El Sistema de Nombres de Dominio (DNS) es la columna vertebral de Internet. Cada sitio web, cada correo electrónico y cada servicio en línea depende de registros DNS correctamente configurados. Esta guía explica los 10 tipos de registros DNS esenciales con sintaxis de configuración real que puede aplicar directamente en su panel DNS.
Tabla comparativa rápida: Los 10 tipos de registros DNS
| Tipo | Función | Ejemplo de valor | TTL típico |
|---|---|---|---|
| A | Dirección IPv4 | 192.0.2.1 | 300–3600s |
| AAAA | Dirección IPv6 | 2001:db8::1 | 300–3600s |
| CNAME | Alias/Redirección | www.example.com | 3600s |
| MX | Servidor de correo | mail.example.com | 3600s |
| TXT | Datos de texto (SPF, DKIM) | “v=spf1 …” | 3600s |
| NS | Delegación de servidor de nombres | ns1.example.com | 86400s |
| SOA | Autoridad de zona | (N.º serie, Refresh) | 86400s |
| PTR | DNS inverso | host.example.com | 3600s |
| SRV | Localización de servicio | _sip._tcp.example.com | 3600s |
| CAA | Autoridad de certificación | letsencrypt.org | 3600s |
1. Registro A (Address Record)
Definición
El registro A es el tipo de registro DNS más fundamental. Asocia un nombre de dominio con una dirección IPv4, permitiendo la resolución de nombres básica en Internet.
Sintaxis
example.com. IN A 192.0.2.1
www.example.com. IN A 192.0.2.1
Ejemplo práctico
; Dominio principal apuntando al servidor web
midominio.es. 300 IN A 203.0.113.50
; Subdominio para entorno de pruebas
staging.midominio.es. 300 IN A 203.0.113.51
Errores frecuentes
- Punto final olvidado: En archivos de zona, el FQDN debe terminar con un punto
- Múltiples registros A sin balanceo de carga: Resulta en round-robin, no en failover real
- TTL demasiado alto durante migración: Reduzca el TTL a 300s antes de un cambio de servidor
2. Registro AAAA (IPv6 Address Record)
Definición
El registro AAAA es el equivalente IPv6 del registro A. Con la creciente adopción de IPv6, este tipo de registro es cada vez más importante.
Sintaxis
example.com. IN AAAA 2001:0db8:85a3:0000:0000:8a2e:0370:7334
Ejemplo práctico
; Configuración Dual-Stack
midominio.es. 3600 IN A 203.0.113.50
midominio.es. 3600 IN AAAA 2001:db8:1::50
Errores frecuentes
- Solo AAAA sin registro A: No todas las redes soportan IPv6 completamente
- Falta de compresión de ceros: Use
2001:db8::1en lugar de la forma expandida - Reglas de firewall olvidadas: El firewall IPv6 debe configurarse por separado
3. Registro CNAME (Canonical Name)
Definición
Un registro CNAME crea un alias que apunta a otro nombre de dominio. El resolutor DNS sigue el CNAME para determinar la dirección IP final.
Sintaxis
www.example.com. IN CNAME example.com.
blog.example.com. IN CNAME hosting.provider.com.
Ejemplo práctico
; Conexión CDN
cdn.midominio.es. 3600 IN CNAME d1234.cloudfront.net.
; Servicio SaaS
tienda.midominio.es. 3600 IN CNAME shops.myshopify.com.
Errores frecuentes
- CNAME en el apex (dominio raíz):
midominio.es. CNAME ...está prohibido por las RFC - CNAME combinado con otros registros: Un CNAME no puede coexistir con MX, TXT o A
- Cadenas de CNAME: Múltiples CNAME en cascada ralentizan la resolución
4. Registro MX (Mail Exchange)
Definición
Los registros MX determinan qué servidor de correo recibe los emails para un dominio. El valor de prioridad controla el orden de entrega.
Sintaxis
example.com. IN MX 10 mail1.example.com.
example.com. IN MX 20 mail2.example.com.
Ejemplo práctico
; Google Workspace
midominio.es. 3600 IN MX 1 aspmx.l.google.com.
midominio.es. 3600 IN MX 5 alt1.aspmx.l.google.com.
midominio.es. 3600 IN MX 5 alt2.aspmx.l.google.com.
midominio.es. 3600 IN MX 10 alt3.aspmx.l.google.com.
midominio.es. 3600 IN MX 10 alt4.aspmx.l.google.com.
