La auditoría de seguridad fue rutinaria hasta que revisaron la infraestructura de email. Un registro SPF con un error de sintaxis que llevaba meses fallando silenciosamente. Una clave DKIM que no se había rotado desde la configuración inicial hace tres años. La política DMARC aún en p=none, proporcionando monitoreo pero sin protección. El dominio había sido suplantable todo ese tiempo.
La seguridad del email no es glamorosa, pero es crítica. Un dominio de email mal configurado es una invitación abierta a ataques de phishing que suplantan tu marca. Las comprobaciones técnicas son sencillas—SPF, DKIM, DMARC, configuración de TLS—pero es fácil equivocarse y aún más fácil olvidarlas.
Las herramientas de escaneo de seguridad automatizan estas comprobaciones y detectan misconfiguraciones antes de que se conviertan en incidentes.
Escáneres de autenticación
MXToolbox es la navaja suiza del diagnóstico de email. Su SuperTool ejecuta comprobaciones completas contra tu dominio: validación del registro SPF, verificación de claves DKIM, análisis de políticas DMARC, configuración de registros MX y estado en listas negras. Ingresa tu dominio y obtén un informe de lo que está correctamente configurado y lo que requiere atención.
El plan gratuito cubre comprobaciones básicas; los planes de pago agregan monitoreo y alertas. Para auditorías de seguridad periódicas, las pruebas gratuitas son suficientes. Para monitoreo continuo, las alertas de pago detectan problemas a medida que se desarrollan.
DMARC Analyzer se centra específicamente en la autenticación de email. Más allá de verificar tu configuración actual, analizan los informes DMARC para mostrar quién envía email como tu dominio, tanto servicios legítimos como posibles impostores. La visualización facilita identificar remitentes no autorizados.
Sus herramientas te ayudan a pasar de p=none (monitoreo) a p=reject (aplicación) de forma segura, identificando remitentes legítimos que deben autorizarse antes de endurecer la política.
Dmarcian ofrece un análisis similar enfocado en DMARC con excelente documentación. Su verificador de dominio proporciona retroalimentación instantánea sobre tu configuración de autenticación, y su plataforma convierte los informes DMARC en información accionable. El contenido educativo te ayuda a entender no solo qué está mal, sino por qué importa.
Mail Tester comprueba tus emails reales, no solo la configuración de tu dominio. Envía un email a su dirección de prueba y lo analizarán para autenticación, detonantes de spam y factores de entregabilidad. La puntuación de 1 a 10 proporciona un chequeo rápido de salud, con comentarios detallados sobre problemas específicos.
Es particularmente útil para comprobar que los emails de tu aplicación estén correctamente autenticados: la configuración puede ser correcta, pero si tu aplicación no firma los emails correctamente, la autenticación seguirá fallando.
Escáneres de TLS y cifrado
CheckTLS prueba la configuración TLS de tu servidor de correo. Intenta conexiones con varias versiones de TLS y conjuntos de cifrado, informando lo que tu servidor admite y lo que debería admitir. Cifrados débiles, protocolos obsoletos y problemas de certificado aparecen en el informe.
La configuración de TLS evoluciona a medida que se descubren vulnerabilidades. Lo que era seguro hace tres años puede ser vulnerable hoy. Un escaneo regular detecta la deriva de configuración antes de que sea explotable.
SSL Labs, aunque diseñado para servidores web, puede probar certificados de servidores de correo. Su análisis detallado muestra problemas en la cadena de certificados, soporte de protocolos y fortaleza de cifrados. El sistema de calificación (de A a F) ofrece una evaluación rápida de tu postura de seguridad TLS.
Hardenize proporciona un escaneo de seguridad integral que incluye comprobaciones específicas de email. Su escaneo gratuito cubre la configuración TLS, registros de autenticación y encabezados de seguridad. El panel muestra tu postura de seguridad en el tiempo, rastreando mejoras y regresiones.
Escáneres de vulnerabilidades
Para una evaluación de seguridad más profunda, los escáneres de vulnerabilidades de propósito general pueden apuntar a la infraestructura de email.
Nmap, con los scripts apropiados, puede sondear servidores de correo en busca de vulnerabilidades conocidas, relays abiertos y misconfiguraciones. Los scripts smtp-commands y smtp-enum-users apuntan específicamente a servidores de email. Es más técnico que las herramientas basadas en web, pero proporciona una visión más profunda.
