Saltar al contenido
OS Domains
Servicios profesionales · Auditoría técnica

Auditoría de deliverability con reporte ejecutivo y plan de remediación accionable

Una auditoría de deliverability es una evaluación técnica del estado de tu infraestructura de envío —autenticación, DNS, reputación de IP y dominio, plantillas y placement— que documenta dónde estás antes de cambiar nada y prioriza las acciones de remediación. OS Domains realiza auditorías para empresas hispanohablantes a través de seis dimensiones técnicas, con validación de SPF, DKIM, DMARC y BIMI, verificación contra más de 50 listas negras y análisis de placement con muestreo seed, entregadas en un reporte priorizado bajo entidad austriaca residente en la UE.

Revisión técnica del setup de envío actual ejecutada por ingenieros de deliverability con experiencia en infraestructura de envío desde 2008, sobre los receivers que más importan a empresa hispanohablante con audiencia internacional. Cubrimos autenticación (SPF, DKIM, DMARC, BIMI), infraestructura DNS (autoritativo, rDNS, DNSSEC), reputación de IPs y dominios contra Spamhaus, Spamcop, Barracuda, SORBS, Sender Score, fingerprinting de plantillas y patrones de spam-score, configuración de receiver-side (Gmail Postmaster Tools, Microsoft SNDS), y análisis del placement actual con muestreo de cuentas seed. Salida documentada de 30 a 50 páginas con hallazgos priorizados, plan de remediación con plazos estimados y costes esperados de implementación. Sin venta agresiva de servicios encima: la auditoría es producto independiente que entrega valor por sí solo.

En breve

  • Seis dimensiones técnicas evaluadas: autenticación, DNS, reputación de IP y dominio, fingerprinting de plantillas, placement por seed y verificación de listas negras.
  • Tres tipos (pago único): Express 1.999 € (hasta 3 dominios, reporte de 15-25 páginas), Estándar 4.999 € (hasta 20 dominios, el más contratado) y Enterprise a medida.
  • Validación de SPF, DKIM, DMARC y BIMI y verificación contra más de 50 listas negras, con análisis de placement por muestreo seed.
  • Reporte con hallazgos priorizados y un plan de remediación con costes y plazos estimados, más una llamada de presentación de 60 a 90 minutos.
  • Documentación auditable apta para procurement o auditoría regulatoria, bajo entidad austriaca residente en la UE.
Qué resuelve este producto

Para empresa hispanohablante que prefiere saber dónde está antes de cambiar nada

Las auditorías de deliverability son producto distinto del consultoría continua o de la migración. La auditoría es trabajo discreto con scope cerrado y entregable concreto: documento ejecutivo identificando hallazgos técnicos sobre el setup actual, sin obligación posterior de contratar servicios adicionales, sin venta cruzada agresiva. Para empresa hispanohablante con setup de email maduro pero sospecha de problemas que no logra identificar, la auditoría entrega claridad sobre el estado real con coste fijo y plazo definido.

La industria del email cambió sustancialmente desde febrero de 2024. Google y Yahoo introdujeron el bulk sender enforcement con criterios técnicos estrictos: cualquier dominio enviando 5.000 o más mensajes diarios debe tener SPF válido, DKIM válido, registro DMARC publicado en p=none mínimo, y mantener spam complaint rate por debajo del 0.3% (con techo práctico seguro al 0.1%) bajo amenaza de throttling, placement en spam folder o rechazo directo. Microsoft siguió en mayo de 2025 con efectivamente los mismos requisitos para Outlook.com, Hotmail.com y Live.com. En 2026, entre Gmail, Yahoo y Microsoft, más del 90% de la capacidad de inbox consumer en Europa y Norteamérica opera bajo estas reglas. Los inboxes enterprise (Microsoft 365, Google Workspace) heredan el mismo baseline.

El resultado del cambio es que muchas empresas hispanohablantes que pasaban auditorías deliverability sin problema en 2023 entraron a 2024 con problemas que no entendían. Placement caído en Gmail, complaints inesperados, listings transitorios. La causa raíz suele ser: configuración SPF demasiado permisiva o demasiado estricta, DKIM rotando sin coordinación que rompe alineamiento, DMARC en p=none sin avance hacia enforcement, infraestructura compartiendo IPs con remitentes problemáticos, contenido con patrones que receiver-side ML ahora flagga, fingerprinting de plantillas que el receiver detecta como bulk pattern. La auditoría profesional identifica cuál de estas causas aplica al caso específico.

