Cómo encontrar su selector DKIM y gestionar las claves DKIM
por
Última actualización: Tiempo de lectura: 9 minutos
Puntos clave
- El selector DKIM es un identificador crucial que ayuda a verificar la autenticidad del correo electrónico.
- Los selectores DKIM se pueden encontrar comprobando la etiqueta «s=» en la firma DKIM de un correo electrónico de prueba.
- El uso de herramientas como PowerDMARC simplifica el proceso de localizar selectores DKIM y gestionar la seguridad del correo electrónico.
- La configuración de selectores DKIM únicos y complejos mejora la protección frente a posibles ciberataques.
- La rotación periódica de las claves DKIM y el mantenimiento de las mejores prácticas de selección DKIM pueden reforzar significativamente la seguridad de su dominio.
¿Qué hace la autenticación de correo electrónico? Sí, bloquea los mensajes falsificados, pero también desempeña un papel fundamental en la protección de la reputación de la marca y en garantizar que los correos electrónicos legítimos lleguen realmente a la bandeja de entrada. Entre los protocolos de autenticación básicos, DKIM destaca por añadir una firma criptográfica a cada mensaje, lo que demuestra que no ha sido alterado durante el tránsito.
En el centro de DKIM se encuentra el selector DKIM. Aunque a menudo se pasa por alto, el selector determina qué clave pública deben utilizar los servidores receptores para verificar la firma de tu correo electrónico, lo que lo convierte en un elemento esencial para que la autenticación DKIM se realice con éxito en diferentes flujos de correo y proveedores.
En este blog, analizaremos todo lo que necesitas saber sobre los selectores DKIM y solucionaremos los errores comunes que pueden interrumpir la autenticación y afectar la capacidad de entrega.
¿Qué es un selector DKIM?
Un selector DKIM es un identificador único que se utiliza en la autenticación DKIM y que indica a los servidores de correo receptores qué clave pública deben recuperar del DNS para verificar la .. Permite a un dominio utilizar varias claves DKIM al mismo tiempo, lo que facilita la rotación y la gestión de claves sin interrumpir el envío de correos electrónicos.
Por ejemplo:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…
Aquí, «s=» representa el selector. En este ejemplo, «s=selector1» indica al servidor que consulte:
selector1._domainkey.example.com
Cómo funciona la autenticación DKIM (paso a paso)
Como se ha explicado anteriormente, DKIM funciona añadiendo una firma criptográfica a cada correo electrónico saliente enviado desde su dominio habilitado para DKIM.
- Paso 1: El servidor de correo emisor firma el correo electrónico saliente utilizando una clave criptográfica privada. Esta firma se añade al encabezado del correo electrónico, junto con un selector DKIM que identifica qué clave se ha utilizado.
- Paso 2: El servidor de correo receptor busca la clave pública. Para ello, consulta el DNS utilizando el selector.
- Paso 3: Una vez encontrada la clave pública, el servidor receptor la utiliza para verificar la firma en el encabezado del correo electrónico. Si la firma coincide, DKIM pasa la verificación, lo que confirma que el mensaje no se modificó durante el tránsito y que fue autorizado por el dominio remitente.
Sin embargo, ten en cuenta que DKIM funciona mejor en combinación con SPF y DMARC, y por sí solo no puede evitar el spoofing y el phishing .
Cómo encontrar un selector DKIM (métodos paso a paso)
Método A: Inspeccionar los encabezados de correo electrónico (manual)
1) Envía un correo de prueba a tu cuenta de Gmail
2) Haz clic en los tres puntos que hay junto al correo electrónico en tu bandeja de entrada de Gmail
3) Seleccione "mostrar original".
4) En la página "Mensaje original" navegue hasta el final de la página hasta la sección de firma DKIM e intente localizar la etiqueta "s=", el valor de esta etiqueta es su selector DKIM.
En el ejemplo anterior, s1 es mi selector DKIM. Este es uno de los métodos que puede utilizar para identificar y localizar el suyo.
Método B: Utilizar la configuración del proveedor de correo electrónico
Paso 1: Inicie sesión en la consola de administración de su proveedor de servicios de correo electrónico.
Paso 2: Ve a la sección de autenticación de correo electrónico o de configuración de DNS.
