Si tus envíos desde Outlook/Hotmail/Microsoft 365 hacia direcciones @yahoo rebotan tras unas 24 horas, aquí tienes un diagnóstico claro y una guía práctica para recuperar la entrega: cómo leer el NDR 4xx/5xx, cómo arreglar SPF, DKIM y DMARC, y qué pedir al destinatario en Yahoo.

Qué está pasando

Durante aproximadamente dos semanas, varios remitentes han observado que los correos enviados a @yahoo no llegan y terminan rebotando después de múltiples reintentos. A otros dominios sí se entregan. El patrón más frecuente es un diferimiento continuado (códigos 4xx) que acaba en rebote cuando el servidor emisor deja de intentar la entrega a las ~24 horas. En otros casos aparece un rechazo directo con 5xx.

Esto afecta tanto a cuentas personales (@outlook.com, @hotmail.com) como a dominios propios que envían a través de Microsoft 365 / Exchange Online u otros proveedores SMTP. La causa suele estar en autenticación DNS insuficiente o mal alineada, reputación/volumen, o controles específicos del lado de Yahoo (filtros, greylisting, buzones inactivos o llenos).

Diagnóstico rápido con el NDR

El boletín de no entrega (NDR) es tu brújula. Clasifícalo así:

1. 4xx temporal que termina en rebote tras ~24 h: Yahoo difirió la entrada (rate‑limit, greylisting o bloqueo temporal) y el servidor emisor dejó de reintentar. No indica fallo permanente de contenido o autenticación, pero sí una defensa en el camino o falta de reputación.
2. 5xx permanente: rechazo definitivo por autenticación inexistente o fallida (SPF/DKIM/DMARC), reputación, política, o destinatario inexistente.
3. Solo falla con Yahoo: signo de filtro/defensa del propio Yahoo o de la configuración del buzón destino.
4. Falla contra todos los Yahoo: apunta a reputación/autenticación del dominio remitente o a un bloqueo a nivel IP/tenant.
5. Falla solo con uno o dos Yahoo: probablemente es un asunto del buzón del destinatario (filtros, bloqueo, inactividad o capacidad).

Matriz de decisión inmediata

Síntoma	Código en NDR	Interpretación	Acción inmediata
Diferimientos reiterados	4xx	Defensas temporales o límite de tasa	Reducir ráfagas, reintentar, validar autenticación, probar con mensaje simple
Rechazo por política	5xx	Fallo de SPF/DKIM/DMARC o reputación	Corregir SPF, activar DKIM, publicar DMARC en observación y alinear dominios
Solo falla con Yahoo	4xx/5xx	Filtro específico de destino	Compartir NDR con el destinatario, pedir revisión y añadir a contactos
Unos pocos destinatarios	5xx/usuario	Cuenta destino con reglas, bloqueo o inactiva	Solicitar limpieza de filtros, reactivación o confirmación de buzón

Por qué ocurre con Yahoo

Yahoo aplica controles estrictos para combatir abuso. Si tu dominio no tiene autenticaciones robustas y alineadas, si envías con picos de volumen o si tus mensajes parecen masivos o reenvíos, es más probable que entren en diferimiento o rechazo. Además, buzones inactivos/llenos o usuarios que te han bloqueado a nivel de Yahoo provocan rechazos específicos de destinatario.

Solución para dominios propios que envían con Microsoft 365 u otra plataforma

Publica autenticaciones DNS imprescindibles

SPF, DKIM y DMARC son la base. Configúralos y verifica que se alinean con tu dominio visible en el encabezado From:.

• SPF: incluye explícitamente el servicio que envía tus correos. Para Microsoft 365: v=spf1 include:spf.protection.outlook.com -all Usa -all solo si todo tu envío sale por Microsoft 365; si tienes más remitentes, añádelos o usa ~all mientras migras.
• DKIM: habilítalo en tu plataforma de correo y publica los CNAME que te proporcione. En Microsoft 365 suelen ser dos selectores por dominio (por ejemplo, selector1 y selector2). selector1.domainkey.tudominio.com. CNAME selector1-tudominio-com.domainkey.<tuTenant>.onmicrosoft.com. selector2.domainkey.tudominio.com. CNAME selector2-tudominio-com.domainkey.<tuTenant>.onmicrosoft.com. El panel de administración te da los valores exactos; publícalos y espera la propagación.
• DMARC: empieza en modo observación para medir y ajustar; luego endurece. v=DMARC1; p=none; rua=mailto:reportes@tudominio.com; adkim=s; aspf=s Tras validar que SPF y DKIM pasan y que el dominio está alineado, cambia a p=quarantine y más tarde a p=reject si procede.

Cuida la alineación de dominio

El dominio del From: debe coincidir con el dominio firmado por DKIM (d=) y/o el dominio evaluado por SPF. Evita “enviar como” otro dominio sin autorización y no uses remitentes con Reply‑To ajenos que puedan confundir la evaluación de políticas.

