DNS avanzado: CNAME, MX, SPF y DKIM explicados

El DNS parece simple hasta que deja de serlo. Un registro mal escrito puede cortar tu web, dejar correos sin llegar o impedir que Google, Microsoft, Meta o una plataforma de email marketing verifiquen tu dominio. Por eso esta guía de dns avanzado spf dkim tiene un objetivo concreto: explicar CNAME, MX, SPF, DKIM, DMARC y TXT con ejemplos reales, sin convertirte en administrador de redes de la noche a la mañana.

Si todavía no tienes clara la base, parte por qué es un servidor DNS y cómo funciona. Si ya sabes que el DNS traduce nombres y dirige servicios, aquí vamos al siguiente nivel: los registros que conectan tu web, correo y herramientas externas.

Antes de tocar una zona productiva: documenta el estado actual, identifica dónde se administra la zona activa y evita copiar registros sin adaptarlos. Una captura puede ahorrarte horas de caída.

Antes de tocar DNS: qué debes confirmar

La primera pregunta no es “qué registro agrego”, sino dónde se administra la zona DNS activa. Tu dominio puede estar registrado en NIC Chile, pero usar nameservers de tu hosting. O puede estar en un registrador externo, con DNS en Cloudflare y web en Elevocloud. El lugar donde compras el dominio no siempre es el lugar donde editas DNS.

Confirma:

• Qué nameservers usa el dominio.
• En qué panel se editan los registros activos.
• Qué registros existen antes de cambiar nada.
• Qué servicios dependen del dominio: web, correo, SSL, subdominios, verificaciones.
• Cuál es el TTL de los registros relevantes.

El TTL indica cuánto tiempo pueden quedar cacheadas las respuestas DNS. Un TTL bajo ayuda en migraciones, pero no elimina por completo la propagación. Algunos cambios se ven en minutos; otros pueden tardar horas por cachés de proveedores, equipos o redes.

Si vas a cambiar DNS durante una transferencia, revisa cómo transferir tu dominio sin perder tu web. Si tu dominio es .cl, también conviene entender cómo registrar un dominio .cl en NIC Chile y la diferencia entre servidores DNS o redireccionamiento web.

Tabla rápida de registros DNS avanzados

CNAME: alias para servicios externos

Un CNAME dice: “este nombre debe comportarse como este otro nombre”. Es útil para www, landings, plataformas SaaS, tiendas externas, CRM, sistemas de reservas o validaciones.

Ejemplo:

www.midominio.cl.  CNAME  midominio.cl.
app.midominio.cl.  CNAME  plataforma.ejemplo.com.

Casos comunes:

• www apunta al dominio principal.
• tienda.midominio.cl apunta a una plataforma externa.
• landing.midominio.cl apunta a un constructor de landing pages.
• status.midominio.cl apunta a una herramienta de monitoreo.

Cuidado con el dominio raíz (midominio.cl). Muchos DNS tradicionales no permiten CNAME en la raíz porque ahí también viven registros como MX y TXT. Algunos proveedores ofrecen ALIAS, ANAME o CNAME flattening, pero no asumas que está disponible.

MX: los registros que deciden dónde llega el correo

Los registros MX indican qué servidores reciben correo para tu dominio. Si alguien escribe a ventas@midominio.cl, el servidor emisor consulta los MX de midominio.cl para saber dónde entregar el mensaje.

Ejemplo simple con correo en el mismo hosting:

midominio.cl.  MX  10 mail.midominio.cl.
mail.midominio.cl. A   192.0.2.10

Ejemplo conceptual con proveedor externo:

midominio.cl. MX 10 mx1.proveedorcorreo.cl.
midominio.cl. MX 20 mx2.proveedorcorreo.cl.

La prioridad importa: número más bajo, mayor prioridad. Tener varios MX permite respaldo o balance según proveedor.

Error típico: dejar MX antiguos del hosting y agregar MX de Google o Microsoft “por si acaso”. Eso puede provocar entregas inconsistentes. El correo debe tener una arquitectura clara. Si usas correo corporativo en cPanel, revisa email corporativo hosting cPanel.

SPF: quién puede enviar correo por tu dominio

SPF es un registro TXT que autoriza qué servidores pueden enviar correos en nombre de tu dominio. Ayuda a que otros servidores distingan envíos legítimos de suplantaciones.

Ejemplo simple:

midominio.cl. TXT "v=spf1 a mx include:_spf.proveedor.cl ~all"

Lectura humana:

• v=spf1: este TXT es una política SPF.
• a: autoriza la IP del registro A del dominio.
• mx: autoriza servidores definidos en MX.
• include:_spf.proveedor.cl: autoriza lo que defina ese proveedor.
• ~all: marca como sospechoso lo que no coincida, sin rechazo duro.

El error más común: tener dos registros SPF separados.

midominio.cl. TXT "v=spf1 include:_spf.google.com ~all"
midominio.cl. TXT "v=spf1 include:mailing.ejemplo.com ~all"

Eso puede romper validación. Normalmente debes combinar autorizaciones en un solo SPF:

midominio.cl. TXT "v=spf1 include:_spf.google.com include:mailing.ejemplo.com ~all"

No copies includes sin revisar límites. SPF tiene restricciones de consultas DNS; demasiados include pueden causar fallas.

DKIM: firma criptográfica para validar correos

DKIM agrega una firma digital al correo saliente. El servidor receptor consulta una clave pública publicada en DNS para verificar que el mensaje no fue alterado y que viene de un sistema autorizado.

