IPv6 y deliverability: configuración, riesgos y cuándo activarlo en email

Por qué enviar correo desde IPv6 puede romper la entrega a Gmail y Outlook si no tienes PTR, autenticación y reputación. Guía práctica para decidir.

IPv6 lleva años como estándar y la mayoría de redes ya lo soportan, pero en email sigue siendo un terreno con trampas. Gmail, Outlook y Yahoo aplican reglas más estrictas a remitentes que llegan por IPv6: si no tienes rDNS perfecto, autenticación impecable y reputación construida, te rechazan más rápido que en IPv4. Activar IPv6 sin preparar la pila es la receta para perder entrega.

Por qué IPv6 es más exigente

Las IPs IPv4 escasean y se compran o alquilan. Cada IPv4 tiene historial: blacklists, reputación, asociación con remitentes previos. Una IPv4 nueva en realidad es usada.

Las IPs IPv6 son prácticamente infinitas. Los spammers podrían rotar millones por hora si los receptores no aplicaran filtros adicionales. Por eso, los grandes proveedores tratan IPv6 con desconfianza por defecto y exigen señales positivas explícitas:

• rDNS obligatorio: si no resuelve, rechazo.
• Forward-confirmed reverse DNS: el rDNS debe resolver hacia delante a la misma IP.
• Autenticación SPF/DKIM/DMARC: alineadas y pasando.
• Reputación construida: warming desde cero.

En IPv4, fallar uno o dos de estos puntos te penaliza pero suele entregar. En IPv6, fallar uno suele significar 550 5.7.1 directo.

Requisitos mínimos para enviar por IPv6

1. PTR válido

Cada IPv6 saliente debe tener un registro PTR. Verificación:

host 2a01:4f8:c2c:1234::1

Debe devolver:

1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.4.3.2.1.c.2.c.0.8.f.4.0.1.0.a.2.ip6.arpa domain name pointer mx.tudominio.com.

Si devuelve NXDOMAIN, no envíes desde esa IP. Para detalle sobre PTR, ver la guía de MX, A, rDNS y PTR.

2. Forward-confirmed (FCrDNS)

El hostname al que apunta el PTR debe resolver de vuelta a la IP original:

host mx.tudominio.com

Devuelve:

mx.tudominio.com has IPv6 address 2a01:4f8:c2c:1234::1

Si la IP del A/AAAA no coincide con la del PTR, FCrDNS falla y la mayoría de proveedores rechazan.

3. Autenticación completa

Gmail explícitamente exige para envíos por IPv6:

• SPF que autorice la IPv6 (ip6: en el registro).
• DKIM válido.
• Alineación DMARC (from alineado con SPF o DKIM).

Ejemplo de SPF mixto:

"v=spf1 ip4:198.51.100.20 ip6:2a01:4f8:c2c:1234::1 -all"

Sin ip6:, los envíos IPv6 fallan SPF.

4. HELO/EHLO consistente

El servidor debe presentarse en SMTP con el mismo hostname que aparece en PTR y A/AAAA. Si tu PTR dice mx.tudominio.com, el banner SMTP también debe decir mx.tudominio.com. Inconsistencias = rechazo.

Verificar tu pila IPv6 antes de activar

# 1. PTR existe
host 2a01:4f8:c2c:1234::1

# 2. FCrDNS (forward confirma)
host $(host 2a01:4f8:c2c:1234::1 | awk '{print $NF}' | sed 's/\.$//')

# 3. SPF incluye ip6
dig +short TXT tudominio.com | grep ip6

# 4. EHLO desde tu MTA
swaks --to [email protected] --from [email protected] --helo mx.tudominio.com -tls --server [::1]

Cuatro checks; si los cuatro pasan, IPv6 es viable.

El error 421 4.7.0 de Gmail

Si envías por IPv6 sin reputación, lo más habitual es ver:

421 4.7.0 [2a01:4f8:c2c:1234::1 19] Our system has detected that this 550-5.7.1 message does not meet IPv6 sending guidelines regarding PTR records and authentication.

El mensaje es claro: PTR o autenticación. Si tienes ambos correctos y aún así ves este error, probablemente sea reputación: tu IPv6 es nueva y Gmail aplica throttling.

Solución: warming específico para IPv6, empezando con volumen bajo y subiendo gradualmente. La reputación de IPv4 no se transfiere a IPv6: aunque tu IPv4 sea High en Postmaster Tools, la IPv6 empieza desde cero.

