Probar configuración de email en Mail-Tester y obtener puntuación 10 de 10
Cómo probar la configuración de email en Mail-Tester, verificar la puntuación SPF DKIM DMARC y corregir fallos antes de enviar campañas en producción.
Antes de poner cualquier flujo de email en producción — transaccionales de signup, recuperación de contraseña, notificaciones de billing o newsletters — necesitas validar que el servidor envía mensajes autenticados correctamente. Sin SPF, DKIM y DMARC bien configurados, tus mensajes irán al spam aunque el contenido sea legítimo, y ningún proveedor serio (Gmail, Outlook, iCloud) los entregará a la inbox.
Mail-Tester es la herramienta estándar de la industria para esta validación. Es gratuita para tres pruebas diarias, genera un informe detallado en segundos y asigna una puntuación de 0 a 10 que cubre autenticación, formato, reputación de la IP, señales de SpamAssassin y listas negras. Alcanzar 10/10 no garantiza inbox en todos los proveedores, pero una puntuación por debajo de 8 garantiza problemas.
Este tutorial es para sysadmins y desarrolladores que ya tienen Postfix (u otro MTA) corriendo en un VPS Linux y necesitan validar la configuración antes de pasar a producción. Tiempo estimado: 20-30 minutos para la primera prueba, más el tiempo de corregir cada fallo encontrado.
Requisitos previos
Necesitas un VPS Linux con Postfix instalado y funcionando, acceso sudo en el servidor, control del DNS del dominio (Cloudflare, Registro.br, etc.) y un cliente capaz de enviar email autenticado — puede ser el propio sendmail, swaks o un script PHP/Python.
Postfix 3.6+ Ubuntu 22.04 / 24.04 LTS 25 (salida) y 587 (submission) swaks o mail Confirma que Postfix está corriendo antes de continuar:
sudo systemctl status postfixSi el output muestra active (running), estás listo. En caso contrario, instala y habilita con sudo apt install postfix && sudo systemctl enable --now postfix.
Generar la dirección única en Mail-Tester
Cada prueba de Mail-Tester usa una dirección única, desechable, que caduca en 45 minutos. Envías un email a esa dirección, abres la página del informe y el servicio analiza el mensaje.
Accede a mail-tester.com en una pestaña del navegador. La página inicial muestra una dirección con el formato [email protected].
Copia esa dirección completa — la usarás como destinatario en el siguiente paso. No recargues la página antes de enviar el email, o la dirección cambiará y el informe quedará vacío.
En el servidor, instala swaks (Swiss Army Knife for SMTP), que facilita probar envíos autenticados con headers personalizados:
sudo apt install -y swaksswaks corre en Perl, ocupa menos de 200 KB y acepta control fino de HELO, From, To, headers y body — útil para reproducir exactamente lo que tu aplicación envía en producción.
Envía el email de prueba sustituyendo tudominio.com por tu dominio real y la dirección de Mail-Tester generada en el paso 01:
swaks --to [email protected] \
--from "[email protected]" \
--server localhost \
--h-Subject "Prueba Mail-Tester $(date +%F)" \
--body "Contenido de prueba para validar autenticación SPF DKIM DMARC."Si todo salió bien, swaks muestra 250 2.0.0 Ok: queued as ... en la última línea. Ese código es el servidor confirmando que aceptó el mensaje para su entrega.
Vuelve a la pestaña de Mail-Tester y haz clic en “Then check your score”. En hasta 30 segundos aparecerá el informe con la puntuación en el lateral izquierdo y el análisis detallado a la derecha.
Si el informe muestra “We did not receive your email yet”, espera 60 segundos más y haz clic de nuevo. Postfix puede tardar en procesar la cola si hay mensajes atascados; verifica con mailq en el servidor.
Interpretar el informe y las deducciones
La puntuación de Mail-Tester parte de 10 y descuenta puntos por cada fallo. Las categorías principales son autenticación (SPF/DKIM/DMARC), contenido (formato HTML, enlaces, peso del mensaje), reputación (IP en listas negras públicas) e identificación (rDNS, HELO válido).
