a compensar esa debilidad. En lugar de juzgar por la dirección IP como hace SPF, añade una firma digital a parte del cuerpo y las cabeceras del mensaje, que el receptor verifica con una clave pública publicada en el DNS; así, la autenticación sigue siendo válida tras el reenvío mientras la firma en sí no se altere.

Aun así, SPF y DKIM solo podían detectar que la autenticación había fallado; qué hacer con ese correo —entregarlo, marcarlo como spam o rechazarlo— quedaba enteramente a criterio del servidor receptor. DMARC, estandarizado en 2012, unificó estas instrucciones para el receptor. Además incorporó un mecanismo de informes (rua=) que devuelve los resultados de autenticación a los administradores del dominio emisor, permitiendo vigilar de forma continua si el propio dominio está siendo suplantado.

Cuando en 2024 Google y Yahoo exigieron de facto SPF, DKIM y DMARC a los remitentes masivos (más de 5.000 mensajes diarios), estos tres pilares dejaron de ser conocimiento exclusivo de grandes empresas para convertirse en una base imprescindible para cualquier organización que envíe boletines o notificaciones automáticas.

→ Ver todas las curiosidades