Resumen directo: si vas a mover la zona DNS de tu dominio (registrado en GoDaddy) a Vercel y quieres mantener Outlook/Microsoft 365 sin interrupciones, debes recrear en Vercel los registros MX, SPF y Autodiscover (imprescindibles), y añadir DKIM y DMARC (recomendados) con los valores exactos que te da Microsoft 365 para tu dominio.
Contexto y objetivo
Este artículo explica, paso a paso, qué registros DNS debes tener para que el correo de Exchange Online (Outlook en Microsoft 365) siga funcionando al administrar la zona desde Vercel. Encontrarás una lista de mínimos imprescindibles, recomendaciones para autenticación y entregabilidad, una guía de cambio de nameservers desde GoDaddy a Vercel, ejemplos prácticos, comandos de verificación, errores comunes y una lista de comprobación final. El propósito es que completes la migración de DNS con impacto mínimo y que tus mensajes continúen entregándose correctamente, evitando rebotes y problemas de configuración.
Imprescindibles para que el correo siga operativo
Estos registros mantienen la recepción y configuración automática de clientes de correo. Usa siempre los valores tal como los muestra el Centro de administración de Microsoft 365 para tu dominio concreto.
| Tipo | Host | Valor | Notas |
|---|---|---|---|
| MX | @ | <tu-id-unico>.mail.protection.outlook.com. | Prioridad 0 o 10 (la que indique Microsoft). No uses solo mail.protection.outlook.com sin el prefijo único de tu inquilino. |
| TXT (SPF) | @ | v=spf1 include:spf.protection.outlook.com -all | Debe existir un solo SPF por dominio. Si también enviarás desde otros servicios, agrega sus include: antes de -all. |
| CNAME | autodiscover | autodiscover.outlook.com. | Habilita la autoconfiguración de Outlook y dispositivos (Autodiscover). |
Nota: No son necesarios para correo de Exchange Online los registros heredados de Skype for Business / Lync (por ejemplo, sip.tls SRV, sip o lyncdiscover). Tampoco un CNAME www (eso es web, no correo).
Recomendados para autenticación y entregabilidad
Para proteger tu dominio contra suplantación y mejorar la reputación, añade DKIM y DMARC. Con estos controles, los receptores pueden verificar que tus mensajes son legítimos y no manipulados.
DKIM (firma criptográfica del correo)
En Microsoft 365 se crean dos selectores. Debes publicar dos CNAME con los destinos específicos que te muestre Microsoft 365 en tu inquilino. Un ejemplo orientativo (no copies exactamente):
| Tipo | Host | Valor | Notas |
|---|---|---|---|
| CNAME | selector1._domainkey | <selector1-tu-id>._domainkey.<tu-dominio-inicial>.onmicrosoft.com. | Crea el CNAME con el destino que te proporciona Microsoft 365 para tu dominio. No inventes el valor. |
| CNAME | selector2._domainkey | <selector2-tu-id>._domainkey.<tu-dominio-inicial>.onmicrosoft.com. | Publica ambos y luego activa DKIM en el centro de administración. |
Importante: tras publicar los CNAME, entra al centro de administración de Microsoft 365 y activa DKIM para el dominio. Hasta que no lo actives, Microsoft no firmará los correos con DKIM aunque existan los registros.
DMARC (política de alineación de dominio)
DMARC indica a los receptores qué hacer cuando SPF/DKIM no pasan o no se alinean con el dominio del From:. Empieza en modo monitor (sin impacto) y luego endurece la política.
| Tipo | Host | Valor | Notas |
|---|---|---|---|
| TXT | _dmarc | v=DMARC1; p=none; rua=mailto:reportes@tu-dominio; ruf=mailto:forense@tu-dominio; fo=1 | Durante pruebas usa p=none. Cuando todo pase y se alinee, sube a p=quarantine o p=reject. |
Opcional avanzado: añade MTA‑STS y TLS‑RPT para reforzar la seguridad del transporte:
- _mta-sts (TXT):
v=STSv1; id=YYYYMMDD - smtp.tls (TXT):
v=TLSRPTv1; rua=mailto:reports@tu-dominio - mta-sts (A/CNAME): apunta a un sitio donde sirvas
/.well-known/mta-sts.txtpor HTTPS con la política STS (puede ser un proyecto en Vercel).