La audiencia hispanohablante donde el producto entrega valor mensurable son empresas con setup de email establecido (no startup en validación) que sospechan problema sin causa clara, equipos preparando migración o re-arquitectura del setup que necesitan baseline antes de cambiar, empresas en sector regulado (banco, fintech, healthtech) que necesitan auditoría externa documentada para procurement o auditoría regulatoria interna, ESPs o agencias hispanas que ofrecen reporte de auditoría a cliente final como parte del servicio.

Sobre el lado tributario, factura desde Viena en EUR. Para empresa española mecanismo de inversión del sujeto pasivo. Para empresa LATAM, tributación local. Pago al inicio del engagement.

Sobre cuándo este producto NO encaja. Auditorías DIY con herramientas gratuitas (Mailhardener report, MxToolbox blacklist check, Gmail Postmaster Tools acceso directo) atienden bien para empresa pequeña con problemas obvios. Encajamos cuando el problema es no obvio, cuando la documentación auditable formal es necesaria, o cuando el coste de no identificar la causa raíz supera el coste del engagement profesional. Para empresa con setup simple y problemas menores, recomendamos honestamente auto-diagnóstico con herramientas gratuitas primero.

Sobre el ROI típico de la auditoría que vale calcular. Para empresa con volumen 1M plus al mes en producción, una mejora del 5% en placement (típico resultado de aplicar las recomendaciones de la auditoría) equivale a 50.000 emails adicionales llegando al inbox cada mes. Si la conversión de email a revenue está en €0.10 a €1.00 por email entregado (variable según segmento), la mejora vale €5.000 a €50.000 mensuales. La auditoría se paga con el primer mes de mejora aplicada. Empresas que la posponen porque parece coste sin retorno claro están dejando dinero en la mesa cuantificable.

Sobre cuándo NO hacer auditoría profesional aunque parece tentador. Si tu volumen es bajo (menos de 500K mensual), las herramientas DIY (MxToolbox, dmarcian Lite, Mailhardener report gratuito, Gmail Postmaster Tools acceso directo) cubren el 80% del valor que entrega nuestra auditoría a fracción del coste. Solo es útil pagar auditoría profesional cuando el problema es no obvio (las herramientas DIY no lo identifican), cuando necesitas documento auditable para procurement o auditoría regulatoria, o cuando el coste de no identificar la causa raíz supera el coste del engagement por escala del volumen. Para empresa pequeña con volumen bajo, recomendamos honestamente DIY primero.

Sobre la profundidad técnica que diferencia auditoría profesional de auto-evaluación con herramientas DIY. Las herramientas gratuitas (MxToolbox, dmarcian Lite, Mailhardener report básico) cubren bien el chequeo sintáctico de SPF, DKIM, DMARC y la verificación de blacklists actuales. Lo que típicamente no cubren: análisis de fingerprinting de plantillas con patrones de spam-score que receiver-side ML detecta, análisis de coherencia inter-canal cuando el cliente tiene varios canales sobre la misma infraestructura, comparación con benchmarks de la industria del segmento del cliente, análisis de placement por receiver con muestreo de cuentas seed, identificación de causa raíz cuando los síntomas son ambiguos. La auditoría profesional cubre estos puntos que requieren juicio humano experimentado y red de cuentas seed que las herramientas DIY no tienen.

Sobre cuándo la auditoría es prerrequisito de otro engagement vale aclarar. Cliente que llega con problema de placement caído sin causa clara puede contratar directamente Recovery (engagement de remediación) si la causa parece identificable rápidamente, o auditoría primero si la causa no es obvia y necesita investigación profunda. Cliente que llega con interés en migración puede contratar directamente Migración si el destino y plazo son claros, o auditoría primero para validar baseline pre-migración. Cliente que llega con interés en monitoreo recurrente puede contratar Monitoring directamente, o auditoría one-time primero para identificar issues iniciales que el monitoreo recurrente continuará observando. La política sobre relación entre productos: auditoría es punto de entrada útil pero no obligatorio; los demás productos operan independientemente.

