DKIM o Correo Identificado por Clave de Dominio es un protocolo de autenticación de correo electrónico que verifica la autenticidad de los mensajes salientes. La configuración de DKIM implica el uso de una clave criptográfica privada generada por su servidor de correo, que crea una firma digital basada en el contenido del correo electrónico (un hash cifrado). Esta firma se añade a la cabecera del correo electrónico. La configuración de DKIM para su dominio permite a los servidores destinatarios utilizar una clave pública correspondiente, publicada en su DNS, para verificar que los correos electrónicos que reciben proceden de su servidor de correo autorizado, no han sido manipulados en tránsito y no son falsos.
Una configuración DKIM adecuada es esencial para mejorar la seguridad del correo electrónicomejorar la entregabilidad y evitar ataques de suplantación de identidad. Por lo tanto, esta guía pone en marcha un sencillo plan de acción para configurar DKIM paso a paso para su dominio. Empecemos.
Puntos clave
- DKIM utiliza firmas criptográficas (claves públicas/privadas) para verificar la autenticidad e integridad del correo electrónico, evitando su manipulación.
- Una configuración DKIM adecuada mejora significativamente la entregabilidad del correo electrónico al reducir el filtrado de spam y mejorar la reputación del remitente.
- La configuración de DKIM implica generar un par de claves, publicar la clave pública en DNS y configurar los servidores de correo para que firmen los correos electrónicos con la clave privada.
- Combine DKIM con SPF y DMARC, utilice selectores potentes (2048 bits) y rote las claves con regularidad (utilizando potencialmente varios registros) para obtener la máxima protección.
- Las herramientas automatizadas y los servicios gestionados como PowerDMARC simplifican la configuración, validación y gestión continua de DKIM, reduciendo errores y esfuerzos.
¡Simplifique DKIM con PowerDMARC!
Por qué es esencial configurar DKIM
Mejor capacidad de entrega del correo electrónico
La configuración de DKIM, junto con protocolos de apoyo como SPF y DMARC, puede proporcionar un impulso significativo a sus tasas de entregabilidad de correo electrónico, ayudando a que sus mensajes lleguen a la bandeja de entrada en lugar de ser marcados por los filtros de spam en servicios como Gmail, Outlook y Yahoo Mail.
Reputación mejorada del remitente
La autenticación desempeña un papel importante en el mantenimiento y la mejora de la reputación del remitente, ya que reduce las posibilidades de ser marcado como spam.
Prevención de la manipulación del correo electrónico
DKIM ayuda a evitar la manipulación de mensajes en tránsito. Esto significa que si un atacante intenta espiar su conversación e insertar código malicioso en ella, DKIM ayudará a identificar el mensaje como no fiable. La firma criptográfica garantiza que el contenido del correo electrónico no ha sido alterado desde que fue firmado por el remitente.
Mayor confianza de los destinatarios
DKIM, combinado con otros protocolos de autenticación de correo electrónico, ayuda a establecer la confianza entre los destinatarios, lo que aumenta los índices de participación y la capacidad de entrega del correo electrónico.
Alineación con las mejores prácticas y requisitos de seguridad del correo electrónico
La implementación de DKIM alinea su dominio con las mejores prácticas del sector para la seguridad del correo electrónico y ayuda a cumplir los requisitos de autenticación establecidos por los principales proveedores de buzones de correo, especialmente cuando se combina con SPF y DMARC.
Configuración de DKIM: Guía paso a paso
1. Cree su registro DKIM
Cree su registro DKIM con nuestra herramienta generadora de registros DKIM. La herramienta le ayuda a generar instantáneamente su par de claves DKIM, que contiene sus claves DKIM pública y privada. Se recomienda generar claves con una longitud de 2048 bits para mayor seguridad.
2. Acceda a su consola de gestión de DNS
Para empezar, necesita acceder a su Sistema de Nombres de Dominio. Puede ponerse en contacto con su proveedor de DNS o host para que le ayude en este proceso.
3. Añada el registro DKIM a su configuración DNS
Publique la clave pública DKIM (normalmente como un registro TXT o CNAME) en su configuración DNS bajo el nombre del selector que eligió (por ejemplo, `s1._clavedominio.sudominio.com`). Guarda los cambios. Configura tu(s) servidor(es) de envío de correo electrónico para que utilice(n) la clave privada correspondiente para firmar tus mensajes salientes.
