Revisar registros DNS de correo (MX, SPF, DKIM, DMARC)

Por qué importa

Marketing activa SendGrid el viernes; el lunes llegan rebotes masivos porque el SPF lista un include equivocado. Seguridad audita informes DMARC agregados con remitentes no autorizados que estampan tu dominio. IT migra MX a Microsoft 365 pero olvida MX secundarios — el correo externo se retrasa en silencio. Inspeccionar DNS pertenece a toda sala de guerra de entregabilidad antes de contratar consultores caros.

Tres escenarios reales

Ingeniero DevOps

Validar corte DNS antes de apagar SMTP legacy

Consulta prioridades MX y TTL tras bajar registros región a región.

Propagación limpia

Email marketer

Demostrar alineación SPF/DKIM en alta del ESP

Captura cadenas TXT con includes v=spf1 y claves DKIM por selector.

Capturas para tickets

Analista de seguridad

Detectar políticas DMARC débiles

Verifica si dominios siguen en p=none sin plan de refuerzo progresivo.

Recomendaciones duras

Guía paso a paso

Abre la comprobación DNS de correo.

Introduce dominio o etiquetas por selector
MX/SPF/DMARC en raíz; DKIM suele usar selector._domainkey.example.com — confirma documentación del ESP.
Elige tipos de registro
MX para enrutamiento, TXT para bloques SPF/DMARC/DKIM, CNAME al delegar DKIM a proveedores — selección múltiple según necesidad.
Inspecciona TTL y autoridad
TTL cortos ayudan migraciones pero cargan resolvers — anota valores al planificar ventanas de rollback.
Copia extracto diagnóstico
Pégalo en tickets de soporte con marcas de tiempo para trazar líneas temporales de propagación.

Sanidad de fragmento SPF

Input

Dominio: example.com
Registro: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Luego verifica que los includes resuelvan y los mecanismos respeten límites de búsqueda DNS)

Consejos útiles

Combina con el analizador de URL al diseccionar enlaces mailto: en PDF sospechosos.
Contrasta desde varios resolvers: el DNS split-horizon corporativo puede mentir frente a Internet público — compara con dig desde shells en la nube si persisten escalaciones.
Documenta cambios secuenciales: el endurecimiento DMARC va en tickets de gestión de cambio con instantáneas TXT antes/después.

Trampas comunes

Error frecuente

Retrasos de propagación DNS

Las respuestas en caché van a la zaga de la realidad global — espera ventanas TTL antes de declarar fallo tras cambiar proveedor de madrugada.

Error frecuente

Varios registros TXT SPF

El estándar espera un solo TXT SPF por zona — duplicados accidentales generan fallos permanentes.

Error frecuente

Rotación de selector DKIM

Conviven selectores antiguos durante rotaciones de clave — valida ambos hasta que los receptores actualicen caché.

Cuándo no es la herramienta adecuada

Depuración MIME a nivel buzón: obtén cabeceras .eml crudos en el cliente de correo.
Trazas de conversación SMTP: necesitas logs de servidor (STARTTLS, AUTH) más allá de DNS.
Puntuación de reputación: Talos/SenderScore complementan higiene DNS sin sustituirla.

Preguntas frecuentes

¿Se registran las consultas de forma centralizada?

Las consultas se ejecutan en tu entorno de navegador según MoreKits — evita escribir esquemas internos ultra sensibles en máquinas compartidas si la política lo prohíbe.

¿Envía correos de prueba?

No — solo lee DNS; la prueba de entregabilidad sigue requiriendo semillas en múltiples proveedores.

Consideraciones IPv6

Algunos MX publican registros AAAA — verifica alcance dual-stack aparte de la corrección DNS.

Próximos pasos

Codifica especificaciones QR Wi‑Fi antes de mudanzas con el generador QR Wi‑Fi.
Hashea secretos de webhooks con el generador HMAC.
Compara URLs sospechosas estructuralmente con el analizador de URL.

Por qué importa

Tres escenarios reales

Ingeniero DevOps

Validar corte DNS antes de apagar SMTP legacy

Consulta prioridades MX y TTL tras bajar registros región a región.

Propagación limpia

Email marketer

Demostrar alineación SPF/DKIM en alta del ESP

Captura cadenas TXT con includes v=spf1 y claves DKIM por selector.

Capturas para tickets

Analista de seguridad

Detectar políticas DMARC débiles

Verifica si dominios siguen en p=none sin plan de refuerzo progresivo.

Recomendaciones duras

Guía paso a paso

Introduce dominio o etiquetas por selector

MX/SPF/DMARC en raíz; DKIM suele usar selector._domainkey.example.com — confirma documentación del ESP.

Elige tipos de registro

MX para enrutamiento, TXT para bloques SPF/DMARC/DKIM, CNAME al delegar DKIM a proveedores — selección múltiple según necesidad.

Inspecciona TTL y autoridad

TTL cortos ayudan migraciones pero cargan resolvers — anota valores al planificar ventanas de rollback.

Copia extracto diagnóstico

Pégalo en tickets de soporte con marcas de tiempo para trazar líneas temporales de propagación.

Sanidad de fragmento SPF

Input

Dominio: example.com
Registro: TXT (SPF)

Output

v=spf1 include:_spf.google.com include:sendgrid.net ~all
(Luego verifica que los includes resuelvan y los mecanismos respeten límites de búsqueda DNS)

Consejos útiles

Combina con el analizador de URL al diseccionar enlaces mailto: en PDF sospechosos.

Contrasta desde varios resolvers: el DNS split-horizon corporativo puede mentir frente a Internet público — compara con dig desde shells en la nube si persisten escalaciones.

Documenta cambios secuenciales: el endurecimiento DMARC va en tickets de gestión de cambio con instantáneas TXT antes/después.

Trampas comunes

Error frecuente

Retrasos de propagación DNS

Las respuestas en caché van a la zaga de la realidad global — espera ventanas TTL antes de declarar fallo tras cambiar proveedor de madrugada.

Error frecuente

Varios registros TXT SPF

El estándar espera un solo TXT SPF por zona — duplicados accidentales generan fallos permanentes.

Error frecuente

Rotación de selector DKIM

Conviven selectores antiguos durante rotaciones de clave — valida ambos hasta que los receptores actualicen caché.

Preguntas frecuentes

¿Se registran las consultas de forma centralizada?

Las consultas se ejecutan en tu entorno de navegador según MoreKits — evita escribir esquemas internos ultra sensibles en máquinas compartidas si la política lo prohíbe.

¿Envía correos de prueba?

No — solo lee DNS; la prueba de entregabilidad sigue requiriendo semillas en múltiples proveedores.

Consideraciones IPv6

Algunos MX publican registros AAAA — verifica alcance dual-stack aparte de la corrección DNS.