Errores frecuentes
- MX apuntando a una dirección IP: El MX debe apuntar a un nombre de host, nunca a una IP
- MX apuntando a un CNAME: Prohibido según RFC 2181
- Confusión de prioridad: Prioridad baja = preferencia alta (1 se intenta antes que 10)
5. Registro TXT (Text Record)
Definición
Los registros TXT almacenan información de texto arbitraria. Se utilizan principalmente para verificación de dominio, SPF, DKIM y DMARC.
Sintaxis
example.com. IN TXT "v=spf1 include:_spf.google.com ~all"
Ejemplo práctico
; Verificación de dominio
midominio.es. 3600 IN TXT "google-site-verification=abc123xyz"
; Registro SPF
midominio.es. 3600 IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net -all"
Errores frecuentes
- Múltiples registros SPF: Solo se permite UN registro TXT SPF por dominio
- Límite de caracteres excedido: Una cadena TXT individual está limitada a 255 caracteres (concatene múltiples cadenas)
- Comillas olvidadas: El valor debe estar encerrado entre comillas
6. Registro NS (Name Server)
Definición
Los registros NS delegan una zona DNS a servidores de nombres específicos. Determinan qué servidores son autoritativos para un dominio.
Sintaxis
example.com. IN NS ns1.example.com.
example.com. IN NS ns2.example.com.
Ejemplo práctico
; Delegación a Cloudflare
midominio.es. 86400 IN NS ada.ns.cloudflare.com.
midominio.es. 86400 IN NS bob.ns.cloudflare.com.
; Delegación de subdominio
api.midominio.es. 86400 IN NS ns1.api-provider.com.
Errores frecuentes
- Solo un registro NS: Se necesitan al menos dos registros NS para redundancia
- Glue Records olvidados: Si el NS apunta a un subdominio propio, se requieren Glue Records en el registrador
- NS en el nivel incorrecto: La delegación se realiza en la zona padre
7. Registro SOA (Start of Authority)
Definición
El registro SOA define la información autoritativa de una zona DNS, incluyendo el servidor de nombres primario, el email de contacto y los parámetros de temporización de la zona.
Sintaxis
example.com. IN SOA ns1.example.com. admin.example.com. (
2026052201 ; Número de serie (AAAAMMDDNN)
7200 ; Refresh (2 horas)
3600 ; Retry (1 hora)
1209600 ; Expire (14 días)
86400 ; TTL mínimo (1 día)
)
Errores frecuentes
- Número de serie no incrementado: Los servidores secundarios no detectan los cambios
- Formato de email incorrecto:
admin@example.comse convierte enadmin.example.com.(punto en vez de @) - Expire demasiado corto: Si el servidor primario cae, los secundarios descartarán la zona
8. Registro PTR (Pointer Record)
Definición
Los registros PTR permiten resoluciones DNS inversas: asocian una dirección IP con un nombre de dominio. Es esencial para la entregabilidad del correo electrónico.
Sintaxis
1.2.0.192.in-addr.arpa. IN PTR mail.example.com.
Ejemplo práctico
; DNS inverso IPv4
50.113.0.203.in-addr.arpa. 3600 IN PTR mail.midominio.es.
; DNS inverso IPv6
0.5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.1.0.0.0.8.b.d.0.1.0.0.2.ip6.arpa. IN PTR mail.midominio.es.
Errores frecuentes
- PTR inconsistente con el registro A: La resolución directa e inversa deben coincidir
- PTR configurado en el proveedor equivocado: El PTR se configura con el propietario de la IP (hosting/ISP), no con el registrador de dominio
- PTR ausente para servidor de correo: Los emails sin PTR frecuentemente se marcan como spam
9. Registro SRV (Service Record)
Definición
Los registros SRV permiten localizar servicios dentro de un dominio. Definen host, puerto, prioridad y peso para servicios específicos.
Sintaxis
_servicio._protocolo.example.com. IN SRV prioridad peso puerto destino
Ejemplo práctico
; Microsoft 365 Skype for Business
_sip._tls.midominio.es. 3600 IN SRV 100 1 443 sipdir.online.lync.com.
