Puntos clave
- DKIM añade una firma digital a los correos electrónicos salientes para que los servidores receptores puedan verificar que el mensaje se ha enviado desde una fuente autorizada y que no se ha alterado durante el tránsito.
- Microsoft 365 gestiona automáticamente DKIM para los dominios de onmicrosoft.com. La configuración manual solo es necesaria para los dominios personalizados, y consiste en crear dos registros CNAME en tu DNS.
- La firma DKIM se habilita a través del portal de Microsoft Defender una vez que se han publicado y detectado los registros CNAME.
- El DKIM por sí solo no es suficiente. Siempre debe configurarse junto con SPF y DMARC para garantizar una autenticación completa del correo electrónico y la protección del dominio.
- Las claves DKIM deben renovarse cada uno o dos años para garantizar una seguridad sólida del correo electrónico.
- Con PowerDMARC, garantizas el cumplimiento de las normas DKIM y DMARC en los sectores financiero, sanitario, público y muchos más.
Si envías correos electrónicos a través de Microsoft 365 y no has configurado DKIM para tu dominio personalizado, tus correos se envían sin firma digital. Esto significa que los servidores receptores no tienen forma de verificar que tus mensajes no hayan sido alterados durante el tránsito, y tu dominio es más vulnerable a la suplantación de identidad.
Configurar DKIM para Office 365 es uno de los pasos más importantes para crear un entorno de correo electrónico seguro y fiable.
Esta guía te explica todo lo que necesitas saber: qué es DKIM, cómo lo gestiona Microsoft 365 y cómo configurarlo exactamente para tu dominio personalizado.
¿Qué es DKIM y por qué es importante para Microsoft 365?
Antes de pasar por el proceso de configuración, conviene entender qué hace DKIM y por qué es un elemento fundamental de la configuración del correo electrónico de Microsoft 365.
DomainKeys Identified Mail (DKIM) es un protocolo de autenticación de correo electrónico que añade una firma digital criptográfica a cada correo electrónico saliente. Cuando se envía un mensaje, el dominio firmante utiliza una clave privada para generar la firma.
A continuación, el servidor receptor recupera la clave pública correspondiente del DNS y la utiliza para verificar que el cuerpo y los encabezados del mensaje no hayan sido alterados durante la transmisión.
Qué aporta DKIM a tu correo electrónico
| Ventaja | Cómo funciona |
|---|---|
| Comprueba la integridad del mensaje | La firma criptográfica confirma que el mensaje no ha sido modificado tras su envío |
| Evita la suplantación de dominios | Hace que a los atacantes les resulte mucho más difícil falsificar correos electrónicos desde tu dominio |
| Mejora la entregabilidad del correo electrónico | Los correos electrónicos autenticados tienen menos probabilidades de ser marcados como spam por Gmail, Yahoo y otros proveedores |
| Genera confianza en el remitente | Una firma DKIM válida indica que el dominio firmante asume la responsabilidad del mensaje |
| Habilita la aplicación de DMARC | DKIM es un requisito imprescindible para que DMARC funcione correctamente |
El papel de DKIM junto con SPF y DMARC
DKIM funciona en combinación con SPF y DMARC para formar un marco completo de autenticación de correo electrónico. Cada protocolo cubre una capa diferente:
- SPF comprueba que el servidor remitente esté autorizado para enviar correos electrónicos en nombre de tu dominio
- DKIM verifica que el contenido del mensaje no haya sido alterado durante el tránsito
- DMARC hace cumplir la política exigiendo que SPF y DKIM coincidan con la dirección del remitente
Comparación entre DKIM, SPF y DMARC
| Protocolo | Propósito | Pasos de configuración | Protección contra |
|---|---|---|---|
| SPF | Autoriza los servidores de envío | Publicar el registro TXT con las direcciones IP autorizadas | Falsificación de direcciones IP |
| DKIM | Comprueba la integridad del mensaje | Crear registros CNAME, habilitar la firma | Manipulación de mensajes |
| DMARC | Aplica la política de alineación | Publicar el registro de políticas, supervisar los informes | Suplantación de dominios |
Para que DKIM supere las comprobaciones de DMARC, el dominio de la dirección «De» debe coincidir con el dominio utilizado en la firma DKIM. Este requisito de coincidencia es lo que hace que la combinación de SPF, DKIM y DMARC tan eficaz contra los ataques de phishing y la suplantación de identidad.