Paso 3: Busca la configuración de DKIM de tu dominio.
Paso 4: Identifica el valor del selector que aparece en el registro TXT de DKIM.
Método C: Uso de herramientas de búsqueda/verificación DKIM
Paso 1: Abra la herramienta PowerDMARC DKIM Checker.
Paso 2: Introduzca su nombre de dominio y mantenga el campo selector en «auto».
Paso 3: Pulsa «Lookup» (Buscar)
Paso 4: Deja que nuestra herramienta detecte y muestre automáticamente tu selector DKIM.
Método D: Uso de herramientas de supervisión DMARC
Las herramientas de generación de informes DMARC, como PowerDMARC, proporcionan visibilidad sobre los selectores DKIM utilizados activamente por las fuentes de envío.
Paso 1: Habilite los informes agregados DMARC para su dominio registrándose en PowerDMARC.
Paso 2: Revise los resultados de autenticación para cada fuente de envío.
Paso 3: Identifique los valores del selector DKIM reportados por fuente e IP.
Método E: Uso de herramientas de línea de comandos
Para los usuarios avanzados, las herramientas de línea de comandos ofrecen acceso directo a los registros DNS y a los selectores DKIM.
Uso del comando dig:
Para consultar un selector DKIM concreto:
buscar TXT selector1._domainkey.example.com
Uso del comando nslookup:
nslookup -type=TXT selector1._domainkey.example.com
Nota: Para utilizar estos comandos de forma eficaz, es necesario conocer de antemano el nombre del selector.
Cómo encontrar un selector DKIM en diferentes proveedores de correo electrónico
Cada proveedor de correo electrónico tiene unos pasos específicos para localizar los selectores DKIM. A continuación, te ofrecemos una guía completa para las plataformas más populares:
Gmail/Google Workspace
- Inicia sesión en la Consola de administración de Google
- Ve a Aplicaciones > Google Workspace > Gmail > Autenticar correo electrónico
- Haz clic en «Generar nuevo registro» para ver el selector
- El selector suele tener el siguiente formato: google._domainkey.tudominio.com
Microsoft 365/Outlook
- Acceder al Centro de administración de Microsoft 365
- Ve a Configuración > Dominios > Selecciona tu dominio
- Haz clic en «Registros DNS» y busca las entradas DKIM
- Los selectores suelen ser: selector1._domainkey y selector2._domainkey
Correo Yahoo
- Acceder al panel de administración de Yahoo Small Business
- Ve a «Configuración del dominio» > «Autenticación de correo electrónico»
- Consulta la configuración de DKIM para encontrar el selector
- Formato habitual: s1024._domainkey.tudominio.com
SendGrid
- Inicia sesión en el panel de control de SendGrid
- Ve a Ajustes > Autenticación del remitente
- Haz clic en «Autenticar tu dominio»
- Formato del selector: s1._domainkey.tudominio.com y s2._domainkey.tudominio.com
Mailchimp
- Acceder a la configuración de la cuenta de Mailchimp
- Ve a Dominios > Verificar un dominio
- Consulte la sección de registros DNS para ver las entradas DKIM
- Formato del selector: k1._domainkey.tudominio.com
Cómo configurar y publicar un selector DKIM
Configurar correctamente un selector DKIM es fundamental para la autenticación del correo electrónico, la reputación del remitente y la capacidad de entrega a largo plazo. Un selector mal configurado puede inutilizar por completo el DKIM, incluso si la clave en sí es válida.
Formato y sintaxis requeridos para los registros DNS
Un registro DKIM se publica como un registro TXT en DNS utilizando esta estructura: selector._domainkey.sudominio.com
Ejemplo: s1._domainkey.ejemplo.com
El valor suele incluir:
- v=DKIM1 (versión del protocolo)
- k=rsa (tipo de clave)
- p = (clave pública)
Valor de ejemplo: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Asegúrate de que no haya espacios, comillas o saltos de línea adicionales añadidos por el proveedor de DNS.
Recomendaciones sobre la longitud de la clave (2048 bits)
- Se recomienda encarecidamente utilizar claves DKIM de 2048 bits.
- Las claves de 1024 bits están obsoletas y pueden fallar en la autenticación con los principales proveedores de correo electrónico.