Fallo de SPF
Si el informe muestra “SPF: softfail” o “no SPF record”, el dominio no publicó autorización para que la IP de tu servidor envíe. Solución: añade un registro TXT en la zona DNS:
tudominio.com. IN TXT "v=spf1 ip4:203.0.113.45 -all"Sustituye 203.0.113.45 por la IPv4 pública de tu VPS. El -all al final es hardfail — cualquier IP fuera de la lista es rechazada. Usa ~all (softfail) solo durante la migración; en producción, hardfail es el estándar.
Fallo de DKIM
DKIM exige una clave firmada que demuestra que el email salió de tu dominio sin alteraciones en el camino. Postfix por sí solo no firma DKIM — necesitas OpenDKIM corriendo como milter.
Instala y configura OpenDKIM:
sudo apt install -y opendkim opendkim-tools
sudo mkdir -p /etc/opendkim/keys/tudominio.com
cd /etc/opendkim/keys/tudominio.com
sudo opendkim-genkey -s mail -d tudominio.com
sudo chown opendkim:opendkim mail.privateEsto genera dos archivos: mail.private (clave privada que el servidor usa para firmar) y mail.txt (registro DNS para publicar).
Publica el contenido de mail.txt como registro TXT en el DNS. El archivo tiene el formato:
mail._domainkey.tudominio.com. IN TXT "v=DKIM1; h=sha256; k=rsa; p=MIGfMA0GCSq..."Pega exactamente el valor entre comillas en el panel DNS. Espera 5-10 minutos para la propagación y valida con dig TXT mail._domainkey.tudominio.com +short.
Fallo de DMARC
DMARC instruye al proveedor receptor sobre qué hacer si SPF o DKIM fallan. Sin DMARC publicado, Mail-Tester descuenta 1.0 punto. Añade:
_dmarc.tudominio.com. IN TXT "v=DMARC1; p=quarantine; rua=mailto:[email protected]; pct=100; aspf=s; adkim=s"La política p=quarantine envía los emails que fallan a la carpeta de spam — política más segura para empezar. Tras una semana de informes limpios vía rua, evoluciona a p=reject.
Reverse DNS ausente
Si el informe muestra “Your message could not be tested” o “PTR record missing”, la IP del VPS no tiene rDNS configurado. Sin PTR, Gmail y Outlook rechazan directamente.
PTR se registra en la zona inversa de la IP, controlada por el proveedor que asigna el bloque. En VPS Hostini, configura el rDNS desde el panel en VPS > IPs > rDNS. Otros proveedores pueden exigir abrir un ticket.
Verificación
Tras aplicar SPF, DKIM, DMARC y rDNS, genera una dirección nueva en Mail-Tester (no reutilices la anterior) y repite los pasos 01 a 04. El informe debe mostrar:
SPF: pass
DKIM: pass (signed by tudominio.com)
DMARC: pass
PTR: ptr.tudominio.com
SpamAssassin: 0.0 / negative is good
Score: 10/10Si aún no llegas a 10, el informe señala exactamente cada deducción. Los errores más comunes que quedan a esta altura son SpamAssassin reaccionando al contenido (URLs acortadas, palabras gatillo) o la IP estando en alguna lista negra menor — haz clic en cada elemento para ver el detalle.
Resolución de problemas
Puntuación baja por SpamAssassin
Si el informe muestra SpamAssassin: 2.3 o similar, abre la sección y lee cada regla que se disparó. Reglas habituales: HTML_MESSAGE (envía también versión en texto plano), MIME_HTML_ONLY (mismo problema), HTML_IMAGE_RATIO_02 (HTML casi solo imagen, poco texto). Corregir el contenido lleva esta categoría a cero sin tocar la configuración del servidor.