El DKIM por sí solo no basta para evitar todos los tipos de suplantación de identidad en el correo electrónico. Debe utilizarse junto con SPF y DMARC para lograr una protección completa. Más adelante en esta guía explicaremos cómo implementar DMARC junto con tu configuración de DKIM en Microsoft 365.
He aquí por qué más de 10 000 clientes confían en la plataforma de PowerDMARC
- Reducción drástica de los intentos de suplantación de identidad y de los correos electrónicos no autorizados gracias a la inteligencia sobre amenazas basada en la inteligencia artificial
- Incorporación más rápida + gestión automatizada de la autenticación que ahorra horas de trabajo a los equipos de TI
- Información sobre amenazas en tiempo real e informes cifrados con PGP en todos los dominios
- Mejores tasas de entrega de correo electrónico gracias a la aplicación rigurosa de DMARC con el asesoramiento de expertos
Los primeros 15 días corren por nuestra cuenta.
Comience la prueba gratuitaCómo gestiona Microsoft 365 el DKIM
Microsoft 365 gestiona DKIM de forma diferente según se utilice el dominio predeterminado onmicrosoft.com o un dominio personalizado. Comprender esta diferencia evita confusiones durante la configuración.
Lo que Microsoft gestiona automáticamente
Microsoft habilita automáticamente la firma DKIM para el dominio onmicrosoft.com inicial asociado a tu inquilino de Microsoft 365. Si solo envías mensajes desde yourcompany.onmicrosoft.com, DKIM ya está funcionando sin necesidad de ninguna configuración manual.
¿Qué requiere una configuración manual?
Es necesario configurar DKIM manualmente para cada dominio personalizado que utilices para enviar correos electrónicos.
Si tu organización envía correos desde un dominio personalizado, como tuempresa.com, debes crear registros CNAME en tu DNS y habilitar la firma DKIM a través del portal de Microsoft Defender.
Cada subdominio que se utilice para enviar correo electrónico desde Microsoft 365 también requiere su propia configuración DKIM. DKIM no se extiende automáticamente desde un dominio raíz a sus subdominios.
El sistema de dos selectores
Microsoft 365 utiliza dos selectores DKIM, selector1 y selector2, para cada dominio personalizado.
El uso de dos selectores permite a Microsoft rotar las claves DKIM automáticamente para mejorar la seguridad. Al configurar DKIM, se crean registros CNAME para ambos selectores que apuntan a las claves públicas generadas por Microsoft 365.
| Opinión de un experto: «Según mi experiencia ayudando a las organizaciones a implementar DKIM, automatizar la supervisión de DKIM con PowerDMARC no solo ahorra tiempo, sino que ayuda a detectar errores de configuración antes de que afecten a la entregabilidad del correo electrónico. Esto es especialmente importante para las empresas de SaaS y los sectores regulados, donde la fiabilidad del correo electrónico es fundamental». |
Requisitos previos para la configuración de DKIM en Office 365
Antes de iniciar el proceso de configuración de DKIM, comprueba que se cumplan los siguientes requisitos.
| Requisito previo | Detalles |
|---|---|
| Acceso de administrador | Para llevar a cabo los pasos de configuración de DKIM, es necesario tener un rol de administrador global o de Exchange. |
| Dominio personalizado verificado | Para poder configurar DKIM, primero debes verificar tu dominio personalizado en Microsoft 365 |
| Acceso al DNS | Necesitas acceso a tu registrador de dominios o a tu proveedor de alojamiento DNS para publicar registros CNAME |
| SPF configurado | El SPF ya debe estar configurado para tu dominio antes de habilitar DKIM |
Si aún no has configurado el SPF para tu dominio, hazlo primero. Para obtener instrucciones paso a paso, consulta nuestra guía sobre cómo configurar SPF.
Guía paso a paso: Configuración de DKIM para Office 365
La configuración de DKIM para un dominio personalizado en Microsoft 365 implica tres pasos principales: recuperar los valores de los registros CNAME del portal de Microsoft Defender, publicar dichos registros en tu DNS y habilitar la firma DKIM una vez que se hayan detectado los registros.
El proceso requiere precisión en cada paso. Los errores tipográficos en los valores CNAME son la causa más habitual de que falle la configuración de DKIM, así que tómate tu tiempo con la configuración del DNS.
Paso 1: Obtén los valores del registro CNAME de DKIM de Microsoft 365
Microsoft 365 genera los valores exactos de los registros CNAME que necesitas publicar en tu DNS. Para encontrarlos:
- Inicia sesión en el portal de Microsoft Defender
- Ve a Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas
- Seleccionar Configuración de autenticación de correo electrónico
- Haz clic en el pestaña pestaña
- Selecciona tu dominio personalizado de la lista
- Abre el menú desplegable de detalles de ese dominio
El portal mostrará los dos valores de registro CNAME que necesitas. Si aún no es posible habilitar DKIM, el portal indicará los valores que debes utilizar en los registros CNAME.