Pasos recomendados para mover la zona a Vercel
- Inventario de DNS actual: exporta o captura todos los registros en GoDaddy. Identifica los que afectan a correo (MX, TXT/ SPF, CNAME Autodiscover, DKIM si existen, DMARC, verificación MS).
- Prepara la zona en Vercel: crea el dominio en Vercel DNS y añade los registros de la sección “Imprescindibles”. Si ya usabas DKIM/DMARC, añádelos también.
- Verificación de dominio (si aplica): copia el TXT
MS=...de verificación que te pida Microsoft para ese dominio. Si ya estaba verificado, no hace falta crear uno nuevo; solo reprodúcelo. - TTL bajos antes del cambio: si puedes, baja TTL de los registros clave a 300–3600 s en la zona actual para acelerar la propagación post-cambio.
- Cambia los nameservers en GoDaddy: apunta a los nameservers que te muestra Vercel al crear la zona. Confirma que en GoDaddy el dominio ahora delega a Vercel.
- Valida desde Microsoft 365: en el centro de administración, revisa que el dominio está “correcto” y que los comprobadores de MX, Autodiscover y SPF pasan. Activa DKIM.
- Pruebas de extremo a extremo: recibe y envía correo, crea un perfil nuevo en Outlook para probar Autodiscover y revisa informes DMARC si tienes
ruaconfigurado.
Ejemplo de zona DNS en Vercel (valores orientativos)
Ejemplo con dominio ficticio midominio.com (sustituye por tus valores reales):
| Tipo | Host | Valor | TTL |
|---|---|---|---|
| MX | @ | contoso-com.mail.protection.outlook.com. | 3600 |
| TXT | @ | v=spf1 include:spf.protection.outlook.com -all | 3600 |
| CNAME | autodiscover | autodiscover.outlook.com. | 3600 |
| CNAME | selector1._domainkey | selector1-contoso-com._domainkey.contoso.onmicrosoft.com. | 3600 |
| CNAME | selector2._domainkey | selector2-contoso-com._domainkey.contoso.onmicrosoft.com. | 3600 |
| TXT | _dmarc | v=DMARC1; p=none; rua=mailto:dmarc@midominio.com; ruf=mailto:dmarc-forense@midominio.com; fo=1 | 3600 |
| TXT | _mta-sts | v=STSv1; id=20250101 | 3600 |
| TXT | smtp.tls | v=TLSRPTv1; rua=mailto:reports@midominio.com | 3600 |
| TXT | @ | MS=ms12345678 | 3600 |
En Vercel, el host @ hace referencia al apex del dominio (por ejemplo, midominio.com). Para subdominios, escribe solo la etiqueta (autodiscover, _dmarc, etc.). Mantén TTL razonables (3600 s) y considera bajarlos temporalmente antes del cambio de delegación.
Cómo verificar que todo quedó bien
Comprobación de MX y SPF
nslookup -type=mx midominio.com
nslookup -type=txt midominio.comEl MX debe mostrar tu prefijo único (por ejemplo, contoso-com.mail.protection.outlook.com.) y el TXT debe incluir el SPF de Microsoft (include:spf.protection.outlook.com).
Comprobación de Autodiscover
Crea un nuevo perfil en Outlook o configura la cuenta en un dispositivo nuevo. Si Autodiscover está correcto, Outlook encontrará el buzón sin pedirte servidores manuales.
Comprobación de DKIM
Envía un correo a una cuenta externa (por ejemplo, un buzón de prueba en otro proveedor) y revisa las cabeceras: debería aparecer DKIM-Signature firmada por tu dominio. Si no, entra al centro de administración y confirma que DKIM está activado y que los CNAME resuelven correctamente.