_sipfederationtls._tcp.midominio.es. 3600 IN SRV 100 1 5061 sipfed.online.lync.com.
; XMPP/Jabber
_xmpp-server._tcp.midominio.es. 3600 IN SRV 5 0 5269 xmpp.midominio.es.
Errores frecuentes
- Guión bajo olvidado: El servicio y protocolo comienzan con
_ - Malentendido del peso: Con igual prioridad, el peso distribuye el tráfico
- Puerto 0 = servicio desactivado:
SRV 0 0 0 .desactiva explícitamente un servicio
10. Registro CAA (Certificate Authority Authorization)
Definición
Los registros CAA especifican qué autoridades de certificación (CA) están autorizadas a emitir certificados SSL/TLS para un dominio. Desde 2017, las CA deben verificar los registros CAA.
Sintaxis
example.com. IN CAA 0 issue "letsencrypt.org"
example.com. IN CAA 0 issuewild "letsencrypt.org"
example.com. IN CAA 0 iodef "mailto:ssl-admin@example.com"
Ejemplo práctico
; Permitir solo Let's Encrypt y DigiCert
midominio.es. 3600 IN CAA 0 issue "letsencrypt.org"
midominio.es. 3600 IN CAA 0 issue "digicert.com"
midominio.es. 3600 IN CAA 0 issuewild "letsencrypt.org"
midominio.es. 3600 IN CAA 0 iodef "mailto:seguridad@midominio.es"
CA/B Forum Ballot SC-081v3: La nueva línea temporal de certificados
En abril de 2025, el CA/Browser Forum aprobó el Ballot SC-081v3, estableciendo una reducción progresiva de la duración máxima de los certificados:
| Fecha | Duración máxima | Reutilización DCV |
|---|---|---|
| 15 de marzo de 2026 | 200 días | 200 días |
| 15 de marzo de 2027 | 100 días | 100 días |
| 15 de marzo de 2029 | 47 días | 10 días |
Lo que esto significa para usted:
- La automatización se vuelve obligatoria: la renovación manual no es viable con 47 días
- El protocolo ACME (Certbot, acme.sh) se convierte en el estándar
- Los registros CAA ganan importancia con emisiones más frecuentes
- La validación DNS debe funcionar de forma fiable y rápida
# Certbot con renovación automática
certbot certonly --dns-cloudflare \
--dns-cloudflare-credentials /etc/letsencrypt/cloudflare.ini \
-d midominio.es -d *.midominio.es
# Tarea cron para verificación diaria
0 3 * * * certbot renew --quiet --post-hook "systemctl reload nginx"
Autenticación de email: SPF, DKIM y DMARC
Los requisitos de Google/Yahoo 2024
Desde febrero de 2024, Google y Yahoo exigen a todos los remitentes masivos (>5.000 emails/día):
- SPF o DKIM debe pasar la verificación (ambos son recomendados)
- Una política DMARC debe estar publicada (mínimo
p=none) - Alineamiento entre el encabezado From y el dominio autenticado
- Cancelación de suscripción con un clic (encabezado List-Unsubscribe)
Configuración SPF
; SPF básico para Google Workspace + emails transaccionales
midominio.es. 3600 IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 -all"
Mecanismos SPF:
include:— Incluir otros registros SPFip4:/ip6:— Autorizar direcciones IP específicasa— Autorizar el registro A del dominiomx— Autorizar los servidores MX-all— Rechazar todo lo demás (Hard Fail)~all— Marcar todo lo demás como sospechoso (Soft Fail)
Importante: Máximo 10 resoluciones DNS por evaluación SPF. Cada include: y mecanismo a/mx cuenta como una resolución.
Configuración DKIM
; Selector DKIM para Google Workspace
google._domainkey.midominio.es. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."
; DKIM para SendGrid
s1._domainkey.midominio.es. 3600 IN CNAME s1.domainkey.u12345.wl.sendgrid.net.