4. Verifique su configuración DKIM
Una vez que haya configurado su registro DKIM y haya dado tiempo a la propagación DNS (que puede tardar hasta 48 horas), verifíquelo utilizando nuestra herramienta de comprobación DKIM. Esta herramienta le dirá si su registro es válido, no tiene errores y está configurado correctamente.
¿Desea automatizar el proceso de configuración y gestión de DKIM? Empiece a utilizar Hosted DKIM gratis.
Configuración de DKIM para servicios de correo electrónico populares
Si utiliza diferentes servicios de correo electrónico para enviar sus correos empresariales o comerciales, debe configurar DKIM para ellos. Esto garantizará que su proveedor de correo electrónico envíe correos electrónicos conformes a sus destinatarios, lo que aumentará la entregabilidad de su correo electrónico.
1. Configuración de DKIM para Google Workspace
- Compruebe si ya tiene DKIM configurado para su dominio utilizando nuestra herramienta de validación de DKIM.
- Si no utilizas Google Workspace, puedes utilizar la herramienta generadora de DKIM de PowerDMARC para crear tu registro.
- Si utilizas Google Workspace, accede a Google Admin Console
- Ve a Menú > Aplicaciones > Espacio de trabajo de Google > Gmail.
- Haga clic en Autenticar correo electrónico
- Selecciona tu dominio de la lista y haz clic en el botón Generar nuevo registro para empezar a crear el registro. Google suele proporcionar una clave de 2048 bits.
- Una vez generado, copie el nombre del host DNS (nombre del registro TXT) y el valor del registro TXT (la clave pública).
- Publique el registro TXT en su configuración DNS y guarde los cambios. Espere a que se propague el DNS.
- Vuelve a Google Admin Console y haz clic en "Iniciar autenticación".
2. Configuración de DKIM para Microsoft Office 365
- Ir a Configuración de la autenticación del correo electrónico en el portal de Defender.
- En la pestaña DKIMseleccione el dominio personalizado que desea configurar (haga clic en cualquier lugar de la fila excepto en la casilla de verificación).
- En la ventana desplegable de detalles del dominio que aparece, compruebe el estado. Si dice "No hay claves DKIM guardadas para este dominio", haz clic en Crear claves DKIM.
- Copie los valoresdel registro CNAME presentados en el cuadro de diálogo. Habrá dos nombres de host y sus correspondientes direcciones de destino.
- Abra el sitio web del registrador de su dominio y cree los dos campos necesarios Registros CNAME utilizando los valores copiados. Por ejemplo:
- Nombre de host: selector1._domainkey → Valor: selector1-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- Nombre de host: selector2._domainkey → Valor: selector2-yourdomain-com._domainkey.yourtenant.onmicrosoft.com.
- Espere unos minutos (o más) a que se propague el DNS.
- Volver a la ventana de detalles del dominio en el portal de Defender. Activar Firmar mensajes para este dominio con firmas DKIM a Activado (si aún no lo está). Si se han detectado los registros CNAME, el estado debería actualizarse.
- Verifícalo:
- Toggle está en Activado.
- El estado es Firmando firmas DKIM para este dominio.
- Fecha de la última comprobación refleja una comprobación reciente.
3. Configuración de DKIM para Godaddy
El proceso para GoDaddy implica añadir el registro DKIM (normalmente un registro TXT o CNAME proporcionado por su proveedor de servicios de correo electrónico o generado por una herramienta) a la configuración DNS de su dominio.
- Inicie sesión en su cuenta de GoDaddy.
- Vaya a la página Cartera de dominios y seleccione su dominio.
- Seleccione DNS en el menú de la izquierda.
- Haga clic en "Añadir nuevo registro".
- Introduzca los datos proporcionados por las instrucciones de configuración de DKIM:
Tipo: Seleccione TXT o CNAME según sea necesario.
Nombre: Introduzca el nombre de host proporcionado (p. ej, selector._clavedominio. GoDaddy suele añadir automáticamente su nombre de dominio).
Valor: Pegue el valor de la clave pública DKIM o el valor CNAME de destino.
TTL: Utiliza el predeterminado (normalmente 1 hora) o sigue instrucciones específicas.
- Haga clic en "Guardar". Espere a que se propague el DNS.