Comprobación de DMARC
Si publicaste rua, comenzarás a recibir reportes agregados. En las cabeceras de los mensajes, busca Authentication-Results con spf=pass, dkim=pass, dmarc=pass y que el dominio del From: esté alineado.
Errores comunes a evitar
- Publicar más de un SPF en el mismo dominio. Debe haber uno. Combina remitentes con varios
include:en un solo registro. - Usar un MX genérico sin el prefijo único del inquilino (
<tu-id>.mail.protection.outlook.com.). - Olvidar activar DKIM tras crear sus dos CNAME (
selector1.domainkeyyselector2.domainkey). - Confundir registros de Skype/Lync (
sip.tls,sip,lyncdiscover) con requisitos de Exchange: no se necesitan para correo. - No replicar el TXT MS= si el dominio estaba a medio verificar en Microsoft 365.
- TTL demasiado altos justo antes de cambiar nameservers, lo que retrasa la propagación.
- SPF que excede 10 consultas DNS por abuso de
include:. Si sumas muchos servicios de envío, optimiza o aplana el SPF. - DMARC en modo estricto sin pruebas (
p=rejectde entrada) y luego se rechaza correo legítimo por falta de alineación.
Estrategia de cambio sin interrupciones
- Preconfigura todo en Vercel (MX, SPF, Autodiscover, DKIM, DMARC, verificación MS, MTA‑STS/TLS‑RPT si los usarás).
- Verifica externamente (consulta DNS de los registros en los nameservers de Vercel usando un resolver que pregunte directamente a Vercel si tu herramienta lo permite).
- Elige una ventana de cambio con menor tráfico de correo. Ten preparada una nota interna de “ventana de mantenimiento”.
- Cambia los nameservers en GoDaddy y supervisa el correo en tiempo real (entra/sale).
- Post‑cambio: vuelve a TTL normales (p. ej., 3600–14400 s), activa DKIM y revisa reportes DMARC.
Solución de problemas
No recibo correo tras el cambio
- Confirma que el MX del dominio ya apunta al destino único de Microsoft y que no quedan MX antiguos en la zona.
- Comprueba que el tenant de Microsoft 365 tiene el dominio agregado y verificado.
- Si usabas encaminamientos especiales (híbrido, smart host), verifica que no los perdiste al copiar la zona.
Los correos salen, pero llegan a spam
- Asegúrate de que SPF pasa (
spf=pass) y de que el remitente que envía en tu nombre está incluido en tu SPF. - Activa DKIM y espera a que propague (hasta que los receptores vean la firma válida).
- Publica DMARC (aunque sea en
p=none) y valida la alineación del dominio del From: con SPF o DKIM.
No puedo activar DKIM
- Revisa que ambos CNAME
selector1.domainkeyyselector2.domainkeyexistan y resuelvan al destino que indica Microsoft para tu dominio. - Verifica que no existen registros TXT heredados en esas etiquetas que interfieran.
- Vuelve a intentar la activación desde el centro de administración tras la propagación.
SPF “permerror” o demasiadas consultas
- Evita encadenar
include:innecesarios. El límite de 10 consultas DNS por evaluación de SPF es estricto. - Considera consolidar remitentes o usar técnicas de “aplanado” (con atención a la caducidad de IPs de cada servicio).
Escenarios especiales y buenas prácticas
También envío correo desde otros servicios (marketing, helpdesk, etc.)
Amplía el SPF agregando sus include: antes de -all. Revisa si esos servicios pueden firmar con DKIM usando tu propio dominio y configúralos para que la alineación DMARC se cumpla (idealmente DKIM alineado).
Solo un subdominio usa Microsoft 365
Puedes tener el dominio raíz con web en Vercel y el correo en un subdominio (por ejemplo, mail.midominio.com). En ese caso, la política DMARC se publica en el dominio raíz pero puede delegarse o ajustarse por subdominio mediante sp= (subpolicy). Ajusta Autodiscover según el dominio que usen las direcciones de correo.