Outlook y IPv6: política conservadora

Microsoft restringe más IPv6 que Gmail. Su SNDS (Smart Network Data Services) tradicionalmente solo expone datos de IPv4. Para IPv6, Outlook acepta entregas pero con menos visibilidad y, en caso de problemas, puede rechazar con:

550 5.7.1 Unfortunately, messages from [IPv6] weren't sent. Please contact your Internet service provider since part of their network is on our block list (S3140).

Recomendación práctica: si tu volumen hacia Outlook es relevante, considera enviar a Microsoft por IPv4 y al resto por IPv6, o mantener todo en IPv4 hasta que Microsoft mejore su soporte.

Configurar IPv6 en MTAs comunes

Postfix

# /etc/postfix/main.cf
inet_protocols = all
smtp_address_preference = ipv6

# HELO consistente
smtp_helo_name = mx.tudominio.com

# Bind explícito (opcional)
smtp_bind_address6 = 2a01:4f8:c2c:1234::1

Exim

# /etc/exim4/conf.d/main/00_localmacros
disable_ipv6 = false
primary_hostname = mx.tudominio.com

Sendmail

# /etc/mail/sendmail.mc
DAEMON_OPTIONS(`Family=inet6, Name=MTA6, Port=smtp')dnl

Tras configurar, valida con un envío de prueba a Gmail y revisa cabeceras para confirmar que viene por IPv6 y pasa autenticación.

ESPs y IPv6

La mayoría de ESPs (SendGrid, Mailgun, SES, Postmark, Brevo) envían por IPv4 por defecto y ofrecen IPv6 solo en planes específicos o bajo petición. Si usas un ESP, no tienes que preocuparte por IPv6: el proveedor decide.

Si tu ESP envía por IPv6 sin que tú hayas configurado SPF con ip6:, los envíos pueden fallar SPF. Revisa la documentación de:

• Amazon SES
• Postmark
• Brevo
• Mailchimp

Confirma qué IPs (v4 y v6) usa el ESP y autoriza ambas en SPF.

Casos donde IPv6 ayuda

Servidores de salida con IPv6 nativo

Algunos proveedores cloud (Hetzner, OVH, Scaleway) asignan IPv6 estáticas con PTR configurable. Es trivial montar un MX dual-stack y la entrega funciona bien si la pila está completa.

Recibir correo

Recibir por IPv6 (publicar AAAA en MX) es menos arriesgado: tú aplicas tus filtros sobre lo que llega, no compites por reputación. Activarlo amplía la base de remitentes que pueden llegar a ti.

Receptores con preferencia IPv6

Algunos receptores europeos (Posteo, Mailbox.org) prefieren o exigen IPv6 con DANE. Si tu correo va a esos destinos, IPv6 es necesario.

Casos donde IPv6 estorba

IPs sin PTR configurable

Si tu hosting da IPv6 pero no permite configurar PTR (caso típico en dynamic prefixes /64 sin delegación rDNS), no envíes desde IPv6. Rechazo seguro.

Volumen bajo en cuentas mixtas

Una cuenta de envío bajo volumen hacia destinatarios variados (Gmail + Outlook + dominios pequeños) gana poco con IPv6 y arriesga mucho si la pila no es perfecta. IPv4 es más perdonador.

Reputación IPv4 ya construida

Si llevas años con una IPv4 de reputación alta, no hay incentivo para mover envíos a IPv6. La reputación no se transfiere y empezarías de cero.

Errores frecuentes

Activar IPv6 sin SPF actualizado

SPF sin ip6: falla automáticamente para envíos IPv6. DMARC reject los rechaza. Resultado: caída masiva de entrega de un día para otro.

PTR genérico del proveedor

Muchos hostings ponen PTR como static.xyz.123.host.proveedor.com por defecto. Aunque exista, los receptores penalizan PTR genéricos. Cambia a uno propio: mx.tudominio.com.

FCrDNS roto

Tienes PTR pero el A/AAAA del hostname apunta a otra IP (típico tras migración). Cuatro grandes (Gmail, Outlook, Yahoo, Apple) lo verifican. Repara o no envíes.

Asumir paridad con IPv4

La reputación, el warming, los warming buckets, las decisiones de filtrado son independientes entre familias. No esperes que IPv4 te cubra IPv6 ni viceversa.

No monitorizar específicamente IPv6

Si Postmaster Tools muestra dos entradas (una IPv4, una IPv6), míralas por separado. Una puede estar High y la otra Low. Decisiones distintas.

Recursos relacionados

Si quieres profundizar, prueba estas herramientas gratuitas: Domain Health, mail tester, validador SPF y validador DMARC.

¿Necesitas que alguien lleve tu canal de email entero? Abalola Mail es la agencia de email marketing para ecommerce de Abalola para ecommerce: estrategia, producción y operación del stack sobre Klaviyo, Mailchimp o Brevo.