4. Configuración de DKIM para Cloudflare
De forma similar a GoDaddy, la configuración de DKIM con Cloudflare implica añadir el registro DNS específico proporcionado por su servicio de correo electrónico o herramienta de generación de DKIM.
- Inicie sesión en Cloudflare.
- Seleccione su cuenta y dominio.
- Vaya a DNS → Registros.
- Haz clic en "Añadir registro".
- Introduzca los datos de su registro DKIM:
- Tipo: Seleccione TXT o CNAME según sea necesario.
- Nombre: Introduzca el nombre de host (por ejemplo, `selector._domainkey`). Cloudflare añade automáticamente el dominio.
- Contenido/destino: Pegue el valor de la clave pública DKIM (para TXT) o el nombre de host de destino (para CNAME).
- TTL: Auto suele estar bien, o seguir instrucciones específicas.
- Asegúrese de que el estado del proxy está configurado como "Sólo DNS" (nube gris) para los registros DKIM.
- Haga clic en Guardar y espere a que se propague el DNS.
(Nota: La sección original de Cloudflare describía la configuración DMARC. Los pasos anteriores están corregidos para la configuración de DKIM en Cloudflare).
Cómo identificar su selector DKIM
Los propietarios de dominios suelen plantearse la siguiente pregunta: "¿Cómo encuentro mi selector DKIM? El selector forma parte de la firma DKIM añadida a las cabeceras de su correo electrónico y corresponde al registro de clave pública específico en su DNS. Para encontrar su selector DKIM de un correo electrónico que haya recibido o enviado:
1) Envía un correo de prueba desde el dominio/servicio configurado a una cuenta a la que puedas acceder (como Gmail).
2) Abre el correo electrónico en tu bandeja de entrada (por ejemplo, Gmail).
3) Haga clic en los tres puntos verticales (Más opciones) junto al botón de respuesta.
4) Seleccione "Mostrar original".
5) En la página "Mensaje original", busque la cabecera `DKIM-Signature`. Dentro de esta cabecera, busque la etiqueta `s=`. El valor asignado a esta etiqueta es su selector DKIM (por ejemplo, `s=s1` significa que el selector es `s1`).
Desafíos de la configuración manual de DKIM
La configuración manual de DKIM puede ser compleja y propensa a errores. He aquí algunos retos clave:
- Generar, almacenar y rotar claves criptográficas manualmente requiere experiencia y un manejo cuidadoso para evitar riesgos de seguridad.
- Los registros DKIM deben añadirse a la configuración DNS con precisión. Un solo error tipográfico o un formato incorrecto pueden hacer que falle la autenticación y que los correos electrónicos se marquen como spam o se rechacen.
- La rotación periódica de claves es necesaria para la seguridad, pero las actualizaciones manuales pueden pasarse por alto, ejecutarse incorrectamente o provocar tiempos de inactividad si no se gestionan con cuidado.
- Diagnosticar problemas con DKIM, como fallos en la verificación de firmas o problemas de configuración de DNS, puede ser difícil y llevar mucho tiempo, especialmente cuando se trabaja con varios proveedores de correo electrónico o servicios de terceros.
- La configuración y el mantenimiento manuales requieren mucho tiempo y esfuerzo técnico, lo que aumenta el riesgo de errores de configuración e ineficiencias operativas.
Ventajas de la automatización
- Automatizar la gestión de DKIM es una forma más rápida de implementar y supervisar su configuración de DKIM, sin la molestia de intervenciones manuales como la generación de claves y las actualizaciones de DNS.
- Las soluciones automatizadas son mucho más precisas, ya que reducen al mínimo la posibilidad de errores humanos en la creación y configuración de registros.
- La facilidad de uso es otro factor que hace de las soluciones automatizadas una alternativa tentadora para las empresas que desean reducir el esfuerzo manual y los conocimientos técnicos necesarios.
- La gestión automatizada de DKIM puede mejorar la seguridad simplificando y fomentando la rotación periódica de claves DKIM.
Cómo PowerDMARC simplifica la configuración de DKIM
Generación automática de claves DKIM
La herramienta herramienta generadora de DKIM genera automáticamente claves DKIM criptográficas seguras (compatibles con 1024 y 2048 bits), eliminando el riesgo de errores manuales. Nuestro servicio DKIM alojado automatiza aún más la gestión de claves.
Configuración simplificada de registros DNS
Los usuarios reciben un registro DKIM listo para publicar en su DNS, evitando la necesidad de construir manualmente o solucionar problemas de entradas TXT o CNAME. La guía paso a paso garantiza un despliegue rápido y sin errores.
