Cómo encontrar su selector DKIM y gestionar las claves DKIM

¿Qué hace la autenticación de correo electrónico? Sí, bloquea los mensajes falsificados, pero también desempeña un papel fundamental en la protección de la reputación de la marca y en garantizar que los correos electrónicos legítimos lleguen realmente a la bandeja de entrada. Entre los protocolos de autenticación básicos, DKIM destaca por añadir una firma criptográfica a cada mensaje, lo que demuestra que no ha sido alterado durante el tránsito.

En el centro de DKIM se encuentra el selector DKIM. Aunque a menudo se pasa por alto, el selector determina qué clave pública deben utilizar los servidores receptores para verificar la firma de su correo electrónico, lo que lo hace esencial para el éxito de la autenticación DKIM en diferentes flujos de correo y proveedores.

En este blog, analizaremos todo lo que necesitas saber sobre los selectores DKIM y solucionaremos los errores comunes que pueden interrumpir la autenticación y afectar la capacidad de entrega.

¿Qué es un selector DKIM?

Un selector DKIM es un identificador único utilizado en la autenticación DKIM que indica a los servidores de correo receptores qué clave pública deben recuperar del DNS para verificar la firma DKIM de un correo electrónico. Permite a un dominio utilizar varias claves DKIM al mismo tiempo, lo que facilita la rotación y la gestión de claves sin interrumpir la entrega del correo electrónico.

Por ejemplo:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…

Aquí, s= representa el selector. En este ejemplo, s=selector1 indica al servidor que consulte:
selector1._domainkey.example.com

Cómo funciona la autenticación DKIM (paso a paso)

Como se ha explicado anteriormente, DKIM funciona añadiendo una firma criptográfica a cada correo electrónico saliente enviado desde su dominio habilitado para DKIM.

• Paso 1: El servidor de correo emisor firma el correo electrónico saliente utilizando una clave criptográfica privada. Esta firma se añade al encabezado del correo electrónico, junto con un selector DKIM que identifica qué clave se ha utilizado.
• Paso 2: El servidor de correo receptor busca la clave pública. Para ello, consulta el DNS utilizando el selector.
• Paso 3: Una vez encontrada la clave pública, el servidor receptor la utiliza para verificar la firma en el encabezado del correo electrónico. Si la firma coincide, DKIM pasa, confirmando que el mensaje no fue modificado en tránsito y fue autorizado por el dominio remitente.

Sin embargo, tenga en cuenta que DKIM funciona mejor en combinación con SPF y DMARC, y que por sí solo no puede prevenir los ataques de suplantación de identidad y phishing.

¿Cómo encontrar su selector DKIM?

Método A: Inspeccionar los encabezados de correo electrónico (manual)

1) Envía un correo electrónico de prueba a tu cuenta de Gmail
2) Haz clic en los tres puntos situados junto al correo electrónico en tu bandeja de entrada de Gmail.

3) Seleccione "mostrar original".

4) En la página "Mensaje original" navegue hasta el final de la página hasta la sección de firma DKIM e intente localizar la etiqueta "s=", el valor de esta etiqueta es su selector DKIM.

En el ejemplo anterior, s1 es mi selector DKIM. Este es uno de los métodos que puede utilizar para identificar y localizar el suyo.

Método B: Utilizar la configuración del proveedor de correo electrónico

Paso 1: Inicie sesión en la consola de administración de su proveedor de servicios de correo electrónico.

Paso 2: Vaya a la sección de autenticación de correo electrónico o configuración de DNS.
Paso 3: Localice la configuración DKIM para su dominio.
Paso 4: Identifique el valor del selector que aparece en el registro DKIM TXT.

Método C: Uso de herramientas de búsqueda/verificación DKIM

Paso 1: Abra la herramienta PowerDMARC DKIM Checker.

Paso 2: Introduzca su nombre de dominio y mantenga el campo selector en «auto».

Paso 3: Pulsa «Lookup» (Buscar)
Paso 4: Deja que nuestra herramienta detecte y muestre automáticamente tu selector DKIM.

Método D: Uso de herramientas de supervisión DMARC

Las herramientas de generación de informes DMARC, como PowerDMARC, proporcionan visibilidad sobre los selectores DKIM utilizados activamente por las fuentes de envío.

Paso 1: Habilite los informes agregados DMARC para su dominio registrándose en PowerDMARC.
Paso 2: Revise los resultados de autenticación para cada fuente de envío.
Paso 3: Identifique los valores del selector DKIM reportados por fuente e IP.