Sobre las tres dimensiones donde la auditoría profesional típicamente identifica hallazgos que las herramientas DIY no detectan. Primera dimensión: configuración de autenticación inconsistente entre canales del mismo cliente. Cliente con SPF correctamente configurado para el ESP transaccional pero olvidado para el ESP de marketing, o con DKIM rotando en uno pero no en el otro. Las herramientas DIY chequean cada canal aislado; el ojo experimentado nota la inconsistencia que receivers tratan como señal sospechosa. Segunda dimensión: configuración legacy mal aplicada que el cliente heredó sin entender. Cliente con SPF que tiene 14 lookups (límite RFC es 10), DKIM con clave 1024-bit (estándar moderno es 2048-bit), DMARC con sintaxis correcta pero política incompatible con el setup real. Tercera dimensión: contenido y estructura de plantillas con patrones que receiver-side ML detecta. Las herramientas DIY no analizan contenido; el análisis humano profesional sí.

Sobre el flujo operacional típico de un engagement de auditoría que vale describir para que el cliente sepa qué esperar. Día 1 del engagement: kickoff técnico de 60-90 minutos donde el cliente comparte acceso de solo lectura a Gmail Postmaster Tools, Microsoft SNDS, y panel del ESP en uso. Día 2-7: ingenieros de auditoría hacen revisión sistemática del setup técnico, recolectan datos cuantitativos de placement, ejecutan envíos de muestra controlada hacia red de cuentas seed propia. Día 8-14 (Tier Estándar) o día 8-21 (Tier Enterprise): análisis de contenido de plantillas, comparación con benchmarks del segmento, identificación de hallazgos priorizados. Día 15-28: redacción del reporte con hallazgos detallados, recomendaciones priorizadas con plazos y costes estimados, plan de remediación documentado. Día 29: entrega del reporte al cliente. Día 30: llamada de presentación con Q&A.

Sobre el caso específico de auditoría a empresa con operación de email maduro pero performance que viene degradándose hace meses sin causa identificada. Patrón típico que vemos: el cliente reportará placement en Gmail Postmaster Tools cayendo gradualmente del 95% al 80% durante 6 meses, sin cambios obvios en lista, contenido o configuración. La auditoría descubre causa que el equipo interno no detectó: rotación de DKIM mal coordinada que rompe alineamiento intermitentemente, expansión de la lista hacia segmento que no tenía engagement validado, cambio de patrón de envío (de batch nocturno a continuo durante el día) que disparó filtros de receiver-side ML, contenido con cambio sutil de tono que el receiver clasifica distinto. Estos hallazgos no aparecen en herramientas DIY porque requieren correlación temporal entre cambios operacionales del cliente y cambios en métricas del receiver.

Sobre el patrón específico que vemos durante 2025-2026 en clientes que llegan a la auditoría tras experiencia previa con consultor que no resolvió el problema. La situación típica: empresa contrató consultor externo durante 3-6 meses sin resolver el problema de placement, el consultor dejó documento con recomendaciones genéricas que el equipo interno no pudo aplicar por falta de detalle técnico, la situación persiste y el equipo está frustrado. La auditoría nuestra entrega: revisión del documento previo del consultor para identificar qué se intentó y por qué no funcionó, hallazgos profundos con detalle técnico que el equipo interno puede aplicar paso a paso, plan de remediación con plazos y costes específicos por hallazgo. La diferencia operacional vs consultoría tradicional: entregamos información ejecutable, no recomendaciones genéricas.

Sobre el caso específico de cliente que necesita evidencia de auditoría como entregable concreto para due diligence pre-acquisition, donde la auditoría es parte del paquete de información que el potencial comprador o inversor revisa. Patrón típico: empresa hispanohablante en proceso de venta o ronda de financiación donde el inversor o el comprador pide due diligence técnica completa incluyendo email infrastructure como uno de los componentes. La auditoría profesional firmada por ingeniero responsable, con metodología documentada y hallazgos detallados, entrega evidencia auditable que el inversor o comprador puede revisar sin tener que ejecutar evaluación propia (ahorra plazo y coste del lado del inversor, lo que se traduce en proceso más rápido para el cliente). Tier Estándar y Enterprise incluyen formato del reporte adaptable al template específico del inversor cuando el cliente lo requiere.

Sobre la observación específica del valor diferencial cuando el cliente tiene programa de auditoría recurrente. Cliente que contrata auditoría anualmente o semestralmente como parte de su gobernanza interna recibe descuento progresivo: 15% de descuento sobre la segunda auditoría, 25% desde la tercera. La razón económica es que tras la primera auditoría tenemos baseline documentado del cliente, lo que reduce el coste operacional de auditorías subsiguientes (no hay que reconstruir el contexto desde cero). Para empresas con programa formalizado, este modelo entrega coste decreciente sin sacrificar profundidad.