Verificación y supervisión DKIM sencillas
Nuestra plataforma incluye herramientas de verificación en tiempo real para garantizar que DKIM está configurado correctamente y funciona como se espera. Los informes DMARC analizados por PowerDMARC proporcionan información sobre los resultados de la autenticación DKIM, ayudando a los usuarios a recibir alertas si la autenticación falla, lo que permite la solución inmediata de problemas.
Gestión centralizada de DKIM
Gestione múltiples claves DKIM y dominios desde un único DKIM alojado con visibilidad del estado de las claves, uso e historial de rotación simplificado, mejorando la seguridad y el control sin necesidad de acceso directo al DNS para las actualizaciones.
Prácticas recomendadas de DKIM para una autenticación más segura del correo electrónico
Las siguientes prácticas recomendadas pueden mejorar aún más la autenticación DKIM:
1. Rotación de claves DKIM
Frecuente rotación de claves DKIM minimiza el riesgo de que una clave privada quede expuesta. Las mejores prácticas sugieren rotar las claves cada 6-12 meses, o incluso con mayor frecuencia. Las soluciones automatizadas como PowerDMARC facilitan la gestión de claves DKIM sin intervención manual. Configurar varios registros DKIM también puede facilitar una rotación de claves más fluida, permitiendo que se publique una nueva clave antes de que se retire la anterior.
2. Selectores y claves DKIM fuertes
El uso de selectores DKIM únicos y descriptivos (por ejemplo, `selector1`, `google`, `sendgrid`) mejora la organización y la resolución de problemas en comparación con los genéricos. Se recomienda encarecidamente utilizar claves de 2048 bits para mejorar la seguridad criptográfica respecto al antiguo estándar de 1024 bits.
3. Supervisión de la autenticación DKIM
Revise periódicamente los resultados de autenticación DKIM mediante informes agregados DMARC para detectar fallos de autenticación o el uso no autorizado de su dominio. Utilice herramientas de supervisión y validadores DKIM para comprobar periódicamente que las firmas DKIM se aplican correctamente y superan la verificación.
4. Combinar DKIM con SPF y DMARC
El uso de DKIM junto con SPF (Sender Policy Framework) y DMARC (Domain-based Message Authentication, Reporting, and Conformance) crea una seguridad por capas para el correo electrónico. SPF verifica las IP remitentes, DKIM verifica la integridad de los mensajes y DMARC se encarga de la aplicación de las políticas y los informes, ofreciendo una protección completa contra la suplantación de identidad y el phishing.
Resolución de problemas comunes de DKIM
- Retrasos en la propagación de DNS: Los registros DKIM recién publicados o actualizados pueden tardar (de minutos a 48 horas) en propagar en los servidores DNS globales. Es importante esperar lo suficiente y verificar la presencia del registro utilizando herramientas de búsqueda DNS externas antes de asumir un error de configuración.
- Configuración incorrecta del registro DKIM: Errores tipográficos en el nombre del selector, falta de caracteres en el valor de la clave pública, tipo de registro incorrecto (TXT vs. CNAME) o registros con formato incorrecto pueden provocar fallos. Compruebe cuidadosamente el nombre de host y el valor con las instrucciones proporcionadas antes de publicarlos en su DNS.
- Fallo de verificación DKIM (`dkim=fail`): Si DKIM falla en la verificación, los correos electrónicos pueden ser marcados como spam o rechazados. Las posibles causas son una clave pública incorrecta en DNS, una clave privada no coincidente en el servidor de envío, la modificación del mensaje por intermediarios (aunque DKIM está diseñado para detectarlo) o una verificación demasiado estricta por parte del receptor. Compruebe las cabeceras de firma DKIM en el origen del correo electrónico, confirme que la clave pública en DNS coincide con la prevista y analice los informes DMARC en busca de patrones de fallo.
- Problemas con remitentes de correo electrónico de terceros: Cuando utilices proveedores externos (como Mailchimp, SendGrid, Office 365), asegúrate de seguir sus instrucciones específicas de configuración de DKIM. Algunos pueden requerir el uso de registros CNAME que apunten a su dominio, mientras que otros te permiten publicar un registro TXT con una clave que ellos proporcionan o que tú generas. Confirma que el proveedor admite DKIM para tu dominio de envío.
