// Índice de contenidos
Configurar email correctamente en HestiaCP es la diferencia entre que tus correos lleguen al inbox o acaben en spam. He visto demasiados servidores con email “funcionando” pero sin SPF, DKIM ni DMARC configurados, lo que significa que Gmail, Outlook y otros proveedores marcan sus mensajes como sospechosos.
En esta guía te explico paso a paso cómo configurar el servidor de email de HestiaCP de forma profesional: desde crear el dominio de correo hasta verificar que la autenticación funciona correctamente. Al terminar, tus emails pasarán todas las validaciones y tendrás una entregabilidad cercana al 100%.
HestiaCP usa Exim como servidor SMTP y Dovecot para IMAP/POP3, una combinación probada y estable. Incluye Roundcube como webmail y soporte para Let’s Encrypt SSL en las conexiones de correo.
Requisitos previos para email en HestiaCP
Antes de configurar el email, verifica que tienes todo listo:
En tu servidor HestiaCP
- HestiaCP instalado con servicios de email - La instalación debe incluir Exim y Dovecot
- Puerto 25 desbloqueado - Muchos proveedores cloud bloquean el puerto 25 por defecto
- IP limpia - Tu IP no debe estar en listas negras de spam
- PTR/rDNS configurado - El registro PTR de tu IP debe apuntar al hostname del servidor
Verificar que los servicios de email están instalados
Conéctate por SSH y ejecuta:
systemctl status exim4
systemctl status dovecotAmbos servicios deben mostrar active (running). Si no están instalados, necesitas reinstalar HestiaCP con las opciones --exim yes --dovecot yes.
Verificar que el puerto 25 está abierto
Desde el servidor:
telnet smtp.gmail.com 25Si no conecta, tu proveedor de cloud puede estar bloqueando el puerto 25. Contacta con soporte para solicitar el desbloqueo. Esto es común en AWS, Azure, GCP y Oracle Cloud.
Verificar el registro PTR (rDNS)
El PTR inverso es fundamental. Compruébalo:
dig -x TU_IP_DEL_SERVIDOR +shortDebe devolver el hostname de tu servidor (ej: mail.tudominio.com). Si no coincide, configúralo en el panel de tu proveedor de hosting.
| Proveedor | Dónde configurar PTR |
|---|---|
| Avantys | Panel VPS → Network → rDNS |
| DigitalOcean | Droplet → Networking → PTR |
| Hetzner | Cloud Console → IP → Reverse DNS |
| OVH | Panel → IP → Reverse |
| Vultr | Server → Settings → Reverse DNS |
Crear dominio de correo en HestiaCP
El primer paso es añadir tu dominio al sistema de email de HestiaCP.
Paso 1: Acceder a la sección Mail
- Inicia sesión en HestiaCP
- Ve a la sección Mail en el menú lateral
- Haz clic en Add Mail Domain
Paso 2: Configurar el dominio
Rellena el formulario:
| Campo | Valor | Notas |
|---|---|---|
| Domain | tudominio.com | Sin www |
| Antispam | ✅ Activar | SpamAssassin |
| Antivirus | ✅ Activar | ClamAV (requiere +1GB RAM) |
| DKIM | ✅ Activar | Imprescindible |
| SSL | ✅ Activar | Let’s Encrypt |
Paso 3: Guardar y verificar
Haz clic en Save. HestiaCP creará automáticamente:
- La estructura de directorios para el correo
- Las claves DKIM (pública y privada)
- Los registros DNS necesarios (si gestionas DNS en HestiaCP)
Configurar registros DNS para email
Para que el email funcione correctamente, necesitas estos registros DNS:
Registros básicos obligatorios
| Tipo | Nombre | Valor | TTL |
|---|---|---|---|
| A | IP_DEL_SERVIDOR | 3600 | |
| A | webmail | IP_DEL_SERVIDOR | 3600 |
| MX | @ | mail.tudominio.com | 3600 |
| TXT | @ | v=spf1… (ver abajo) | 3600 |
| TXT | mail._domainkey | (clave DKIM) | 3600 |
| TXT | _dmarc | v=DMARC1… (ver abajo) | 3600 |
Si tu DNS está en HestiaCP
Los registros se crean automáticamente al añadir el dominio de correo. Solo necesitas verificar que existen:
- Ve a DNS en HestiaCP
- Selecciona tu dominio
- Verifica que existen los registros MX, SPF y DKIM
Si tu DNS está en otro proveedor (Cloudflare, etc.)
