Herramientas de diagnóstico de red
Conecta a un servidor de correo y comprueba STARTTLS
DNS y registros
Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNSEntregabilidad de correo
Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTPRed y web
Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertosDominio
Consulta WHOIS Datos de registro de dominios, IPs y ASNsEsta prueba SMTP resuelve el MX principal de un dominio, abre una conexión en el puerto 25, lee el banner de saludo y la lista de capacidades de EHLO, e informa de si el servidor ofrece STARTTLS para una entrega cifrada. Es una forma rápida de confirmar que un servidor de correo es alcanzable y compatible con TLS.
Cuando envías un dominio, IPeek consulta sus registros MX, elige el host de mayor prioridad y abre una conexión TCP en el puerto 25. El servidor responde con un banner de saludo 220 que nombra el software, normalmente Postfix, Exim o Microsoft. IPeek envía entonces EHLO y analiza la respuesta multilínea 250 que lista las extensiones admitidas. Busca STARTTLS en esa lista: indica que el servidor puede actualizar la sesión en texto plano a un canal TLS cifrado antes de intercambiar datos de correo. SIZE, PIPELINING y 8BITMIME suelen aparecer junto a él.
Empieza por el banner. Una respuesta 220 significa que el servidor aceptó la conexión y está listo. Si STARTTLS aparece en la lista de capacidades de EHLO, el servidor puede cifrar la entrega entrante; su ausencia significa que el correo puede retransmitirse en texto claro. Un tiempo de espera agotado o una conexión rechazada suelen apuntar a un cortafuegos, un MX equivocado o un host caído. Ten en cuenta que el puerto 25 es para la entrega entre servidores, no para el envío desde clientes, que usa 587 o 465. El hostname del banner debería coincidir con tu registro PTR para satisfacer a los receptores que lo comprueban.
Conexión rechazada o agotada es el fallo más frecuente, normalmente un cortafuegos bloqueando el puerto 25 o un registro MX apuntando al host equivocado. Una línea STARTTLS ausente significa que el servidor receptor no puede negociar TLS, así que añade un certificado y actívalo en tu MTA. Un certificado autofirmado o caducado sigue anunciando STARTTLS pero rompe las políticas TLS estrictas como MTA-STS y DANE. Si el banner reporta un hostname genérico distinto de tu DNS inverso, arregla el registro PTR, porque muchos receptores rechazan el correo cuando el banner y el PTR no concuerdan.
La entrega de correo entre servidores usa el puerto 25, que es al que se conecta esta prueba. Los puertos 587 y 465 están reservados para el envío de correo desde clientes y aplicaciones, con 587 usando STARTTLS y 465 usando TLS implícito. IPeek comprueba el puerto 25 porque es donde los servidores MX receptores aceptan el correo entrante de internet.
STARTTLS actualiza una sesión SMTP en texto plano a una conexión TLS cifrada. El servidor anuncia STARTTLS en su respuesta EHLO, y el servidor remitente emite el comando para negociar TLS antes de transmitir cualquier dato del mensaje. Sin él, el correo cruza la red en texto claro y puede leerse o alterarse en tránsito. STARTTLS es oportunista salvo que se imponga mediante MTA-STS o DANE.
Un tiempo de espera agotado casi siempre significa que un cortafuegos bloquea el puerto 25 o que el registro MX apunta a un host caído o inalcanzable. Muchas redes residenciales y cloud bloquean el puerto 25 saliente por defecto. Confirma que el MX resuelve correctamente, comprueba que el servidor de correo está escuchando y verifica que ninguna regla de cortafuegos o grupo de seguridad esté descartando la conexión.
Significa que el correo entrante a ese servidor puede entregarse sin cifrar, exponiéndolo a interceptación en la red. La mayoría de los receptores modernos siguen aceptando el correo, pero no pueden cifrar la sesión. Para arreglarlo, instala un certificado TLS válido y activa STARTTLS en la configuración de tu MTA, y luego repite la prueba para confirmar que la capacidad ya aparece.
El banner de saludo es la primera línea que envía un servidor de correo tras conectar, comenzando por el código de respuesta 220. Identifica el software y el hostname del servidor y confirma que está listo para aceptar comandos. Los receptores suelen comparar el hostname del banner con el registro PTR de la IP que se conecta, así que una discrepancia puede activar el filtrado de spam o un rechazo directo.