Sobre el caso específico de cliente preparando salida a bolsa o ronda Series B+ donde la auditoría técnica forma parte del paquete de due diligence. Patrón observable durante 2024-2026: empresa hispanohablante en proceso de levantamiento de capital institucional o IPO recibe demanda del inversor o regulador (CNMV España, SEC EE.UU. para empresas hispanas que cotizan ADR) sobre evidencia de cumplimiento técnico documentado. Email infrastructure suele aparecer en el cuestionario de due diligence porque toca operación crítica con cliente final, datos personales, y comunicaciones reguladas. La auditoría profesional firmada por ingeniero responsable, con metodología documentada y formato adaptable al template del inversor, entrega la evidencia que el inversor necesita sin que el equipo interno tenga que producirla desde cero.

Sobre el flujo de cierre del engagement con sesión final de Q&A documentada. La política operacional incluye llamada de cierre con grabación opcional donde el cliente puede plantear preguntas adicionales sobre hallazgos específicos, interpretación de recomendaciones, plan de implementación con prioridades. La grabación queda disponible para que miembros del equipo del cliente que no participaron en la llamada puedan revisarla con contexto completo. Para clientes con auditoría regulatoria, la grabación forma parte del paquete de evidencia auditable que el cliente puede entregar al regulador.

Escenarios donde encajamos

¿En qué cinco situaciones la auditoría profesional entrega valor mensurable?

Abajo, los perfiles concretos donde el reporte profesional supera al auto-diagnóstico.

Escenario 01

Empresa hispanohablante con placement caído sin causa identificada

Setup que funcionaba bien hasta hace meses ahora muestra placement degradado en Gmail u Outlook 365. Equipo interno hizo diagnóstico básico sin encontrar causa clara. La auditoría identifica el patrón específico (cambio de algoritmo del receiver, configuración legacy mal aplicada, contenido con patrón problema) que el equipo interno no detectó.

Escenario 02

Operación enviando 5.000+ al día sin verificar Google/Yahoo/Microsoft compliance

Operación con volumen por encima del threshold de bulk sender enforcement que no auditó formalmente compliance con los nuevos criterios. Riesgo de throttling o rechazo masivo si los receivers detectan incumplimiento. La auditoría confirma compliance o identifica gaps.

Escenario 03

Empresa preparando migración o re-arquitectura

Equipo planificando migración de ESP, cambio de MTA, consolidación multi-plataforma. Necesita baseline documentado del estado actual antes del cambio para poder medir el impacto del proyecto. La auditoría entrega ese baseline.

Escenario 04

Sector regulado con auditoría regulatoria recurrente

Banco, fintech, healthtech con auditoría regulatoria interna o externa que pide evidencia de controles técnicos sobre email. La auditoría profesional entrega documentación auditable que el regulador acepta.

Escenario 05

ESP o agencia ofreciendo reporte a cliente final como parte del servicio

ESP regional o agencia hispana que vende reporte de auditoría como parte del onboarding o de la revisión anual del cliente final. Subcontrata la auditoría con nosotros y entrega el reporte con su branding al cliente final.

Escenario 06

Empresa preparando RFP donde la auditoría externa es requisito

Empresa que va a participar en RFP corporativo donde la auditoría externa documentada es uno de los requisitos. El reporte de auditoría firmada por ingeniero responsable es entregable que el equipo de procurement puede incluir en la respuesta al RFP, lo que diferencia frente a competidores que solo entregan auto-evaluación.

Escenario 07

Cliente migrando a infraestructura propia que necesita baseline pre-migración

Empresa decidiendo migrar de ESP a infraestructura propia (KumoMTA, PowerMTA con bare metal) que necesita baseline documentado del estado actual con ESP antes de hacer la migración. La auditoría establece el baseline contra el cual el cliente puede medir el éxito de la migración: ¿el setup self-hosted iguala o supera al ESP en métricas de placement?

Escenario 08

Operación heredada con documentación inexistente que necesita inventario técnico

Empresa con setup de email heredado por años, varios departamentos que agregaron herramientas sin documentación central, equipo de TI nuevo que no entiende qué hay configurado dónde. La auditoría hace inventario completo: dominios, IPs, ESPs en uso, sub-procesadores, autenticación. El reporte sirve como documentación de partida para gobernanza interna posterior.