La sintaxis básica de los registros CNAME de DKIM para dominios personalizados sigue este formato:
| Nombre del servidor | Apunta a |
|---|---|
| selector1._domainkey.tudominio.com | selector1-tudominio-com._domainkey.nombredelinquilino.onmicrosoft.com |
| selector2._domainkey.tudominio.com | selector2-tudominio-com._domainkey.nombredelinquilino.onmicrosoft.com |
Utiliza siempre los valores exactos que se muestran en el portal de Defender para tu dominio y tu inquilino concretos, y no una plantilla genérica.
PowerDMARC genera y valida automáticamente los registros DKIM para Office 365, lo que elimina los errores manuales y garantiza una configuración correcta desde el principio. Utiliza nuestro verificador de registros DKIM para comprobar tus registros al instante.
Paso 2: Crea los registros CNAME en tu DNS
Inicia sesión en tu registrador de dominios o proveedor de alojamiento DNS y crea dos nuevos registros CNAME utilizando los valores del paso anterior.
Aspectos clave que hay que comprobar al añadir los registros:
- El tipo de registro debe establecerse en CNAME, no TXT ni ningún otro tipo
- Los valores de los nombres de host deben incluir el prefijo completo del selector: selector1._domainkey y selector2._domainkey
- Comprueba con atención que no haya errores ortográficos en los valores CNAME. Los errores en el registrador de dominios son la causa más habitual de los fallos en la configuración de DKIM.
- No añadas varios registros contradictorios para el mismo nombre de host
Los cambios en el DNS pueden tardar hasta 48 horas en propagarse a nivel mundial, aunque a menudo se producen mucho más rápido. Microsoft 365 puede tardar entre varios minutos y unas pocas horas en detectar los nuevos registros CNAME.
Paso 3: Habilitar la firma DKIM en el portal de Microsoft Defender
Una vez que los registros CNAME se hayan publicado y propagado, vuelve a la pestaña DKIM en el portal de Microsoft Defender:
- Selecciona tu dominio personalizado
- Abrir el menú desplegable de detalles
- Alternar Activar la firma de mensajes para este dominio con firmas DKIM para activarlo
Para que la firma DKIM esté habilitada, el estado del dominio en la pestaña DKIM debe mostrar valores válidos. Si el portal no puede detectar tus registros CNAME, mostrará un mensaje de error junto con los valores esperados. Comprueba que tus registros DNS sean correctos antes de volver a intentarlo.
Una vez habilitado DKIM, es posible que el estado tarde un tiempo en actualizarse y confirmar que las firmas DKIM se estén aplicando a los mensajes salientes.
Paso 4: Comprueba que DKIM funciona
Para comprobar que la firma DKIM está activa, envía un correo electrónico de prueba desde tu dominio personalizado a una dirección de Gmail y revisa el encabezado del mensaje:
- Abre el correo electrónico recibido en Gmail
- Haz clic en el menú de los tres puntos y selecciona Mostrar original
- Busca la campo de encabezado DKIM-Signature en el encabezado del mensaje sin procesar
- Comprueba que la firma DKIM esté presente y que el valor «d=» coincida con tu dominio personalizado
- El valor «s=» del encabezado «DKIM-Signature» identifica el selector que se está utilizando actualmente
También puedes utilizar las herramientas de supervisión DMARC para verificar la alineación de DKIM en todas tus fuentes de envío desde un único panel de control.
Un resultado «DKIM: passed» en el encabezado del mensaje confirma que la firma DKIM está activa y funciona correctamente para tu dominio personalizado.
| ¿Necesitas ayuda para solucionar problemas con DKIM? Nuestros expertos en seguridad del correo electrónico de PowerDMARC pueden ayudarte a resolver rápidamente los problemas de configuración de DKIM. Comience su prueba gratuita para obtener asistencia de expertos y supervisión automatizada. |
Cómo configurar DKIM con PowerShell
Exchange Online PowerShell ofrece herramientas de línea de comandos para automatizar la configuración de DKIM, habilitar o deshabilitar la firma DKIM para tus dominios personalizados y solucionar problemas. Este enfoque resulta especialmente útil a la hora de gestionar varios dominios o entornos complejos.