Necesitas copiar los registros manualmente:
- En HestiaCP, ve a Mail → tu dominio → Editar
- Haz clic en el icono de DNS para ver los registros necesarios
- Copia cada registro a tu proveedor DNS
Importante con Cloudflare: El proxy (nube naranja) NO funciona con email. Los registros mail y webmail deben tener el proxy desactivado (nube gris - DNS only).
Configurar SPF (Sender Policy Framework)
SPF indica qué servidores están autorizados a enviar email en nombre de tu dominio.
Registro SPF básico
v=spf1 a mx ip4:TU_IP_DEL_SERVIDOR ~allExplicación:
v=spf1- Versión del protocoloa- Autoriza la IP del registro A del dominiomx- Autoriza los servidores MX del dominioip4:TU_IP- Autoriza esta IP específica~all- Softfail para otros (recomendado inicialmente)
SPF más restrictivo (recomendado después de pruebas)
v=spf1 a mx ip4:TU_IP_DEL_SERVIDOR -allEl -all (hardfail) rechaza emails de IPs no autorizadas. Úsalo solo después de verificar que todo funciona.
Si usas servicios externos
Si también envías emails desde otros servicios (Google Workspace, Mailchimp, etc.), inclúyelos:
v=spf1 a mx ip4:TU_IP include:_spf.google.com include:servers.mcsv.net ~allAñadir el registro SPF
En HestiaCP (si gestionas DNS allí):
- Ve a DNS → tu dominio
- Busca el registro TXT con
@o vacío - Edita y añade tu configuración SPF
En Cloudflare u otro proveedor:
| Tipo | Nombre | Contenido |
|---|---|---|
| TXT | @ | v=spf1 a mx ip4:TU_IP ~all |
Configurar DKIM (DomainKeys Identified Mail)
DKIM firma digitalmente tus emails, permitiendo a los destinatarios verificar que no han sido alterados.
Activar DKIM en HestiaCP
Si no lo activaste al crear el dominio:
- Ve a Mail → tu dominio → Editar
- Marca DKIM Support
- Guarda
HestiaCP genera automáticamente un par de claves (pública/privada) de 2048 bits.
Obtener la clave pública DKIM
La clave pública debe añadirse a DNS. Para verla:
Método 1: Desde el panel
- Ve a Mail → tu dominio → Editar
- Haz clic en el icono DNS
- Copia el registro
mail._domainkey
Método 2: Desde SSH
cat /etc/exim4/dkim/tudominio.com.pubFormato del registro DKIM
El registro TXT tendrá este formato:
| Tipo | Nombre | Contenido |
|---|---|---|
| TXT | mail._domainkey | v=DKIM1; k=rsa; p=MIGfMA0GCSqG… (clave completa) |
Notas importantes:
- El nombre del registro es
mail._domainkey(no solo_domainkey) - La clave es larga, asegúrate de copiarla completa
- Algunos proveedores DNS requieren que la clave esté entre comillas
Verificar que DKIM funciona
Después de añadir el registro, verifica:
dig mail._domainkey.tudominio.com TXT +shortDebe mostrar tu clave pública.
Configurar DMARC (Domain-based Message Authentication)
DMARC combina SPF y DKIM, indicando qué hacer con emails que fallan la autenticación.
Registro DMARC básico (recomendado para empezar)
v=DMARC1; p=none; rua=mailto:[email protected]Explicación:
v=DMARC1- Versiónp=none- Solo monitorear, no rechazar (para empezar)rua=mailto:...- Email para recibir informes
Registro DMARC estricto (después de verificar)
v=DMARC1; p=quarantine; sp=quarantine; adkim=s; aspf=s; rua=mailto:[email protected]Explicación adicional:
p=quarantine- Enviar a spam si fallasp=quarantine- Lo mismo para subdominiosadkim=s- Alineación estricta de DKIMaspf=s- Alineación estricta de SPF
Añadir el registro DMARC
| Tipo | Nombre | Contenido |
|---|---|---|
| TXT | _dmarc | v=DMARC1; p=none; rua=mailto:[email protected] |
Progresión recomendada de DMARC
- Semana 1-2:
p=none(solo monitoreo) - Semana 3-4:
p=quarantine(enviar a spam) - Después:
p=reject(rechazar directamente)
Revisa los informes que recibes en el email de rua antes de endurecer la política.
¿Email sin complicaciones?
El VPS HestiaCP Administrado de Avantys incluye email corporativo preconfigurado con SPF, DKIM y DMARC ya funcionando. Solo creas tus cuentas y listo.
Crear cuentas de email
Con el dominio configurado, ya puedes crear cuentas de correo.