Qué cubre la auditoría

Seis dimensiones técnicas evaluadas

Cada dimensión cubre componentes específicos. La salida es reporte estructurado con hallazgos por dimensión.

Autenticación de email (SPF, DKIM, DMARC, BIMI)

Validación de SPF (sintaxis, límites de lookups, alineamiento con MFROM), DKIM (longitud de clave, rotación, alineamiento con DKIM-Signature), DMARC (política publicada, percentage, alineamiento con DKIM o SPF, destinos RUA/RUF, configuración subdomain), BIMI si publicado (sintaxis del registro, validación del SVG, presencia y validez de VMC). Identificación de gaps que receivers como Gmail flaggan automáticamente.

Infraestructura DNS

Revisión de DNS autoritativo (proveedor, latencia de resolución global, DNSSEC), rDNS de IPs de envío (forward-confirmed, FQDN apuntando al dominio del cliente o al proveedor), TTL de registros relevantes, configuración de wildcards y subzonas. Identificación de configuraciones legacy o mal optimizadas que afectan placement.

Reputación de IPs y dominios

Verificación contra Spamhaus (CSS, PBL, SBL, XBL), Spamcop, Barracuda, SORBS (múltiples listings), CBL/Composite Blocking List, SURBL para URI listings, Sender Score de Validity, y otras 30 plus blacklists relevantes. Histórico de listings (si información disponible) y patrones de listing que sugieren causa subyacente.

Fingerprinting de plantillas y patrones de spam-score

Análisis de plantillas de email actuales contra criterios que receiver-side ML usa para detectar bulk pattern: ratio de imagen a texto, presencia de elementos típicos de spam (URLs cortas no redirigidas, contenido financiero específico, patrones de phishing inadvertidos), variación léxica entre plantillas, presencia de Unicode confusables, validez de HTML estructurado.

Configuración receiver-side

Gmail Postmaster Tools: validación de dominios verificados, métricas accesibles (spam rate, IP reputation, domain reputation, delivery errors, feedback loop). Microsoft SNDS: validación de IPs registradas, métricas accesibles. Yahoo Feedback Loop: estado de inscripción. Listing en proveedores de allow-list relevantes (Validity Certified, Microsoft JMRP).

Placement actual con muestreo de cuentas seed

Envío de muestra controlada hacia red de cuentas seed (Gmail consumer, Gmail Workspace, Outlook consumer, Outlook 365, Yahoo, ProtonMail, receivers europeos secundarios como Free.fr, GMX, Strato). Medición de placement por receiver. Identificación de receivers donde el placement está significativamente degradado vs benchmark del segmento. Útil para identificar problemas con receivers específicos no detectados por monitoreo agregado.

Análisis de coherencia inter-canal

Para clientes con varios canales de envío (transaccional + marketing + cold email) sobre la misma infraestructura subyacente, la auditoría incluye análisis de coherencia entre canales: ¿los canales comparten IPs o están segregados? ¿la reputación de un canal contamina al otro? ¿la configuración de autenticación es consistente? Hallazgos típicos: cliente con dominio principal usado por marketing y por transaccional sin segregación, lo que genera contagio de complaints de marketing hacia placement de transaccional crítico.

Comparación con benchmarks de la industria

Los hallazgos se comparan con benchmarks observados sobre la base de clientes nuestros del mismo segmento (transaccional B2C, cold email B2B, marketing legítimo, mixed-use). Útil para que el cliente sepa si sus métricas están en el top 25%, mediana, o bottom 25% del segmento. Sin esta comparación, "spam rate de 0.15%" es número aislado sin contexto; con comparación, el cliente sabe si está bien o mal.

Tipos de auditoría y precios

Tres tipos según alcance y profundidad

Pricing fijo por tipo de auditoría. El plazo de entrega del reporte varía: 2 semanas para Express, 4 semanas para Estándar, 6-8 semanas para Enterprise.

Auditoría Express

Para validación rápida o setup simple con pocos dominios.

€1.999 one-time

Ideal para

PYMES con 1-3 dominios, volumen bajo a medio, equipo interno necesitando segunda opinión técnica.