OpenVAS (ahora Greenbone) incluye comprobaciones de vulnerabilidades de servidores de correo en su escaneo integral. Si operas infraestructura de email autogestionada, el escaneo de vulnerabilidades regular es esencial. Open source y exhaustivo, aunque la curva de aprendizaje es significativa.
Qué debes escanear
La configuración de autenticación es la base. SPF debe listar todas las fuentes legítimas de envío y terminar con -all (rechazo estricto). Las claves DKIM deben estar presentes y correctamente configuradas para todos los dominios de envío. DMARC debe publicarse con una política que coincida con tu tolerancia al riesgo—idealmente p=reject una vez que hayas verificado todos los remitentes legítimos.
La configuración de TLS debe admitir protocolos modernos (TLS 1.2 como mínimo, TLS 1.3 preferido) y conjuntos de cifrado fuertes. Los certificados deben ser válidos, tener la cadena correctamente configurada y no vencer pronto. Los registros DANE, si se implementan, deben coincidir con tus certificados.
Los registros MX deben apuntar a servidores que controlas o en los que confías. Los registros MX que apuntan a servidores dados de baja suponen un riesgo de toma de control—los atacantes pueden reclamar la IP del servidor antiguo y recibir tu email.
El estado en listas negras indica problemas de reputación. Estar listado en listas negras importantes (Spamhaus, Barracuda, etc.) afecta la entregabilidad y puede indicar compromiso. La verificación regular detecta listados temprano.
La prueba de relay abierto verifica que tu servidor no acepte y reenvíe email de remitentes no autorizados. Los relays abiertos se explotan rápidamente para spam, destruyendo tu reputación y potencialmente llevándote a listas negras.
Cómo construir una rutina de escaneo
Los escaneos puntuales detectan problemas actuales; los escaneos regulares detectan la deriva y nuevos problemas.
Semanal: Revisa el estado en listas negras. Los listados pueden ocurrir rápidamente después de un compromiso o una queja de spam. La detección temprana limita el daño.
Mensual: Ejecuta comprobaciones de autenticación (MXToolbox, DMARC Analyzer). Verifica que SPF, DKIM y DMARC sigan correctamente configurados. Revisa que no se hayan añadido nuevos servicios de envío sin actualizar los registros de autenticación.
Trimestral: Escaneo de seguridad completo, incluyendo configuración de TLS, vencimiento de certificados y evaluación de vulnerabilidades. Revisa los informes DMARC en busca de intentos de envío no autorizados.
Después de cambios: Cada vez que modifiques la infraestructura de email—nuevo servicio de envío, migración de servidor, cambios de DNS—ejecuta un escaneo completo para verificar que nada se haya roto.
Automatiza lo que puedas. Muchos servicios de escaneo ofrecen APIs o escaneos programados con alertas. El monitoreo automatizado detecta problemas más rápido que las comprobaciones manuales periódicas.
Frequently asked questions
¿Con qué frecuencia debo rotar las claves DKIM?
Las mejores prácticas de la industria sugieren rotar las claves DKIM cada 6-12 meses. Las claves más largas (de 2048 bits) pueden rotarse con menor frecuencia que las más cortas. El proceso de rotación requiere publicar la nueva clave, actualizar tu configuración de firmado y mantener la clave antigua publicada hasta que se entreguen los emails en tránsito.
¿Qué política DMARC debería usar?
Comienza con p=none para recopilar informes sin afectar la entrega. Una vez que hayas identificado todos los remitentes legítimos y configurado su autenticación, pasa a p=quarantine. Después de confirmar que ningún email legítimo está siendo puesto en cuarentena, pasa a p=reject para una protección completa. Este enfoque gradual evita bloquear email legítimo.
¿Mi servidor de email es un relay abierto?
Pruébalo: intenta enviar email a través de tu servidor desde una fuente no autorizada hacia una dirección externa. MXToolbox y herramientas similares incluyen pruebas de relay abierto. Si tu servidor acepta y reenvía el email, es un relay abierto y necesita una remediación inmediata.
¿Qué hago si estoy en una lista negra?
Primero, identifica y corrige la causa—cuenta comprometida, quejas de spam o misconfiguración. Luego solicita la eliminación de la lista negra (cada una tiene su propio proceso). Monitorea para asegurarte de no volver a ser listado. Algunas listas negras eliminan listados automáticamente una vez resuelto el problema; otras requieren solicitudes manuales.