Iniciar sesión Seguir el proceso
Por Cesar Beas Suarez en Desarrollo Web

El correo “funciona” mucho antes de estar bien configurado

El correo del sitio enviaba mails y nada fallaba… hasta que miré de cerca. Lo que aprendí al configurar correo real con DNS y validaciones de verdad.

Temas: Desarrollo Web Mentalidad de ingeniería
Ícono de aplicación de correo con notificación, representando problemas de configuración de email
Photo by Brett Jordan / Unsplash

Configurar el correo era un paso menor... o no?

En este artículo encontrarás:
- Puede llegar bien al correo, en las primeras veces que se lo usa, y luego empezar a fallar.
- Registro qué aprendí realmente al configurar correo en un setup real con DNS propio.

Durante varios días, el correo de este sitio funcionó sin dar ninguna señal de alerta.

Publicaba un post.
Llegaba el mail.
Zoho respondía.
Mailgun enviaba newsletters.

Todo parecía correcto.

Y sin embargo, no lo estaba.

Cuando “funciona”, pero no del todo

En algún momento me di cuenta de algo incómodo:
había migrado el DNS del dominio desde Namecheap a Cloudflare, pero no había terminado de configurar la conexión real con Zoho ni con Mailgun.

Aun así, los mails seguían llegando.

Eso fue lo que más me llamó la atención.

El sistema parecía tolerar errores.
O mejor dicho: funcionaba a medias.

Hasta que un día envié nuevamente un post desde Ghost…
y esta vez terminó en spam.

Ahí entendí algo clave:

Que un mail llegue no significa que esté bien configurado. El correo puede funcionar “a medias” durante mucho tiempo sin que te des cuenta.

La falsa sensación de seguridad

El correo puede “funcionar” durante mucho tiempo sin estar correctamente validado.

Eso es peligroso porque:

  • algunos mails llegan
  • otros van a spam
  • otros directamente no llegan
  • y vos no te enteras

Todo parece estable… hasta que deja de serlo.

La estructura que "funcionaba"

Mi configuración actual es:

  • Dominio: cesarbeassuarez.dev
  • DNS: Cloudflare
  • Correo humano: Zoho Mail
  • Correo automático: Mailgun
  • Plataforma: Ghost

Así tenía el DNS de Cloudflare:

Panel de Cloudflare mostrando registros DNS del dominio cesarbeassuarez.dev
Configuración DNS en Cloudflare antes de corregir validaciones de correo

Y así estaba Mailgun:

Panel de Mailgun mostrando registros DNS y estado de verificación del dominio mg.cesarbeassuarez.dev
Estado de verificación del dominio en Mailgun durante la configuración inicial

*Mailgun mostraba solo mg.cesarbeassuarez.dev como Verified.

Panel de Mailgun mostrando registros DNS no verificados aún.

Y en Namecheap, el DNS antiguo estaba lleno de hashes, así:

Panel de DNS en Namecheap con múltiples registros antiguos antes de la migración
Estado del DNS en Namecheap antes de migrar a Cloudflare

Ahora había quedado vacío tras la migración:

Panel de server de DNS en opción CustomDNS
Configurado para gestionar DNS fuera de Namecheap
Panel de DNS en Namecheap sin registros luego de la migración
Estado del DNS en Namecheap despues de migrar a Cloudflare

El sistema funcionaba… pero sin garantías.

Errores que avisaron

Esta situación provocaba que los emails llegaran al correo no deseado, con mensajes hermosos como este:

Advertencia de Outlook indicando posible suplantación de identidad y correo no seguro
Advertencia real recibida por una mala configuración de SPF, DKIM y DMARC

Que advertían sobre:

Explicación de Microsoft sobre suplantación de identidad y correos sospechosos en Outlook
Documentación de Microsoft sobre detección de phishing en Outlook

Etapa de validaciones (herramientas externas)

Para entender qué estaba pasando, usé herramientas externas gratuitas.

Mail-Tester

Utilicé https://www.mail-tester.com/. Un sitio donde puedes probar enviar un email a la dirección que te muestran en pantalla y luego te dan un análisis acerca de cómo llegó el mail allí.