Ajusta contenido y hábitos de envío

• Prueba con un mensaje de texto simple (sin adjuntos ni acortadores) a varias direcciones @yahoo distintas.
• Evita ráfagas: distribuye campañas y no dispares cientos de correos en pocos minutos desde IPs nuevas.
• No reenvíes masivamente alias o listas sin confirmación de suscripción; Yahoo penaliza señales de envío no solicitado.
• Mantén una firma limpia: HTML ligero, imágenes alojadas de forma estable y enlaces legibles.

Revisa tu plataforma de envío

• Comprueba que no estás usando IPs compartidas con mala reputación o conectores mal configurados.
• En Microsoft 365, revisa las reglas de transporte y conectores salientes, y que no fuerces rutas por appliances externos sin SPF adecuado.
• Si el NDR indica “el sistema del destinatario no acepta conexiones”, guarda el NDR completo y compártelo con soporte y con el destinatario para que Yahoo revise posibles bloqueos a tu IP o dominio.

Solución para cuentas personales de Outlook.com y Hotmail

En cuentas personales no puedes editar SPF/DKIM/DMARC; los gestiona Microsoft. Aun así puedes aislar y resolver:

• Envía desde Outlook en la Web un mensaje de texto simple a varias direcciones @yahoo; cambia el asunto y elimina adjuntos/enlaces.
• Verifica que no usas un Reply‑To inválido o de otro dominio que pueda romper la evaluación de autenticación.
• Pide a la persona en Yahoo que te añada a Contactos y a su lista segura, y que revise Correo no deseado, Filtros y Remitentes bloqueados.
• Confirma que el buzón Yahoo no esté lleno o inactivo (la reactivación suele requerir iniciar sesión en Yahoo).
• Si el fallo es general con muchos Yahoo, conserva el NDR y repórtalo al soporte del servicio desde el que envías.

Pruebas que aíslan la causa

1. Lee el NDR completo y clasifícalo: temporal 4xx vs permanente 5xx.
2. Prueba cruzada: envía al mismo Yahoo desde otra cuenta tuya (por ejemplo, Gmail). Si llega, el problema está en el origen; si tampoco llega, el problema está en el destino.
3. Envía a varios Yahoo: si falla a todos, apunta a dominio/tenant; si falla solo a algunos, apunta al buzón destino.
4. Pide que te escriban primero y responde al hilo; a veces “enseña” al filtro que la conversación es legítima.
5. Evita adjuntos pesados y enlaces sospechosos durante las pruebas.

Verificaciones técnicas y comandos útiles

Consulta de registros DNS

# Windows
nslookup -type=txt tudominio.com
nslookup -type=txt _dmarc.tudominio.com
nslookup -type=cname selector1._domainkey.tudominio.com
nslookup -type=cname selector2._domainkey.tudominio.com

Linux/macOS

dig +short txt tudominio.com
dig +short txt \_dmarc.tudominio.com
dig +short cname selector1.\_domainkey.tudominio.com
dig +short cname selector2.\_domainkey.tudominio.com 

Debes ver un SPF que incluya tu plataforma de envío, el registro DMARC y los CNAME de DKIM resueltos.

Encabezados de autenticación a revisar

Authentication-Results: ...
  spf=pass (sender IP ...) smtp.mailfrom=tudominio.com;
  dkim=pass (signature was verified) header.d=tudominio.com;
  dmarc=pass (p=none sp=none) header.from=tudominio.com;

Si ves spf=fail, dkim=fail o dmarc=fail, la prioridad es corregir autenticación y alineación.

Errores frecuentes y cómo actuar

Mensaje típico	Tipo	Causa probable	Qué hacer
Connection timed out / too many connections / try again later	4xx	Greylisting, límite de tasa o defensa temporal en destino	Reducir cadencia, reintentar, probar sin adjuntos, mantener reputación
Policy rejection / authentication required / unauthenticated email	5xx	Fallo o ausencia de SPF/DKIM/DMARC o falta de alineación	Implementar SPF, habilitar DKIM, publicar DMARC, alinear From, repetir pruebas
User unknown / mailbox unavailable	5xx	Buzón Yahoo inexistente, inactivo o lleno	Validar la dirección, pedir reactivación o limpieza al destinatario
Message content rejected	5xx	Contenido sospechoso, enlaces acortados, adjuntos ejecutables	Enviar versión de texto, quitar acortadores, alojar archivos en nube

Observaciones recogidas en campo

• En varios casos el problema se resolvió sin un comunicado oficial de causa única: lo más probable es un desbloqueo temporal o mejora de reputación tras corregir autenticaciones y hábitos.
• Para dominios propios, la solución más consistente fue implantar y alinear correctamente SPF, DKIM y DMARC.
• En cuentas personales, pedir ajustes al destinatario en Yahoo (contactos, filtros) y realizar envíos de prueba “limpios” desbloqueó la entrega en muchos casos.