  • Auditoría sobre hasta 3 dominios y 1 bloque IP
  • Reporte de 15-25 páginas con hallazgos priorizados
  • Validación SPF, DKIM, DMARC, BIMI básica
  • Verificación de blacklists principales
  • Recomendaciones priorizadas accionables
  • Llamada de presentación del reporte de 60 minutos
  • Plazo de entrega 2 semanas
Pedir
Más elegido

Auditoría Estándar

El tipo más contratado. Cubre operación profesional típica.

€4.999 one-time

Ideal para

Empresa con 5-20 dominios, varios bloques IP, varios canales de envío (transaccional + marketing + cold).

  • Auditoría completa de hasta 20 dominios y bloques IPs múltiples
  • Reporte de 30-50 páginas con hallazgos detallados
  • Validación completa de autenticación + infraestructura DNS
  • Verificación contra 50+ blacklists
  • Análisis de fingerprinting de plantillas
  • Análisis de placement con muestreo seed
  • Plan de remediación con costes y plazos estimados
  • Llamada de presentación del reporte de 90 minutos
  • Plazo de entrega 4 semanas
Pedir

Auditoría Enterprise

Para operación enterprise o sector regulado.

Custom

Ideal para

Operación con dominios y bloques IP múltiples, sector regulado con auditoría externa documentada, ESP o agencia con varios clientes finales.

  • Scope custom según infraestructura y requisitos
  • Reporte personalizado para procurement o auditoría regulatoria
  • Equipo de auditoría dedicado durante el engagement
  • Coordinación con receivers (Gmail Postmaster, Microsoft) si aplica
  • Documentación auditable para reguladores específicos
  • Reportes ejecutivos para procurement del cliente final
  • Llamadas de presentación a comité ejecutivo si requiere
  • Plazo personalizado
Hablar

Precios one-time antes de IVA. Pago al inicio del engagement. Si el cliente decide contratar servicios adicionales nuestros (migración, recovery, monitoreo recurrente, DMARC gestionado) dentro de 60 días post-auditoría, el coste de la auditoría se descuenta del contrato del nuevo servicio.

Preguntas frecuentes

¿Qué preguntan los equipos técnicos?

¿Cómo se compara con herramientas gratuitas como MxToolbox?

MxToolbox, Mailhardener, dmarcian Lite y similares entregan información valiosa para diagnóstico básico. Cubren SPF/DKIM/DMARC syntax check, blacklist lookup, validación DNS básica. La diferencia con la auditoría profesional: análisis humano sobre el conjunto de datos (las herramientas dan datos, el ingeniero interpreta el patrón), análisis de fingerprinting de plantillas (las herramientas no cubren contenido), análisis de placement con seed accounts (las herramientas no envían tráfico real para medir), reporte estructurado para procurement o auditoría regulatoria (las herramientas dan dashboards, no reportes auditables). Para diagnóstico básico, las herramientas son la opción correcta. Para análisis profesional con documentación auditable, justificamos.

¿La auditoría es independiente del catálogo recurrente?

Sí. La auditoría es producto one-time independiente. Sin obligación posterior de contratar nada más. Puedes recibir el reporte y aplicar la remediación tú mismo, contratar otro proveedor, o no hacer nada. La política es entregar valor por la auditoría sola, sin sales pitch agresivo encima. Cuando el cliente decide contratar servicios adicionales nuestros (migración, recovery, etc.) dentro de 60 días post-auditoría, descuentamos el coste de la auditoría del contrato del nuevo servicio.

¿Quién hace la auditoría técnicamente?

Ingeniero de deliverability con experiencia mínima de 5 años en infraestructura de envío. Para tier Estándar, ingeniero senior asignado durante el engagement. Para tier Enterprise, equipo de auditoría con arquitecto líder. Los reportes se firman por el ingeniero responsable y son revisados internamente antes de entrega al cliente. La continuidad técnica permite que el ingeniero esté disponible para preguntas durante 30 días post-entrega.

¿Pueden auditar setup que usa AWS SES, SendGrid, Mailgun directamente?

Sí. La auditoría opera sobre el setup del cliente sea cual sea el proveedor subyacente. Para AWS SES, evaluamos configuration sets, IP pools dedicados vs shared, rotación de DKIM, suppression list. Para SendGrid, evaluamos sub-cuentas, IP pools, configuración de webhooks, plantillas. Para Mailgun, evaluamos rutas, sub-cuentas, mailing lists. La auditoría no requiere migrar a nuestra infraestructura.