Configuración DMARC
; DMARC con reportes
_dmarc.midominio.es. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc-reportes@midominio.es; ruf=mailto:dmarc-forensics@midominio.es; adkim=s; aspf=s; pct=100"
Estrategia de implementación DMARC:
; Fase 1: Solo monitorización
_dmarc.midominio.es. IN TXT "v=DMARC1; p=none; rua=mailto:dmarc@midominio.es"
; Fase 2: Cuarentena para el 50%
_dmarc.midominio.es. IN TXT "v=DMARC1; p=quarantine; pct=50; rua=mailto:dmarc@midominio.es"
; Fase 3: Rechazo completo
_dmarc.midominio.es. IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@midominio.es; adkim=s; aspf=s"
Árbol de decisión: ¿Qué tipo de registro usar?
¿Quiere apuntar un dominio a una dirección IP?
├── ¿IPv4? → Registro A
└── ¿IPv6? → Registro AAAA
¿Quiere apuntar un dominio a otro dominio?
├── ¿Subdominio? → Registro CNAME
└── ¿Dominio raíz? → Registro A (o ALIAS/ANAME según el proveedor)
¿Quiere recibir correo electrónico?
└── Registro MX + SPF (TXT) + DKIM (TXT/CNAME) + DMARC (TXT)
¿Quiere verificar la propiedad del dominio?
└── Registro TXT
¿Quiere delegar la zona DNS?
└── Registro NS
¿Quiere publicar un servicio con puerto y prioridad?
└── Registro SRV
¿Quiere controlar la emisión de certificados SSL?
└── Registro CAA
¿Quiere configurar DNS inverso?
└── Registro PTR (con el proveedor de IP)
Ejemplo de configuración completa
Aquí tiene una configuración DNS completa para un dominio empresarial con sitio web, correo electrónico y políticas de seguridad:
; === Zona: miempresa.es ===
; SOA
miempresa.es. 86400 IN SOA ns1.dnshost.com. admin.miempresa.es. (
2026052201 7200 3600 1209600 86400
)
; Servidores de nombres
miempresa.es. 86400 IN NS ns1.dnshost.com.
miempresa.es. 86400 IN NS ns2.dnshost.com.
; Sitio web (A + AAAA)
miempresa.es. 300 IN A 203.0.113.10
miempresa.es. 300 IN AAAA 2001:db8:1::10
www.miempresa.es. 300 IN CNAME miempresa.es.
; Correo electrónico (MX)
miempresa.es. 3600 IN MX 1 aspmx.l.google.com.
miempresa.es. 3600 IN MX 5 alt1.aspmx.l.google.com.
miempresa.es. 3600 IN MX 5 alt2.aspmx.l.google.com.
; SPF
miempresa.es. 3600 IN TXT "v=spf1 include:_spf.google.com include:sendgrid.net -all"
; DKIM
google._domainkey.miempresa.es. 3600 IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."
; DMARC
_dmarc.miempresa.es. 3600 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@miempresa.es; adkim=s; aspf=s"
; CAA
miempresa.es. 3600 IN CAA 0 issue "letsencrypt.org"
miempresa.es. 3600 IN CAA 0 issuewild "letsencrypt.org"
miempresa.es. 3600 IN CAA 0 iodef "mailto:seguridad@miempresa.es"
; Servicios
_sip._tls.miempresa.es. 3600 IN SRV 10 1 443 sip.miempresa.es.
Antes de configurar sus registros DNS, asegúrese de que su dominio ideal esté disponible. Con el verificador de dominios de Nameslink puede comprobar la disponibilidad al instante y proceder directamente al registro.