- Las claves más largas mejoran la seguridad criptográfica sin afectar al rendimiento.
La mayoría de las plataformas de correo electrónico modernas utilizan claves de 2048 bits de forma predeterminada. Se recomienda mantener esta opción habilitada, a menos que exista una razón técnica de peso para no hacerlo.
Publicación a través del panel del proveedor de DNS
- Inicie sesión en su proveedor de alojamiento DNS.
- Añadir un nuevo registro TXT
- Establece el host/nombre como selector DKIM
- Pega la clave pública DKIM en el campo de valor.
- Guardar y esperar a que se propague
- Comprueba tu configuración DKIM con nuestra herramienta DKIM Checker.
Registros TXT frente a CNAME para DKIM
Comprender la diferencia entre los registros TXT y CNAME para DKIM ayuda a implementarlo correctamente y a resolver posibles problemas.
Registros TXT (los más comunes)
- Contiene la clave pública DKIM real
- Formato: selector._domainkey.example.com TXT «v=DKIM1; k=rsa; p=MIIBIjAN…»
- Se utiliza cuando gestionas tus propias claves DKIM
Registros CNAME (gestión delegada)
- Apunta a otro dominio que aloja la clave DKIM
- Formato: selector._domainkey.example.com CNAME selector._domainkey.emailprovider.com
- Se utiliza cuando tu proveedor de correo electrónico gestiona las claves DKIM
- Compatible con servicios como Google Workspace, Office 365 y SendGrid
Cuándo utilizar cada tipo
- Registros TXT: Servidores de correo electrónico autogestionados, implementaciones DKIM personalizadas
- Registros CNAME: Servicios de correo electrónico de terceros, plataformas de correo electrónico gestionadas
Convenciones de nomenclatura y ejemplos de selectores DKIM
Elegir el nombre adecuado para el selector mejora la claridad, la escalabilidad y el mantenimiento a largo plazo.
Patrones comunes de selección
Los formatos más utilizados son: s1, s2, selector1 y los predeterminados por el proveedor, como google, k1, smtp y mail. Aunque funcionan correctamente, a menudo carecen de contexto y pueden resultar confusos de rastrear.
Mejores prácticas: nombres descriptivos para selectores
En su lugar, utiliza selectores que indiquen servicio y periodo de tiempo, como: google2025, sendgrid_q1, marketing_2024. Estos son mucho más fáciles de recordar y rastrear, y proporcionan un contexto exacto, lo que deja poco margen para las conjeturas y, al mismo tiempo, garantiza la seguridad.
Gestión del selector DKIM
Uno de los aspectos más ignorados de DKIM es la gestión de los selectores a lo largo del tiempo. Los selectores deben considerarse activos gestionados, en lugar de entradas DNS puntuales que se olvidan tras su configuración.
Llevar un registro es una práctica sencilla pero muy útil. Una simple hoja de cálculo o un registro interno pueden servir para llevar un seguimiento eficaz de tus selectores y de los plazos de rotación. Esto evita confusiones cuando hay que rotar las claves o cuando se retira un servicio de envío.
Basta con llevar un sistema de seguimiento sencillo (archivo CSV, hoja de cálculo o registro interno) que incluya:
- Nombre del selector
- Dominio
- Servicio de envío
- Longitud de clave
- Fecha de creación
- Calendario de rotación
- Propietario/equipo
Ciclo de vida del selector DKIM
Cada selector DKIM debe seguir un ciclo de vida claro. Este comienza con la planificación, en la que se definen las convenciones de nomenclatura y los plazos de rotación.
Un ciclo de vida saludable incluye:
- Plan: definir la estrategia de denominación y rotación
- Publicar: añadir registro DNS y validar
- Girar: introducir un nuevo selector y una nueva tecla
- Retirar: eliminar selectores en desuso de forma segura
Cómo puede ayudar la herramienta de análisis DKIM de PowerDMARC
Analítica de DKIM de PowerDMARC Analítica DKIM alojada de PowerDMARC cubre esta carencia al proporcionar a las organizaciones información continua sobre el rendimiento real de DKIM en todos los dominios, selectores y fuentes de envío.