¿El reporte es útil para auditoría ISO 27001 o SOC 2?

Para tier Estándar y Enterprise, sí. El reporte cubre los controles técnicos de email que ISO 27001 anexo A.13 (Communication Security) y SOC 2 CC6 (Logical Access) tipicamente piden como evidencia. Para clientes con auditoría específica (PCI-DSS, HIPAA, sector financiero) personalizamos el reporte para cubrir los controles del marco regulatorio aplicable. El reporte está firmado por ingeniero responsable y puede formar parte de la evidencia para el auditor externo.

¿Qué pasa si después de la auditoría descubrimos que el problema es del ESP, no del cliente?

Caso común. Cuando el problema es del ESP (configuración de IPs shared problemática, política del ESP inadecuada para el caso, gestión de blacklists insuficiente), el reporte lo identifica claramente. La recomendación típica es: comunicar al ESP el hallazgo con la evidencia documentada, evaluar migración a proveedor distinto, o aceptar la limitación si no hay alternativa razonable. El reporte no oculta hallazgos que apunten a proveedores externos; la honestidad técnica es parte del valor del producto.

¿Cuál es el siguiente paso?

Llamada inicial de 30 minutos donde discutimos: scope esperado (cuántos dominios, bloques IP, canales), objetivo de la auditoría (validación, preparación de migración, auditoría regulatoria), plazo deseado, cualquier contexto del problema actual si lo hay. Salida es propuesta concreta con tipo de auditoría, plazo de entrega y precio fijo.

¿La auditoría incluye análisis de contenido específico de campañas?

Tier Express: no, solo configuración técnica. Tier Estándar: sí, análisis de fingerprinting de plantillas con identificación de patrones que receiver-side ML flagga (ratio imagen/texto, palabras de spam-score alto, estructura HTML). Tier Enterprise: sí, análisis profundo incluyendo varias campañas históricas para identificar patrones temporales. El análisis de contenido es valioso porque problemas de placement frecuentemente vienen de contenido más que de configuración técnica.

¿Pueden auditar setup que usa Microsoft 365 Exchange Online para envío?

Sí. Exchange Online tiene configuración de autenticación distinta al ESP típico (DKIM con clave gestionada por Microsoft, SPF que apunta a spf.protection.outlook.com, DMARC con reportes hacia destinos configurados en Exchange admin center). La auditoría cubre Exchange Online con conocimiento de las particularidades de Microsoft. Útil para empresas que mandan email corporativo desde Exchange directamente sin ESP intermedio.

¿Qué profundidad tiene el análisis del histórico de blacklists?

Tier Express: blacklist status actual contra 20 fuentes principales. Tier Estándar: histórico de últimos 12 meses contra 50 plus blacklists, identificación de patrones (¿hay listings recurrentes que sugieren causa subyacente no resuelta?). Tier Enterprise: histórico extendido de varios años más coordinación con blacklist providers para obtener detalle de causas de listings históricos cuando es disponible. El histórico es valioso porque listings actuales tienen contexto del histórico.

¿Pueden auditar cumplimiento específico con CAN-SPAM, RGPD, LFPDPPP, otras leyes?

Sí, parte del scope estándar Tier Estándar y Enterprise. La auditoría cubre: CAN-SPAM (físico identificable del remitente, opt-out claro y funcional, asunto no engañoso), RGPD (base legal para tratamiento, opt-in documentado, opt-out efectivo, DPA con sub-procesadores), leyes locales hispanas según jurisdicción del cliente (LFPDPPP México, Habeas Data Colombia, Ley 25.326 Argentina, Ley 19.628 Chile, Ley 81 Panamá). Identificamos gaps de cumplimiento técnico (que es lo que el control técnico cubre); el cumplimiento legal completo requiere asesor jurídico que opera en paralelo a la auditoría técnica.

¿La auditoría incluye recomendaciones sobre proveedores específicos a contratar?

Limitado. Las recomendaciones son priorizadas por impacto técnico, con plazos y costes estimados de implementación. Cuando la solución natural pasa por un proveedor (ej: necesitas servicio de DMARC gestionado, necesitas migrar de SES, necesitas calentamiento profesional), mencionamos los proveedores principales del mercado incluyendo nosotros mismos sin priorizarnos. Es decisión del cliente cuál contratar. La política es honestidad técnica sin venta agresiva en el reporte.

