Herramientas de diagnóstico de red
Valida tu registro Sender Policy Framework
DNS y registros
Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNSEntregabilidad de correo
Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTPRed y web
Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertosDominio
Consulta WHOIS Datos de registro de dominios, IPs y ASNsSPF (Sender Policy Framework) indica a los servidores de correo entrantes qué hosts pueden enviar email en nombre de tu dominio. Un registro SPF roto —duplicado, con demasiadas consultas DNS o sin un mecanismo «all»— hace que el correo legítimo acabe en spam. IPeek localiza tu registro SPF, analiza cada mecanismo y señala los problemas que perjudican la entregabilidad.
SPF se publica como registro TXT en tu dominio raíz y empieza por v=spf1. Cuando un servidor recibe un correo que dice venir de ti, consulta ese registro y comprueba si la IP remitente está autorizada. Un registro como v=spf1 include:_spf.google.com ip4:198.51.100.10 -all significa «permite los hosts de Google y esta IP, rechaza todo lo demás». Los mecanismos se evalúan de izquierda a derecha y gana la primera coincidencia. El mecanismo all del final es el comodín que decide el resultado por defecto para cualquier host no incluido explícitamente.
El mecanismo all define tu política: -all es un hardfail (rechaza remitentes no listados), ~all es un softfail (acepta pero marca como sospechoso) y +all permite a cualquiera; no lo uses nunca. SPF también limita a 10 el total de mecanismos que consultan DNS (include, a, mx, ptr, exists, redirect); si lo superas, el resultado es permerror y se trata como fallo. Los include anidados también cuentan, así que añadir varios proveedores agota el presupuesto sin que te des cuenta. IPeek cuenta cada consulta y te avisa antes de que llegues al tope.
SPF por sí solo no basta. Autentica el remitente del sobre (el return-path), no la dirección From visible que ve el usuario, así que un suplantador puede pasar SPF y aun así falsificar tu marca. DMARC cierra ese hueco al exigir alineación entre el dominio de SPF y el dominio del From, y al combinar SPF con DKIM para que cualquiera de los dos pueda autenticar un mensaje. Considera SPF como una de tres capas: SPF autoriza hosts, DKIM firma el contenido y DMARC los vincula a tu dominio del From y aplica la política.
SPF permite un máximo de 10 mecanismos que consultan DNS por evaluación. Los mecanismos include, a, mx, ptr, exists y redirect consumen consultas, y los include anidados cuentan para el mismo límite. Superar las 10 produce un permerror, que los receptores tratan como fallo de autenticación. Aplana o consolida los include para mantenerte por debajo del tope.
La diferencia está en la aplicación. -all es un hardfail que indica a los receptores que rechacen el correo de cualquier host no listado en tu registro, mientras que ~all es un softfail que les dice que lo acepten pero lo traten como sospechoso. Usa ~all durante las pruebas y pasa a -all cuando hayas confirmado que todos los remitentes legítimos están autorizados. Evita +all, que autoriza a cualquiera.
Un registro SPF por sí solo no garantiza llegar a la bandeja de entrada. Las causas habituales son superar el límite de 10 consultas (permerror), un mecanismo all ausente o demasiado permisivo, un host remitente que en realidad no está autorizado, o registros SPF duplicados en el mismo dominio. SPF tampoco protege tu dirección From visible: necesitas DKIM y DMARC junto a él para una entregabilidad sólida.
No. Un dominio debe publicar exactamente un registro TXT de SPF (v=spf1). Dos o más registros SPF provocan un permerror, y los receptores pueden rechazar tu correo o fallar la autenticación. Si necesitas autorizar varios remitentes, combínalos en un solo registro usando mecanismos include o ip4/ip6 adicionales en lugar de añadir un segundo registro.
No. SPF autentica el remitente del sobre (el return-path o MAIL FROM), no la cabecera From que ven realmente tus destinatarios. Por eso SPF por sí solo no puede frenar la suplantación de tu marca. DMARC añade la alineación de SPF, que exige que el dominio de SPF coincida con el dominio From visible, y eso es lo que cierra la brecha entre las comprobaciones a nivel de protocolo y lo que lee el usuario.