MTA‑STS en Vercel
Crea un proyecto simple que sirva el archivo /.well-known/mta-sts.txt. Publica el subdominio mta-sts apuntando a ese proyecto y añade el TXT _mta-sts con un id actualizado cada vez que cambies la política.
Política DMARC de endurecimiento gradual
p=noneconruayrufpara medir.p=quarantineconpct=25, luego 50/75/100.p=rejectcuando SPF/DKIM se alinean para todas las fuentes legítimas.
Lista de comprobación rápida
- MX correcto con prefijo único de Microsoft.
- SPF único y válido (
include:spf.protection.outlook.com+ otros remitentes). - Autodiscover CNAME a
autodiscover.outlook.com. - DKIM:
selector1.domainkeyyselector2.domainkeycreados, y DKIM activado. - DMARC publicado y en modo adecuado (none → quarantine → reject).
- TXT de verificación MS= (si se solicita).
- Opcional: MTA‑STS (
mta-sts+ sitiomta-sts) y TLS‑RPT (smtp._tls). - TTL razonables (3600 s) y supervisión post‑cambio.
Preguntas frecuentes
¿Puedo mantener GoDaddy para el dominio y usar Vercel solo para DNS?
Sí. El registrador (GoDaddy) y el proveedor DNS (Vercel) son roles distintos. Cambia los nameservers en GoDaddy a los de Vercel y administra la zona en Vercel.
¿Qué pasa si omito Autodiscover?
El correo seguirá fluyendo, pero perderás autoconfiguración en Outlook y algunos clientes. Es altamente recomendable tenerlo.
¿Necesito SRV de Lync/Skype?
No para Exchange Online. Esos registros son de telefonía/IM heredada.
¿Cuánto tarda en propagar?
Depende del TTL y de cachés externos. Con TTL de 300–3600 s, la mayoría de cambios críticos se ven en minutos a pocas horas.
¿DMARC puede romper el correo?
Sí, si publicas p=reject sin asegurar alineación (SPF o DKIM) para todas tus fuentes legítimas de envío. Por eso se recomienda el endurecimiento gradual.
Resumen de mínimos y recomendados
Mínimos: MX único de Microsoft 365, SPF en el apex, CNAME Autodiscover.
Recomendados: DKIM (dos CNAME + activación) y DMARC (modo monitor → endurecer). Opcionales de transporte: MTA‑STS y TLS‑RPT. Recuerda replicar el TXT de verificación MS= si tu dominio no estaba aún verificado.
Plantilla rápida para copiar a Vercel
Adapta esta plantilla a tu dominio y a los valores que te entregue Microsoft 365:
Tipo Host Valor
----- ------------------------ ------------------------------------------------------------
MX @ <tu-id>.mail.protection.outlook.com. (prioridad 0/10)
TXT @ v=spf1 include:spf.protection.outlook.com -all
CNAME autodiscover autodiscover.outlook.com.
CNAME selector1.domainkey selector1-<tu-id>.domainkey.<tenant>.onmicrosoft.com.
CNAME selector2.domainkey selector2-<tu-id>.domainkey.<tenant>.onmicrosoft.com.
TXT _dmarc v=DMARC1; p=none; rua=mailto:rua@tu-dominio; ruf=mailto:ruf@tu-dominio; fo=1
TXT _mta-sts v=STSv1; id=YYYYMMDD
TXT smtp.tls v=TLSRPTv1; rua=mailto:reports@tu-dominio
TXT @ MS=msXXXXXXXX (solo si te lo pide Microsoft)Con esto, tu dominio seguirá recibiendo y enviando correo por Exchange Online, Outlook se autoconfigurará correctamente y tu entregabilidad y reputación mejorarán con DKIM/DMARC. A partir de ahí, puedes gestionar todo tu DNS desde Vercel con la tranquilidad de no perder el correo.