- Problemas con el selector: El uso de un nombre de selector incorrecto en el registro DNS (que no coincide con la etiqueta `s=` de la cabecera del correo electrónico) provocará fallos de autenticación. Compruebe que el nombre del selector publicado en DNS coincide con el utilizado por el servicio de envío en las cabeceras del correo electrónico.
Preguntas frecuentes sobre la configuración de DKIM
1. ¿Cuánto tarda DKIM en empezar a funcionar?
Después de publicar el registro de clave pública DKIM en su DNS, debe propagarse a través de los servidores DNS de Internet. Esto puede tardar desde unos minutos hasta 48 horas, aunque a menudo es mucho más rápido. Una vez que el registro sea visible públicamente y su servidor de correo electrónico esté configurado para firmar correos electrónicos, DKIM estará activo para los siguientes correos electrónicos enviados desde esa fuente configurada.
2. ¿Cómo verifico si mi configuración DKIM funciona?
Puede verificar la configuración de DKIM de varias formas: utilice una herramienta de comprobación de DKIM en línea (como PowerDMARC) para buscar el registro publicado en DNS; envíe un correo electrónico de prueba a un servicio como Gmail y compruebe las cabeceras del "Mensaje original" para ver si hay un estado "dkim=pass" en la cabecera "Autenticación-Resultados"; o supervise los informes agregados de DMARC, que muestran los resultados de DKIM correcto/incorrecto para los correos electrónicos de su dominio.
3. ¿Qué ocurre si falla la verificación DKIM?
Si la verificación DKIM falla (`dkim=fail`), los servidores receptores pueden tratar el correo electrónico con más recelo. Esto podría provocar que el mensaje se marque como spam, se ponga en cuarentena o se rechace, especialmente si DMARC también está configurado con una política de "cuarentena" o "rechazo" y SPF también falla (o no está alineado). Un fallo de DKIM afecta negativamente a la reputación del remitente y a la capacidad de entrega.
4. ¿Puedo utilizar varios selectores DKIM para el mismo dominio?
Sí, puede y debe utilizar varios selectores DKIM para el mismo dominio. Esto es necesario cuando se envía correo electrónico a través de diferentes servicios (por ejemplo, Google Workspace, Salesforce, una plataforma de marketing), ya que cada uno puede requerir su propia clave/selector. También es la mejor práctica para la rotación de claves, ya que te permite introducir una nueva clave con un nuevo selector antes de retirar el antiguo.
5. ¿Cuáles son los errores más comunes que hay que evitar durante la configuración de DKIM?
Entre los errores más comunes se incluyen: errores de sintaxis en el registro DNS (erratas, espacios de más, entrecomillado incorrecto); publicar el tipo de registro incorrecto (TXT frente a CNAME); desajustes en el selector entre el registro DNS y la firma de correo electrónico; olvidar activar la firma DKIM en la plataforma de envío de correo electrónico después de publicar el registro DNS; copiar sólo parte de un valor de clave pública largo; y no esperar lo suficiente a que se propague el DNS antes de probar o esperar resultados. No utilizar claves de 2048 bits cuando están disponibles también es una oportunidad perdida para mejorar la seguridad.
Reflexiones finales
DKIM constituye un elemento fundamental a la hora de reforzar la seguridad del correo electrónico de su dominio. Al garantizar la integridad de sus comunicaciones por correo electrónico mediante verificación criptográfica, protege la reputación de su marca frente a posibles daños y su dominio frente a ataques de suplantación de identidad y phishing que se basan en información de remitente falsificada. Con millones de dominios desprotegidos en todo el mundo y un creciente escrutinio por parte de los proveedores de buzones de correo, ahora es el momento de reforzar su seguridad en lugar de quedarse atrás. Dé el primer paso hacia una autenticación más fuerte implementando DKIM correctamente, idealmente junto con SPF y DMARC. Pruebe gratis con PowerDMARC hoy mismo para simplificar el proceso.
- Vendor Email Compromise (VEC): Cómo detener los ataques de proveedores de confianza - 3 de julio de 2025
- Los correos electrónicos de marketing no llegan a las bandejas de entrada de los clientes - 2 de julio de 2025
- Caso práctico de DMARC MSP: Cómo S-IT automatizó la gestión de la autenticación del correo electrónico con PowerDMARC - 29 de junio de 2025