- Supervisión por selector y por servicio de envío: PowerDMARC desglosa el rendimiento de DKIM a nivel de selector y de servicio de envío.
- Filtrado flexible por intervalos de tiempo: PowerDMARC te permite analizar el rendimiento de DKIM en intervalos de tiempo flexibles, como los últimos siete días, el mes anterior o periodos totalmente personalizados.
- Estadísticas de DKIM de un vistazo: Para realizar evaluaciones rápidas, PowerDMARC ofrece una visión general de alto nivel de DKIM que resume el total de selectores, los servicios de envío activos y el volumen de correos electrónicos firmados con DKIM frente a los no firmados.
- Información detallada a nivel de selector: Para cada selector, PowerDMARC muestra datos clave como el volumen total de correos electrónicos, las tasas de superación de DKIM y la última vez que se observó que el selector firmaba un correo electrónico.
- Informes exportables para auditorías y colaboración: PowerDMARC te permite exportar datos de en formato CSV, lo que hace que la generación de informes sea sencilla y flexible.
- Resumen del estado de las claves DKIM: Entre los datos clave sobre el estado de las claves se incluyen la visibilidad de la longitud de las claves, el seguimiento de la rotación de las claves y la supervisión del uso de las claves.
Mejores prácticas para selectores DKIM
Para mantener el buen estado del selector DKIM y optimizar la capacidad de entrega del correo electrónico, sigue estas recomendaciones:
Lista de verificación de buenas prácticas para el selector DKIM
| Buenas prácticas | Impacto en la entregabilidad | Aplicación |
|---|---|---|
| Utiliza selectores únicos y difíciles de adivinar | Evita los ataques de enumeración de selectores | Utiliza nombres descriptivos con fechas o servicios |
| Rote las claves DKIM con regularidad. | Mantiene el nivel de seguridad | Programar una rotación cada 3-6 meses |
| Utiliza convenciones de nomenclatura coherentes | Simplifica la gestión y las auditorías | Normas para la denominación de documentos |
| Supervisar activamente el uso del selector | Identifica los selectores no utilizados o que presentan fallos | Utiliza los informes DMARC y las herramientas de análisis |
| Mantener la documentación del selector | Evita las desviaciones en la configuración | Realizar un seguimiento en una hoja de cálculo o en la CMDB |
Repercusión en la capacidad de entrega
Una gestión adecuada de los selectores DKIM influye directamente en la capacidad de entrega del correo electrónico al:
- Garantizar una autenticación coherente en todas las fuentes de envío
- Mejorar la reputación del remitente mediante firmas DKIM fiables
- Evitar errores de autenticación que puedan activar los filtros de spam
- Compatibilidad con la alineación DMARC para una protección máxima
Solución de problemas relacionados con el selector DKIM
Problemas habituales con los selectores DKIM y sus soluciones:
| Problema | Causas comunes | Soluciones |
|---|---|---|
| No se ha encontrado el selector en el DNS | Errores de sintaxis, tipo de registro incorrecto, propagación incompleta | Espera entre 24 y 48 horas a que se actualice la configuración y utiliza la herramienta de verificación DKIM |
| Los selectores múltiples generan confusión | Demasiados selectores activos, documentación deficiente | Eliminar los selectores que no se utilizan y mantener la documentación |
| Discrepancia en el selector | El encabezado hace referencia a un selector inexistente; configuración obsoleta | Comprueba que la firma DKIM coincida con el registro DNS |
| Retrasos de propagación del DNS | Cambios recientes en el DNS, valores altos de TTL | Espera a que se complete la propagación y compruébalo desde varias ubicaciones |
| Problemas relacionados con la longitud de las claves | Uso de claves obsoletas de 1024 bits | Actualiza a claves de 2048 bits y actualiza los registros DNS |
Problema 1: Selector no encontrado en DNS
Causas habituales: Este problema puede deberse a errores de sintaxis, un tipo de registro DNS incorrecto, una propagación incompleta o un uso incorrecto del dominio o subdominio.
Solución de problemas: Deja que tu DNS se propague durante 24-48 horas si has configurado DKIM recientemente. Si el problema persiste, utiliza una herramienta de comprobación de DKIM para revisar tu registro y corregir los errores encontrados.