Crear una cuenta nueva
- Ve a Mail en HestiaCP
- Haz clic en tu dominio (o el icono +)
- Haz clic en Add Mail Account
- Rellena:
| Campo | Ejemplo | Notas |
|---|---|---|
| Account | info | Sin @dominio |
| Password | ******** | Mínimo 8 caracteres, mezcla de tipos |
| Quota | 1024 | MB, 0 = ilimitado |
| Send email to | (opcional) | Enviar credenciales a este email |
- Guarda
Opciones avanzadas de cuenta
En Advanced Options puedes configurar:
- Aliases: Direcciones alternativas (ej: contacto@ → info@)
- Forward: Reenviar emails a otra cuenta
- Autoreply: Respuesta automática (vacaciones)
- FWD only: Solo reenviar, no guardar copia local
Crear múltiples cuentas
Para empresas, las cuentas típicas son:
| Cuenta | Uso |
|---|---|
| info@ | Contacto general |
| admin@ | Administración |
| ventas@ | Departamento comercial |
| soporte@ | Atención al cliente |
| noreply@ | Notificaciones automáticas |
Acceder al webmail (Roundcube)
HestiaCP incluye Roundcube como cliente de webmail.
URL de acceso
Por defecto, el webmail está en:
https://webmail.tudominio.comhttps://mail.tudominio.com
Credenciales
- Usuario: tu dirección completa ([email protected])
- Contraseña: la que configuraste al crear la cuenta
Webmail alternativo: SnappyMail
HestiaCP también soporta SnappyMail como alternativa a Roundcube. Para instalarlo:
v-add-sys-snappymailDespués puedes elegir el webmail por defecto en la configuración del servidor.
Configurar cliente de correo (Outlook, Thunderbird, móvil)
Para usar el email en aplicaciones como Outlook, Thunderbird o en el móvil:
Datos de configuración
| Parámetro | Valor |
|---|---|
| Servidor entrante (IMAP) | mail.tudominio.com |
| Puerto IMAP | 993 (SSL/TLS) |
| Servidor saliente (SMTP) | mail.tudominio.com |
| Puerto SMTP | 465 (SSL/TLS) o 587 (STARTTLS) |
| Usuario | [email protected] (email completo) |
| Contraseña | Tu contraseña de email |
| Autenticación | Contraseña normal |
Configuración en Outlook
- Archivo → Agregar cuenta
- Configuración manual
- POP o IMAP → IMAP
- Introduce los datos de arriba
- Siguiente → Probar configuración
Configuración en Thunderbird
- Añadir cuenta existente
- Introduce nombre, email y contraseña
- Thunderbird detectará la configuración automáticamente
- Si no detecta, usa configuración manual con los datos de arriba
Configuración en iPhone/iPad
- Ajustes → Mail → Cuentas → Añadir cuenta
- Otro → Añadir cuenta de correo
- Introduce email y contraseña
- Selecciona IMAP
- Configura servidores entrante y saliente con los datos de arriba
Configuración en Android (Gmail app)
- Gmail → Menú → Configuración → Añadir cuenta
- Otro
- Introduce email y contraseña
- Selecciona Personal (IMAP)
- Configura servidores con los datos de arriba
Verificar que la configuración funciona
Antes de enviar emails importantes, verifica que todo está correcto.
Test 1: Enviar email a mail-tester.com
- Ve a mail-tester.com
- Copia la dirección temporal que te da
- Envía un email de prueba desde tu cuenta
- Vuelve a mail-tester y mira tu puntuación
Puntuación objetivo: 9/10 o superior
Test 2: Verificar SPF
dig tudominio.com TXT +short | grep spfDebe mostrar tu registro SPF.
Test 3: Verificar DKIM
Envía un email a una cuenta de Gmail y mira el “original” del mensaje:
- Abre el email en Gmail
- Haz clic en los tres puntos → Mostrar original
- Busca
dkim=pass
Test 4: Verificar DMARC
dig _dmarc.tudominio.com TXT +shortDebe mostrar tu política DMARC.
Test 5: Comprobar blacklists
Verifica que tu IP no está en listas negras:
Herramientas adicionales
| Herramienta | URL | Qué verifica |
|---|---|---|
| MXToolbox | mxtoolbox.com | Todo (MX, SPF, DKIM, blacklists) |
| Mail-tester | mail-tester.com | Puntuación general de email |
| DMARC Analyzer | dmarcanalyzer.com | Políticas DMARC |
| Google Postmaster | postmaster.google.com | Reputación con Gmail |
Errores comunes y soluciones
”Emails van a spam”
Causas probables:
- SPF no configurado o incorrecto
- DKIM no activado
- Sin registro DMARC
- IP en lista negra
- PTR/rDNS no configurado
Solución: Verifica cada punto con las herramientas de arriba.