IP en lista negra
Mail-Tester comprueba contra ~10 listas negras públicas (Spamhaus, SORBS, Barracuda). Si aparece “Listed on X”, visita el sitio de la lista negra y sigue el proceso de desbloqueo — generalmente es un formulario sencillo explicando el uso legítimo de la IP. Spamhaus suele desbloquear en 24h para IPs comerciales.
DKIM falla incluso con la clave publicada
Confirma que mail.private en el servidor corresponde EXACTAMENTE al p= publicado en el DNS. Si generaste la clave dos veces durante el setup, la versión antigua puede estar en el disco y la nueva en el DNS — y la firma nunca coincidirá. Limpia /etc/opendkim/keys/ y regenera desde cero.
Confirma con:
opendkim-testkey -d tudominio.com -s mail -vvvOutput esperado: key OK. Cualquier otra cosa indica discrepancia entre el archivo local y el DNS publicado.
Próximos pasos
Una puntuación de 10/10 en Mail-Tester es el suelo, no el techo. Para ir más allá:
- Configura informes DMARC agregados (
rua) y parseéalos con Postmark DMARC Monitor o dmarcian — así ves intentos de spoofing en tiempo real. - Implementa BIMI (Brand Indicators for Message Identification) para mostrar tu logo en la inbox de Gmail y Yahoo Mail — exige DMARC en
p=rejecty certificado VMC. - Prueba inbox placement en proveedores reales con GlockApps o Mailtrap — estos servicios envían a cuentas seed en Gmail, Outlook y Yahoo y reportan dónde cayó (inbox, promotions, spam).
- Monitoriza la reputación de forma continua vía Google Postmaster Tools y Microsoft SNDS — ambos gratuitos, muestran volumen, tasa de spam y reputación de la IP.
Si vas a poner este flujo en producción a escala, un VPS Hostini ya viene con rDNS configurable desde el panel e IPs con reputación limpia, sin necesidad de pasar por un calentamiento largo antes de enviar volumen significativo.
Preguntas frecuentes
¿Por qué mi puntuación comenzó en 10/10 y bajó a 8 horas después?
Mail-Tester genera una dirección nueva en cada prueba — caduca en 45 minutos. Si reutilizas una dirección antigua, el servicio la bloquea o reporta datos inconsistentes. Genera siempre una dirección nueva antes de cada ronda de pruebas.
¿Puedo alcanzar 10/10 sin registro DMARC?
No. Mail-Tester descuenta entre 0.5 y 1.0 punto si SPF, DKIM o DMARC están ausentes. Para la nota máxima los tres deben estar publicados y alineados con el dominio del header From.
Mi SPF pasa en Mail-Tester pero Gmail lo envía a spam — ¿por qué?
Mail-Tester evalúa la configuración técnica. Gmail también tiene en cuenta la reputación de la IP, el volumen histórico y la interacción. Las IPs nuevas o de rangos residenciales pueden entrar en greylist incluso con SPF, DKIM y DMARC perfectos. El calentamiento gradual de IP lo resuelve.
Mail-Tester reporta puntuación positiva de SpamAssassin — ¿es malo?
Sí. SpamAssassin asigna puntos positivos por características sospechosas (URLs acortadas, exceso de signos de exclamación, discrepancia entre URL y anchor text). Cada punto por encima de cero te cuesta nota. Revisa el contenido del email siguiendo la lista de reglas que muestra el informe.
¿Cuántas pruebas gratuitas permite Mail-Tester?
Tres pruebas por día por IP en el plan free. Por encima de eso el sitio muestra un paywall. Para desarrollo intensivo, alternativas como GlockApps o Mailtrap manejan cuotas separadas y ofrecen inbox placement en proveedores reales (Gmail, Outlook, Yahoo).
¿Necesito IP dedicada para alcanzar 10/10?
No para la puntuación en sí — una IP compartida limpia pasa SPF/DKIM/DMARC sin problemas. Pero para envíos en volumen (>1.000 emails/día) la IP dedicada evita que te arrastre la reputación de otros inquilinos en la IP compartida.