Panel de inicio de mail-tester.com

Para qué sirve

  • Score general
  • SPF / DKIM / DMARC
  • Listas negras
  • Formato del mensaje

Cuándo usarla

  • Antes de publicar un post
  • Después de cambios DNS
  • Para “antes vs después” (como ahora)

Al usarlo me mostró lo que estaba fallando:

Resultado de Mail-Tester mostrando puntuación de spam 3 sobre 10
Resultado real antes de corregir la configuración de correo
Resultado de Mail-Tester detalles
Resultado real detallado
Resultado en mail-tester.com, detalles de sección firma DKIM no es valida
Detalles de sección firma DKIM no es valida
Resultado en mail-tester.com, detalles de sección sobre registros MX
Detalle indicando problema con registros MX

El resultado fue claro:
había problemas en SPF, MX, DKIM y DMARC.

Análisis de headers (la prueba real)

La forma más honesta de saber si el correo está bien configurado es mirar los headers.

No simulan nada.
Analizan un mail real que llegó a una bandeja real.

Cada email tiene:

  • cuerpo → lo que ves
  • headers → metadatos técnicos ocultos

En los headers queda registrado:

  • desde qué servidor salió el mail
  • quién lo firmó (DKIM)
  • si SPF pasó o no
  • si DMARC pasó o no
  • qué decidió el proveedor (Gmail, Outlook, etc.)

Son el log técnico del correo.

Qué mirar realmente

Lo importante es encontrar estas líneas (o equivalentes):

  • spf=pass
  • dkim=pass
  • dmarc=pass

Si las tres están en PASS, el correo está bien configurado de verdad.

Para llegar a los headers hay que ir a:

Menú de Outlook mostrando la opción para ver el origen del mensaje y los headers del correo
Acceso al origen del mensaje en Outlook para analizar los headers reales del email.

En mi caso, antes de corregir todo, los headers mostraban:

Headers de correo antes de la corrección mostrando SPF none, DKIM fail y DMARC fail
Los headers confirmaban el problema: el correo llegaba, pero no estaba autenticado correctamente.
  • SPF: none
  • DKIM: fail
  • DMARC: fail

El mail “llegaba”, pero estaba roto.

Como se resuelve

  • Asegurarse de pasar todos los registros DNS de Mailgun a Cloudflare, esto los pasará a estado Verified.
  • Asegurarse de que exista SPF de Mailgun y SPF de Zoho en Cloudflare
Panel de Mailgun mostrando todos los registros DNS verificados correctamente
Una vez agregados todos los registros DNS en Cloudflare, Mailgun pasó a estado Verified.

DNS Cloudflare correcto (agregados en verde):

Registros DNS correctos en Cloudflare con SPF, DKIM y DMARC configurados
Configuración final del DNS en Cloudflare con todos los registros necesarios activos.

Mail-Tester ahora:

Resultado de Mail-Tester con puntuación 10 de 10 tras corregir SPF, DKIM y DMARC
Después de la corrección, el correo pasó todas las validaciones sin problemas.

Headers ahora:

Headers de correo después de la corrección mostrando SPF pass, DKIM pass y DMARC pass
Los headers finales confirmaron que la autenticación del correo era correcta.

Aprendizaje clave

Como cierre, validé el estado real del correo usando dos cosas:
Mail-Tester y análisis de headers.

Mail-Tester es una herramienta gratuita (hasta 3 pruebas por día) que permite ver, desde afuera, cómo llega realmente un mail.

El análisis de headers es la prueba más importante de todas.
No simula nada: analiza un mail real que llegó a una bandeja real.

Si ambos están OK, entonces el correo pasa validaciones reales.

Y llega a la bandeja principal, sin advertencias.

Configurar correo no es solo que envíe.
Es que:

  • pase validaciones (la principal: análisis de headers)
  • sea confiable
  • y no dependa de la suerte

Como aprendizaje final, entendí que la configuración de email de un sitio web es muy similar a escribir código: que “funcione” a veces no significa que esté bien hecho. Hasta que no pasa validaciones reales, no está terminado.

Temas conectados:

El proceso completo de configuración, incluyendo Zoho y Mailgun: Cómo armé este sitio

Otro análisis técnico de la infraestructura: Cuánta seguridad necesita realmente un blog personal