Resolución de problemas y herramientas de diagnóstico
Línea de comandos
# Consultar un registro A
dig example.com A +short
# Consultar todos los registros de un dominio
dig example.com ANY
# Consultar un servidor de nombres específico
dig @8.8.8.8 example.com MX
# Verificar la validación DNSSEC
dig example.com +dnssec
# Comprobar la propagación DNS
dig example.com A @ns1.dnshost.com
dig example.com A @8.8.8.8
dig example.com A @1.1.1.1
# Verificar el registro SPF
dig example.com TXT | grep spf
# Consultar registros CAA
dig example.com CAA
# Verificar DNS inverso
dig -x 203.0.113.50
Herramientas en línea
- DNS Checker: Verificar propagación mundial
- MXToolbox: Validar MX, SPF, DKIM, DMARC
- Google Admin Toolbox: Analizar registros DNS
- SSL Labs: Probar configuración de certificados
Problemas comunes y soluciones
| Problema | Causa | Solución |
|---|---|---|
| El dominio no resuelve | Registro A/AAAA ausente | Crear registro A con la IP correcta |
| Email marcado como spam | SPF/DKIM/DMARC ausente | Configurar los tres |
| Certificado SSL rechazado | CAA bloquea la CA | Añadir la CA al registro CAA |
| Subdominio muestra IP antigua | Caché TTL | Esperar o reducir el TTL previamente |
| www no funciona | Registro CNAME/A ausente | Añadir CNAME apuntando al dominio raíz |
Mejores prácticas de TTL
El Time-to-Live (TTL) determina cuánto tiempo se almacenan en caché las respuestas DNS:
| Escenario | TTL recomendado | Justificación |
|---|---|---|
| Operación normal | 3600s (1h) | Buen equilibrio entre caché y flexibilidad |
| Antes de una migración | 300s (5min) | Permitir conmutación rápida |
| Durante la migración | 60–300s | Minimizar tiempo de inactividad ante problemas |
| Después de migración exitosa | 3600–86400s | Las entradas estables se benefician del caché |
| Registros MX | 3600s | No comprometer la entrega de correo |
| Registros NS | 86400s (24h) | Los cambios de nameserver son infrecuentes |
| Registros CAA | 3600s | Las CA verifican en cada emisión |
Consejo profesional: Reduzca el TTL al menos 48 horas antes de un cambio DNS planificado. El nuevo TTL bajo solo surte efecto después de que expire el anterior.
FAQ
1. ¿Puedo usar un registro CNAME en el dominio raíz?
No, según RFC 1034, un CNAME no puede coexistir con otros registros. Dado que el dominio raíz siempre tiene registros SOA y NS, un CNAME es imposible allí. Algunos proveedores DNS ofrecen soluciones propietarias como ALIAS, ANAME o Flattening para sortear esta limitación.
2. ¿Qué sucede si no configuro un registro DMARC?
Desde los requisitos de Google/Yahoo 2024, sin DMARC arriesga que sus emails sean rechazados o aterricen en la carpeta de spam de los grandes proveedores. Comience al menos con p=none para monitorización y avance progresivamente hacia p=reject.
3. ¿Cuántas resoluciones DNS se permiten en SPF?
Máximo 10 resoluciones DNS por evaluación SPF (RFC 7208). Cada include:, a, mx y redirect cuenta como una resolución. Si excede el límite, la verificación SPF falla con un PermError. Use herramientas de SPF Flattening para resolver las inclusiones.
4. ¿Por qué no veo mis cambios DNS inmediatamente?
La propagación DNS depende del TTL del registro anterior. Los resolutores locales, cachés de ISP y cachés del sistema operativo almacenan las respuestas. Use dig @8.8.8.8 para consultas directas o vacíe el caché local con sudo dscacheutil -flushcache (macOS) o ipconfig /flushdns (Windows).
5. ¿Debo hacer algo ahora respecto a la política de certificados de 47 días?
La transición es progresiva: 200 días desde marzo de 2026, 100 días desde marzo de 2027, y 47 días solo desde marzo de 2029. No obstante, configure ahora la renovación automática de certificados (por ejemplo, con Certbot o acme.sh) y establezca sus registros CAA. Así estará preparado cuando entren en vigor las duraciones cortas.
El dominio adecuado para su proyecto
Una configuración DNS profesional comienza con la elección del nombre de dominio correcto. Ya sea que esté construyendo una nueva marca o evaluando un dominio existente:
- Buscar y registrar un dominio: Con Nameslink Quick-Buy encuentre dominios disponibles al instante
- Verificar disponibilidad: El verificador de dominios muestra en tiempo real qué dominios están libres
- Estimar el valor de un dominio: La valoración de dominios ayuda en decisiones de compra o venta
Referencias
- RFC 1035 – Domain Names: Implementation and Specification
- RFC 7208 – Sender Policy Framework (SPF)
- RFC 6376 – DomainKeys Identified Mail (DKIM)
- RFC 7489 – DMARC
- RFC 8659 – DNS Certification Authority Authorization (CAA)
- CA/B Forum Ballot SC-081v3
- Google Email Sender Guidelines 2024
- RFC 2782 – DNS SRV Records