El proveedor de correo suele entregarte un selector y un valor TXT o CNAME. Ejemplo genérico:

selector1._domainkey.midominio.cl. TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh..."

O, en algunos servicios:

selector1._domainkey.midominio.cl. CNAME selector1-midominio-cl._domainkey.proveedor.com.

El selector es la parte antes de ._domainkey. No lo inventes. Debe coincidir con lo que usa tu proveedor de correo.

Para probar DKIM, envía un correo a una cuenta externa y revisa encabezados, o usa herramientas de verificación del proveedor. Muchos paneles muestran “DKIM activo” cuando detectan la clave correctamente publicada.

DMARC: la capa que conviene mencionar aunque no te la pidan

DMARC usa SPF y DKIM para definir qué hacer con correos que fallan autenticación. También puede enviar reportes.

Ejemplo inicial prudente:

_dmarc.midominio.cl. TXT "v=DMARC1; p=none; rua=mailto:dmarc@midominio.cl"

Políticas comunes:

• p=none: monitorea, no bloquea.
• p=quarantine: sugiere mandar fallidos a spam.
• p=reject: sugiere rechazar fallidos.

No pases directo a reject si no tienes claro que todos tus sistemas legítimos pasan SPF o DKIM. Muchas empresas envían correos desde hosting, CRM, facturación, email marketing y soporte. Si olvidas uno, puedes bloquear mensajes reales.

TXT: verificaciones y configuraciones especiales

TXT es el cajón flexible del DNS. Se usa para verificaciones de Google Search Console, Microsoft 365, Meta Business, herramientas de email marketing, CRMs y servicios SaaS.

Ejemplos:

midominio.cl. TXT "google-site-verification=abc123"
midominio.cl. TXT "MS=ms12345678"
midominio.cl. TXT "facebook-domain-verification=abc123"

El riesgo es borrar una verificación existente pensando que “ya no sirve”. Antes de eliminar TXT, pregunta para qué se usa. Algunas verificaciones deben permanecer activas.

Ejemplos prácticos de configuración

Web en Elevocloud + correo en el mismo hosting

Arquitectura típica para una PyME:

midominio.cl.      A   192.0.2.10
www.midominio.cl.  CNAME midominio.cl.
mail.midominio.cl. A   192.0.2.10
midominio.cl.      MX  10 mail.midominio.cl.
midominio.cl.      TXT "v=spf1 a mx ~all"

Aquí web y correo viven en el hosting. Es simple y fácil de soportar.

Web en Elevocloud + correo externo

Ejemplo conceptual:

midominio.cl.      A   192.0.2.10
www.midominio.cl.  CNAME midominio.cl.
midominio.cl.      MX  10 mx1.proveedorcorreo.com.
midominio.cl.      MX  20 mx2.proveedorcorreo.com.
midominio.cl.      TXT "v=spf1 include:_spf.proveedorcorreo.com ~all"
selector._domainkey.midominio.cl. TXT "v=DKIM1; p=..."

La web apunta al hosting, pero el correo lo maneja otro proveedor. No mezcles MX del hosting si no corresponde.

Dominio .cl en NIC Chile + DNS en hosting

Puedes tener midominio.cl registrado en NIC Chile y usar nameservers de Elevocloud. En ese caso, NIC define qué servidores DNS son autoritativos, pero los registros A, MX, TXT y CNAME se editan en el panel del hosting.

Esto es normal. Lo importante es saber dónde se cambia cada cosa.

Checklist antes de guardar cambios DNS

• Tomar captura o exportar registros actuales.
• Confirmar zona DNS activa.
• Cambiar un registro a la vez cuando sea posible.
• Revisar instrucciones oficiales del proveedor externo.
• No borrar TXT existentes sin identificar.
• Confirmar que no hay dos SPF separados.
• Verificar web, correo entrante, correo saliente y SSL después del cambio.
• Esperar propagación antes de repetir cambios por ansiedad.
• Documentar fecha, hora y responsable del cambio.

Preguntas frecuentes

¿Qué diferencia hay entre CNAME y A?

A apunta un nombre a una dirección IP. CNAME apunta un nombre a otro nombre de dominio. Si cambia la IP del destino, el CNAME sigue al nombre destino.

¿Qué registro DNS controla el correo?

Principalmente MX define dónde llega el correo. SPF, DKIM y DMARC ayudan a autenticar envíos y mejorar entregabilidad.

¿Puedo tener dos registros SPF?

No es recomendable. En la práctica, debes combinar autorizaciones en un solo registro TXT SPF para el dominio.

¿Cuánto tarda en propagarse un cambio DNS?

Puede tardar minutos u horas según TTL, cachés y proveedor. No hay un único plazo universal.

¿SPF y DKIM evitan todo spam?

No. Ayudan a validar correos legítimos y reducir suplantación, pero no eliminan todo spam ni reemplazan filtros, buenas prácticas y reputación de envío.

Cierre: DNS avanzado, pero con método

DNS no perdona cambios impulsivos. La buena noticia es que con método —documentar, cambiar poco, verificar y entender cada registro— puedes conectar hosting, correo y servicios externos sin romper tu operación.

¿Necesitas apuntar tu dominio o configurar correo sin perder la web? Elevocloud te ayuda con DNS, hosting y soporte local para que los cambios se hagan con cuidado, no con ensayo y error.