Flujo de resolución recomendado

¿El NDR es 5xx? ----- Sí ----→ Corregir SPF/DKIM/DMARC y alineación → Probar de nuevo
       │
       No
       │
¿El NDR es 4xx? ----- Sí ----→ Reducir cadencia + mensaje simple → Reintentar
       │
       No
       │
¿Solo falla con Yahoo? -- Sí → Pedir ayuda al destinatario (contactos/filtros/buzón) → Compartir NDR
       │
       No
       │
Probar desde otra cuenta (Gmail) y a varios Yahoo → Concluir si es origen o destino

Guía práctica para Microsoft 365

Pasos en el centro de administración

1. Confirma que el dominio está verificado y con DKIM habilitado (publica los CNAME y activa la firma).
2. Revisa la política de correo saliente y evita reglas que cambien el dominio visible o reescriban remitentes.
3. Si usas conectores hacia gateways externos, asegúrate de que esos sistemas también están autorizados en SPF.
4. Valida que no usas direcciones send‑as de otros dominios sin su debida autenticación.

Buenas prácticas de envío

• Evita envíos masivos desde buzones de usuario; usa una plataforma de marketing con reputación propia si necesitas campañas.
• Limpia rebotes y elimina direcciones obsoletas para reducir señales negativas.
• Calienta el envío: incrementa gradualmente el volumen hacia Yahoo cuando estrenes dominio o IP.

Plantillas y mensajes de apoyo

Mensaje para pedir ayuda al destinatario

Hola,
Estoy intentando escribirte desde <tu_dirección> y parece que Yahoo difiere o bloquea mis mensajes.
¿Puedes añadirme a tus Contactos y revisar la carpeta Spam/Filtros y la lista de remitentes bloqueados?
Gracias por confirmarme cuando lo veas.

Resumen técnico para soporte

Dominio remitente: tudominio.com
Tipo de fallo: diferimientos 4xx que acaban en rebote a ~24 h (solo en Yahoo)
Autenticación:
  - SPF: include:spf.protection.outlook.com (pasa)
  - DKIM: habilitado (selector1/selector2), pasa
  - DMARC: p=none (alineación estricta), pasa
Se adjunta NDR completo y ejemplos de Message-ID afectados.

Lista de comprobación final

• SPF publicado y con todos tus remitentes incluidos.
• DKIM habilitado y validado con los CNAME correctos.
• DMARC en observación con adkim=s y aspf=s; luego cuarentena/rechazo si todo alinea.
• Dominio del From: alineado con DKIM y/o SPF.
• Pruebas de envío con mensaje simple a varias direcciones @yahoo.
• Reducción de ráfagas y eliminación de adjuntos/enlaces dudosos durante el diagnóstico.
• Confirmación del destinatario: contactos, filtros y capacidad del buzón.
• NDR completo guardado para escalar si persiste.

Preguntas frecuentes

Por qué rebota justo después de unas veinticuatro horas

Porque el destino ha ido difiriendo la entrega con 4xx y, alcanzado el límite de reintentos del emisor, este genera un NDR. Es el comportamiento esperado ante diferimientos prolongados.

Sirve cambiar de IP o proveedor

Si la causa es autenticación o alineación, cambiar de IP no ayuda. Si es reputación de IP compartida, un proveedor con mejores pools o una IP dedicada bien gestionada puede ayudar, pero la prioridad sigue siendo SPF/DKIM/DMARC correctos.

Qué pasa si reenvío desde otra cuenta

El forwarding puede romper SPF y provocar fallos en DMARC si no hay firma DKIM alineada. Es mejor enviar directamente desde el dominio que firma y alinea.

Cuánto tiempo tarda en mejorar la reputación

Depende del historial, volumen y consistencia tras corregir los problemas. Suele requerir días de envíos limpios y sostenidos.

Resumen ejecutivo

Cuando el envío a Yahoo falla desde Outlook/Hotmail/Microsoft 365, la causa más habitual es una combinación de autenticación insuficiente o mal alineada y defensas del lado Yahoo que provocan diferimientos prolongados. Lee el NDR y clasifícalo. Si es temporal, reduce cadencia y envía limpio; si es permanente, corrige de inmediato SPF, habilita DKIM, publica DMARC y alinea el dominio. Si solo afecta a algunos destinatarios Yahoo, pide su colaboración para añadirte a contactos y revisar filtros/capacidad. Con estos pasos, la gran mayoría de los casos recupera la entregabilidad.

Plantillas de referencia

# SPF para Microsoft 365 (solo si todo sale por M365)
v=spf1 include:spf.protection.outlook.com -all

DMARC en observación con alineación estricta

v=DMARC1; p=none; rua=mailto\:dmarc\@tudominio.com; adkim=s; aspf=s 

Recuerda: habilita DKIM desde tu plataforma; te proporcionará dos CNAME específicos de tu dominio. Una vez los publiques y se propaguen, activa la firma y verifica que los mensajes salen con dkim=pass y dmarc=pass en los encabezados.

Caso práctico condensado

Síntoma: diferimiento continuo y rebote al día siguiente únicamente con Yahoo.
Acciones: 1) publicar y validar SPF/DKIM/DMARC con alineación estricta; 2) probar envío simple y bajar cadencia; 3) pedir al destinatario limpieza de filtros y confirmación de buzón; 4) mantener NDRs y escalar si persiste.
Resultado esperado: entrega restablecida tras la corrección de autenticación y mejora de reputación/volumen.