¿La auditoría incluye análisis de seguridad sobre infraestructura de email?

Tier Estándar y Enterprise: sí, análisis de seguridad sobre la infraestructura de envío. Cubre: validación de configuración TLS en MTAs y conexiones SMTP, identificación de vulnerabilidades conocidas en versiones del MTA en uso, análisis de exposición pública de servicios (puertos abiertos innecesariamente, banners que filtran información), verificación de configuración de autenticación SASL para evitar relay abierto, análisis de credenciales y rotación. Para clientes con auditoría de seguridad ISO 27001 o SOC 2 que pide cobertura del control técnico sobre comunicaciones, este análisis cubre el alcance que el auditor pide como evidencia.

¿Pueden auditar a un proveedor que estamos evaluando antes de firmar contrato?

Sí, servicio adicional bajo NDA. La auditoría de proveedor evalúa: setup técnico del proveedor candidato (configuración de autenticación, cobertura de blacklists, peering, infraestructura de red), histórico público disponible (incidentes pasados, listings, presencia en bases de datos de reputación), prácticas operacionales documentadas (SLA real, política de soporte, runbooks de incidente). El reporte ayuda al cliente a tomar decisión informada antes de firmar contrato. Tarifa fija independiente del proveedor evaluado, sin conflicto de interés (no recibimos referral fee de ningún proveedor evaluado).

¿La auditoría detecta problemas en plantillas que no son obvios visualmente?

Sí, parte del análisis de fingerprinting. Las plantillas se evalúan contra criterios que receivers y filtros de spam usan para detectar bulk pattern y contenido problemático: ratio imagen-texto inadecuado, presencia de palabras flag con peso alto en clasificadores Bayesianos modernos, patrones de URL que sugieren afiliados o phishing inadvertido, estructura HTML con elementos típicos de spam (tablas anidadas excesivas, font tags inline, atributos style con !important), Unicode confusables que sustituyen caracteres ASCII, headers MIME mal formados. Hallazgos típicos: cliente con plantilla legítima que tiene 2-3 elementos problemáticos sin saberlo, lo que afecta placement sin causa aparente.

¿Cuánto tarda en entregarse el reporte después del kickoff?

Tier Express: 2 semanas desde kickoff hasta entrega del reporte. Tier Estándar: 4 semanas. Tier Enterprise: 6-8 semanas según complejidad del scope. La diferencia entre tiers refleja la profundidad del análisis: Express cubre validación rápida con herramientas y heurísticas establecidas; Estándar añade análisis humano de plantillas, placement con seed, comparación con benchmarks; Enterprise añade trabajo de auditor para personalización del reporte según marco regulatorio aplicable.

¿Después del reporte ofrecen llamada con Q&A para el equipo del cliente?

Sí, incluida en el precio del engagement. Tier Express: 60 minutos con ingeniero responsable de la auditoría para Q&A sobre hallazgos. Tier Estándar: 90 minutos con ingeniero más opcional segunda llamada de 60 minutos para profundizar en áreas específicas de interés del cliente. Tier Enterprise: serie de llamadas con equipo (arquitecto + ingeniero + posible asesor regulatorio) según necesidad del cliente. La política es que el reporte sin discusión humana entrega menor valor; la llamada permite que el cliente entienda hallazgos y plantee preguntas que el reporte no anticipa.

¿Qué hacen si descubrimos un incidente serio durante la auditoría que requiere remediación inmediata?

Política documentada de hallazgo crítico. Si durante la auditoría descubrimos incidente serio que requiere remediación inmediata (IP comprometida activamente, dominio en uso por phishers, configuración que causa pérdida masiva de placement), pausamos el engagement formal de auditoría y notificamos al cliente con triage de la situación crítica. El cliente decide: continuar con auditoría normal y manejar incidente en paralelo internamente, contratar Recovery como engagement adicional para la remediación urgente, o ambos. Sin sorpresas en facturación; cualquier cambio de scope se discute antes de aplicar.

Si llegaste hasta aquí

Próximo paso: llamada inicial de 30 minutos

Discutimos scope, objetivo, plazo. Salida con tipo de auditoría recomendado y precio fijo. Sin venta agresiva encima.

Teléfono +43 1 205 11 80 Lun–Vie · 9–18 CET
Email [email protected] Respuesta media 4h en horario laboral
Oficina Fleischmarkt 1, 1010 Wien Con cita previa