Cómo configurar y publicar un selector DKIM

Configurar correctamente un selector DKIM es fundamental para la autenticación del correo electrónico, la reputación del remitente y la capacidad de entrega a largo plazo. Un selector mal configurado puede inutilizar por completo el DKIM, incluso si la clave en sí es válida.

Formato y sintaxis requeridos para los registros DNS

Un registro DKIM se publica como un registro TXT en DNS utilizando esta estructura: selector._domainkey.sudominio.com

Ejemplo: s1._domainkey.ejemplo.com

El valor suele incluir:

• v=DKIM1 (versión del protocolo)
• k=rsa (tipo de clave)
• p = (clave pública)

Valor de ejemplo: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Asegúrese de que el proveedor de DNS no haya añadido espacios, comillas o saltos de línea adicionales.

Recomendaciones sobre la longitud de la clave (2048 bits)

• Se recomienda encarecidamente utilizar claves DKIM de 2048 bits.
• Las claves de 1024 bits están obsoletas y pueden fallar en la autenticación con los principales proveedores de correo electrónico.
• Las claves más largas mejoran la seguridad criptográfica sin afectar al rendimiento.

La mayoría de las plataformas de correo electrónico modernas utilizan claves de 2048 bits de forma predeterminada. Se recomienda mantener esta opción habilitada, a menos que exista una razón técnica de peso para no hacerlo.

Publicación a través del panel del proveedor de DNS

1. Inicie sesión en su proveedor de alojamiento DNS.
2. Añadir un nuevo registro TXT
3. Establecer el host/nombre como selector DKIM
4. Pega la clave pública DKIM en el campo de valor.
5. Guardar y esperar a que se propague
6. Comprueba tu configuración DKIM con nuestra herramienta DKIM Checker.

Convenciones de nomenclatura y ejemplos de selectores DKIM

Elegir el nombre adecuado para el selector mejora la claridad, la escalabilidad y el mantenimiento a largo plazo.

Patrones comunes de selección

Los formatos más utilizados son: s1, s2, selector1 y los predeterminados por el proveedor, como google, k1, smtp y mail. Aunque funcionan correctamente, a menudo carecen de contexto y pueden resultar confusos de rastrear.

Mejores prácticas: nombres descriptivos para selectores

En su lugar, utilice selectores que indiquen el servicio y el periodo de tiempo, como: google2025, sendgrid_q1, marketing_2024. Estos son mucho más fáciles de recordar y rastrear, y proporcionan un contexto exacto, dejando poco margen para las conjeturas y siendo a la vez seguros.

Gestión del selector DKIM

Uno de los aspectos más ignorados de DKIM es la gestión de selectores a lo largo del tiempo. Los selectores deben tratarse como activos gestionados, en lugar de entradas DNS únicas que se olvidan tras su configuración.
Mantener la documentación es una práctica sencilla pero muy eficaz. Una hoja de cálculo básica o un registro interno pueden realizar un seguimiento eficaz de sus selectores y plazos de rotación. Esto evita confusiones cuando es necesario rotar las claves o cuando se retira un servicio de envío.
Basta con mantener un sistema de seguimiento sencillo (CSV, hoja de cálculo o registro interno) con:

• Nombre del selector
• Dominio
• Servicio de envío
• Longitud de clave
• Fecha de creación
• Calendario de rotación
• Propietario/equipo

Ciclo de vida del selector DKIM

Cada selector DKIM debe seguir un ciclo de vida claro. Comienza con la planificación, donde se definen las convenciones de nomenclatura y los plazos de rotación.
Un ciclo de vida saludable incluye:

1. Plan: definir la estrategia de denominación y rotación.
2. Publicar: añadir registro DNS y validar
3. Rotate: introducir un nuevo selector y clave
4. Desactivación: eliminar de forma segura los selectores no utilizados.

Mejores prácticas para selectores DKIM

Para mantener el buen funcionamiento del selector DKIM, aquí tienes algunas prácticas recomendadas que puedes seguir:

1. Haz que tus selectores sean únicos y difíciles de adivinar.
2. Rote sus claves DKIM con la mayor frecuencia posible para evitar que se vean comprometidas.
3. Utilice convenciones de nomenclatura coherentes en todos los remitentes para facilitar las auditorías.
4. Supervise activamente su DKIM para garantizar que los selectores no utilizados se identifiquen y se retiren a tiempo.

Cómo puede ayudar la herramienta de análisis DKIM de PowerDMARC

El análisis DKIM alojado de PowerDMARC cierra esta brecha al proporcionar a las organizaciones información continua sobre el rendimiento real de DKIM en todos los dominios, selectores y fuentes de envío.