Problema 2: Los selectores múltiples causan confusión
Causas habituales: Un número excesivo de selectores activos puede complicar las auditorías, y los selectores no utilizados pueden permanecer indefinidamente. Esto no es una buena práctica. Además, una documentación deficiente hace que la propiedad no quede clara.
Solución de problemas: Elimina los selectores no utilizados de forma oportuna y mantén la documentación actualizada para que la auditoría y el seguimiento sean precisos y sencillos.
Problema 3: Discrepancia del selector
Causas habituales: El encabezado DKIM hace referencia a un selector que no existe en el DNS o se ha rotado una clave, pero el servicio de envío no se ha actualizado.
Solución de problemas: Comprueba siempre que la firma DKIM (valor s=) coincida con tu registro DNS publicado.
Palabras finales
En este blog hemos aprendido que el selector DKIM desempeña un papel fundamental en la autenticación DKIM y que podemos encontrarlo utilizando varios métodos, tanto manuales como automáticos. Sin embargo, si necesitas un control máximo sobre tu DKIM, necesitarás algo más que esto.
Al combinar el análisis del rendimiento con información clave sobre el estado del sistema, PowerDMARC transforma DKIM de una configuración estática en un control de seguridad supervisado de forma continua. Los equipos obtienen la visibilidad necesaria para mantener la capacidad de entrega, aplicar las mejores prácticas y gestionar DKIM con confianza en ecosistemas de correo electrónico complejos, sin tener que recurrir a comprobaciones manuales ni a conjeturas.
¿Por qué elegir PowerDMARC?
- Información sobre amenazas en tiempo real
- Asistencia especializada las 24 horas del día, los 7 días de la semana
- Integraciones perfectas con las principales plataformas
- Más de 2.000 marcas de todo el mundo confían en nosotros
Preguntas frecuentes
¿Cómo es un selector DKIM?
Un selector DKIM suele ser una cadena corta como «s1», «selector1», «google» o «k1». Aparece en el encabezado de la firma DKIM como «s=selector1» y se corresponde con un registro DNS como «selector1._domainkey.tudominio.com».
¿Cómo se comprueba un selector DKIM?
Puedes comprobar un selector DKIM utilizando herramientas de verificación DKIM en línea, herramientas de línea de comandos como dig o nslookup, o examinando los encabezados de los correos electrónicos para ver los resultados de la autenticación DKIM. La herramienta de verificación DKIM de PowerDMARC ofrece pruebas y validaciones exhaustivas.
¿Cómo puedo encontrar mi selector DKIM en el encabezado de un correo electrónico?
Para encontrar tu selector DKIM en el encabezado de un correo electrónico, busca la línea «DKIM-Signature» y localiza el parámetro «s=». Por ejemplo, en «s=selector1», el selector es «selector1». Puedes ver los encabezados de los correos electrónicos seleccionando «Mostrar original» en Gmail u opciones similares en otros clientes de correo electrónico.
¿Qué ocurre si el selector DKIM es incorrecto?
Si el selector DKIM es incorrecto, es posible que tus correos electrónicos no superen la autenticación DKIM, lo que aumentaría el filtrado de spam y provocando posibles fallos de DMARC.
¿Se pueden tener varios selectores DKIM?
Sí. Es habitual utilizar varios selectores DKIM, y a menudo son necesarios para la rotación o cuando hay varios remitentes.
¿Con qué frecuencia debo cambiar las claves DKIM?
Se recomienda renovar las claves DKIM cada 3-6 meses. No obstante, en caso de que se produzca un incidente de seguridad, renueve las claves de inmediato para evitar que la seguridad se vea aún más comprometida.
¿Qué herramientas permiten encontrar automáticamente los selectores DKIM?
El herramientas de análisis de encabezados de correo electrónico y las herramientas de búsqueda de DKIM de PowerDMARC pueden extraer al instante el selector DKIM utilizado en un mensaje, sin necesidad de intervención manual ni conocimientos técnicos.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- compauth=fail: Explicación de la autenticación compuesta de Microsoft - 1 de junio de 2026
- ¿Es suficiente Windows Defender para la seguridad de las pequeñas empresas? - 14 de mayo de 2026
- DMARCbis explicado: qué va a cambiar y cómo prepararse - 16 de abril de 2026