”No puedo enviar emails”
Verificar: Puerto 25 bloqueado por el proveedor.
telnet smtp.gmail.com 25Si no conecta, contacta con tu proveedor para desbloquear.
Alternativa: Usar SMTP Relay (Amazon SES, SendGrid, Mailgun).
”No puedo recibir emails”
Verificar: Registro MX incorrecto o faltante.
dig tudominio.com MX +shortDebe mostrar mail.tudominio.com (o similar).
”Error de certificado SSL en cliente”
Causa: SSL no configurado para el dominio de correo.
Solución:
- Ve a Mail → tu dominio → Editar
- Activa SSL Support y Let’s Encrypt
- Guarda y espera que se genere el certificado
”Roundcube muestra error 500”
Verificar logs:
tail -50 /var/log/roundcube/errors.logCausa común: Permisos incorrectos o base de datos corrupta.
”DKIM signature invalid”
Causas:
- Clave pública en DNS no coincide con privada
- Registro DKIM truncado (copiar clave completa)
- Formato incorrecto (comillas, espacios)
Verificar:
opendkim-testkey -d tudominio.com -s mail -vvv¿Problemas con el email?
El VPS HestiaCP Administrado incluye configuración profesional de email, soporte técnico 24/7 y monitorización de entregabilidad.
Preguntas frecuentes
¿Cuántas cuentas de email puedo crear?
Sin límite de software. El límite real es el espacio en disco y la RAM disponible. Cada cuenta consume poco en reposo, pero el antivirus (ClamAV) requiere unos 500MB-1GB de RAM constante.
¿Puedo usar el email sin instalar DNS en HestiaCP?
Sí. Si tu DNS está en Cloudflare u otro proveedor, simplemente copia los registros que HestiaCP te indica. Haz clic en el icono DNS en la configuración del dominio de correo para verlos.
¿Es mejor usar SMTP Relay o enviar directo?
Para volúmenes bajos-medios, el envío directo bien configurado funciona perfectamente. Para volúmenes altos o IPs problemáticas, un SMTP Relay (SES, SendGrid) garantiza mejor entregabilidad.
¿Cómo migro emails de otro servidor?
Puedes usar 'imapsync' para copiar buzones entre servidores, usar backup/restore de HestiaCP, o configurar ambas cuentas en un cliente (Thunderbird) y arrastrar los emails manualmente.
¿Puedo usar mi email con Gmail o Google Workspace?
Sí, pero no a la vez. Si usas Workspace, los registros MX deben apuntar a Google. No uses el email de HestiaCP para ese dominio, pero sí puedes usar el servidor para envío transaccional (formulario web) con DKIM.
¿Por qué Gmail rechaza mis emails?
Generalmente por falta de autenticación (SPF/DKIM/DMARC), IP en lista negra o reputación baja del dominio. Usa Google Postmaster Tools para diagnosticar.
¿Cómo configuro una dirección catch-all?
En Mail → tu dominio → Editar, selecciona 'Catch-All Email' y elige una cuenta existente donde llegarán todos los correos dirigidos a direcciones inexistentes.
Conclusión
Configurar email correctamente en HestiaCP requiere atención a varios detalles, pero el resultado es un servidor de correo profesional con entregabilidad cercana al 100%. Los tres pilares son:
- SPF: Define qué IPs pueden enviar en tu nombre
- DKIM: Firma digitalmente tus mensajes
- DMARC: Indica qué hacer con emails que fallan
Con estos tres configurados y un PTR correcto, tus emails llegarán al inbox sin problemas.
Si prefieres tener todo esto configurado de serie, el VPS HestiaCP Administrado de Avantys incluye email corporativo profesional con autenticación completa y soporte técnico.
Guías relacionadas
- Cómo instalar HestiaCP en Ubuntu
- Instalar WordPress en HestiaCP
- Configurar SSL en HestiaCP
- Configurar Backups en HestiaCP
- Seguridad en HestiaCP
- ¿Qué es HestiaCP?
VPS HestiaCP Administrado
Tu servidor HestiaCP con soporte técnico profesional. Nos encargamos de la administración para que tú te dediques a tus clientes.
VPS HestiaCP Administrado
La potencia de un VPS con el panel HestiaCP, montado y gestionado por nosotros.