• Supervisión por selector y servicio de envío: PowerDMARC desglosa el rendimiento de DKIM a nivel de selector y servicio de envío.
• Filtrado de intervalos de tiempo flexibles: PowerDMARC le permite analizar el rendimiento de DKIM en intervalos de tiempo flexibles, como los últimos siete días, el mes anterior o períodos totalmente personalizados.
• Estadísticas DKIM de un vistazo: para evaluaciones rápidas, PowerDMARC proporciona una descripción general de alto nivel de DKIM que resume el total de selectores, los servicios de envío activos y el volumen de correos electrónicos firmados con DKIM frente a los no firmados.
• Información detallada a nivel de selector: Para cada selector, PowerDMARC muestra datos clave como el volumen total de correos electrónicos, las tasas de aprobación DKIM y la última vez que se observó al selector firmando un correo electrónico.
• Informes exportables para auditoría y colaboración: PowerDMARC le permite exportar datos de Hosted DKIM Analytics en formato CSV, lo que facilita y flexibiliza la generación de informes.
• Descripción general del estado de las claves DKIM: La información clave sobre el estado incluye la visibilidad de la longitud de las claves, el seguimiento de la rotación de claves y la supervisión del uso de claves.

Problemas comunes con el selector DKIM y solución de problemas

Problema 1: Selector no encontrado en DNS

Causas comunes: este problema puede deberse a errores de sintaxis, un tipo de registro DNS incorrecto, una propagación incompleta o un uso incorrecto del dominio o subdominio.
Solución de problemas: espere entre 24 y 48 horas para que se propague el DNS si ha configurado DKIM recientemente. Si el problema persiste, utilice una herramienta de verificación DKIM para comprobar su registro y corregir los errores encontrados.

Problema 2: Los selectores múltiples causan confusión

Causas comunes: un exceso de selectores activos puede complicar las auditorías, y los selectores no utilizados pueden permanecer indefinidamente. Esto no es una buena práctica. Además, una documentación deficiente hace que la propiedad no quede clara.
Solución de problemas: elimine los selectores no utilizados de forma oportuna y mantenga la documentación actualizada para que la auditoría y el seguimiento sean precisos y sencillos.

Problema 3: Discrepancia del selector

Causas comunes: El encabezado DKIM hace referencia a un selector que no existe en el DNS o se ha rotado una clave, pero el servicio de envío no se ha actualizado.
Solución de problemas: Confirme siempre la alineación entre la firma DKIM (valor s=) y su registro DNS publicado.

Palabras finales

En este blog hemos aprendido que el selector DKIM desempeña un papel fundamental en la autenticación DKIM y que podemos encontrarlo utilizando varios métodos, tanto manuales como automáticos. Sin embargo, si necesitas un control máximo sobre tu DKIM, necesitarás algo más que esto.

Al combinar el análisis del rendimiento con información clave sobre el estado, PowerDMARC convierte DKIM de una configuración estática en un control de seguridad supervisado continuamente. Los equipos obtienen la visibilidad necesaria para mantener la capacidad de entrega, aplicar las mejores prácticas y gestionar DKIM con confianza en ecosistemas de correo electrónico complejos, sin depender de comprobaciones manuales o conjeturas. ¡Póngase en contacto con nosotros para empezar hoy mismo!

Preguntas frecuentes

¿Qué ocurre si un selector DKIM es incorrecto?
Si un selector DKIM es incorrecto, es posible que sus correos electrónicos no superen la autenticación DKIM, lo que aumentará el filtrado de spam y provocará posibles fallos de DMARC.
¿Se pueden tener varios selectores DKIM?
Sí. Es normal tener varios selectores DKIM y, a menudo, son necesarios para la rotación o para múltiples remitentes.
¿Con qué frecuencia debo rotar las claves DKIM?
Se recomienda rotar las claves DKIM cada 3-6 meses. Sin embargo, en caso de un incidente de seguridad, rote sus claves inmediatamente para evitar más compromisos.
¿Qué herramientas pueden encontrar automáticamente los selectores DKIM?
El analizador de encabezados de correo electrónico y las herramientas de búsqueda DKIM de PowerDMARC pueden extraer instantáneamente el selector DKIM utilizado en un mensaje, sin esfuerzo manual ni conocimientos técnicos.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• El formato del número de serie de SOA no es válido: causas y cómo solucionarlo - 13 de abril de 2026
• Cómo enviar correos electrónicos seguros en Gmail: guía paso a paso - 7 de abril de 2026
• Cómo enviar correos electrónicos seguros en Outlook: guía paso a paso - 2 de abril de 2026