Para habilitar DKIM a través de PowerShell:
1. Conéctese a Exchange Online
2. Extraiga los selectores DKIM de Office 365 ejecutando el siguiente script:
3. Añada los registros CNAME proporcionados por Office 365 a su DNS
4. Ejecute el siguiente comando para activar DKIM para el dominio:
Comandos habituales de resolución de problemas en PowerShell
- Comprobar el estado de DKIM: Get-DkimSigningConfig -Identity «tudominio.com»
- Desactivar DKIM: Set-DkimSigningConfig -Identity «tudominio.com» -Enabled $false
- Bulk enable for multiple domains: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $true}
- Ver selectores DKIM: Get-DkimSigningConfig | Seleccionar Identity,Selector1CNAME,Selector2CNAME
Cómo comprobar el estado del registro DKIM en Office 365
Una vez configurado DKIM, comprueba que la configuración funciona correctamente. A continuación te indicamos varios métodos para comprobar el estado de tu registro DKIM:
Método 1: Portal de Microsoft Defender
- Accede al portal de Microsoft Defender
- Ve a Correo electrónico y colaboración > Políticas y normas > Políticas de amenazas > DKIM
- Comprueba la columna de estado de tu dominio: debería aparecer «Habilitado» con marcas de verificación verdes
Método 2: Herramientas de verificación de DKIM en línea
Utiliza la herramienta gratuita de PowerDMARC para validar tus registros DKIM al instante. para validar tus registros DKIM al instante. Introduce tu dominio y selector (selector1 o selector2) para confirmar que están correctamente publicados y son válidos.
Método 3: Análisis de los encabezados de los correos electrónicos
Envía un correo electrónico de prueba y revisa los encabezados:
- Busca «DKIM-Signature:» en los encabezados del correo electrónico
- Comprueba que el parámetro «d=» coincida con tu dominio
- Comprueba que «Authentication-Results:» muestre «dkim=pass»
Problemas habituales en la validación de DKIM
- Retrasos en la propagación del DNS: Espere entre 24 y 48 horas para que se complete la propagación global
- Valores CNAME incorrectos: Comprueba los valores exactos en el portal de Microsoft Defender
- Múltiples registros DNS: Asegúrate de que no haya registros DKIM conflictivos
- Configuración de TTL: Los valores TTL más bajos aceleran la propagación durante las pruebas
Limitaciones y problemas habituales en la configuración de DKIM
DKIM es un potente protocolo de autenticación de correo electrónico , pero presenta algunas limitaciones técnicas que es importante comprender antes y durante su implementación.
Conocer estas limitaciones desde el principio te ayuda a evitar errores habituales, a planificar correctamente tu configuración y a establecer expectativas realistas sobre lo que DKIM puede y no puede proteger por sí solo.
| Consideración | Lo que debes saber |
|---|---|
| Longitud de clave | Microsoft 365 utiliza claves criptográficas de 2048 bits de forma predeterminada, lo que ofrece una protección sólida para los mensajes salientes |
| Propagación del DNS | Una vez publicados los registros CNAME, los cambios en el DNS tardarán hasta 48 horas en propagarse a nivel mundial, aunque la propagación suele ser mucho más rápida |
| Rotación de claves DKIM | Renueva las claves DKIM cada uno o dos años para mantener un alto nivel de seguridad en el correo electrónico y reducir el riesgo de que se hagan uso indebido de las claves antiguas |
| Varios dominios | Cada dominio personalizado que se utilice para enviar correos electrónicos requiere su propia configuración DKIM independiente. DKIM no se aplica automáticamente desde un dominio raíz a sus subdominios. |
| Dominios sin usar | No publiques registros DKIM para dominios que nunca envían correos electrónicos. Si lo haces, podrías permitir la validación DKIM de mensajes falsificados enviados desde esos dominios. |
Lista de comprobación de errores habituales en la configuración de DKIM
✓ Comprueba que la sintaxis del registro CNAME sea exactamente la misma que la que se muestra en el portal de Microsoft Defender
✓ Asegúrate de que no haya errores ortográficos en los nombres de los selectores (selector1._domainkey, selector2._domainkey)
✓ Comprueba que el tipo de registro DNS esté configurado como CNAME, no como TXT
✓ Comprueba que el dominio esté verificado en Microsoft 365 antes de habilitar DKIM
✓ Espera a que se complete la propagación del DNS (hasta 48 horas) antes de proceder a la resolución de problemas
✓ Elimina cualquier registro DKIM conflictivo o duplicado
Limitaciones de DKIM
Entender en qué aspectos se queda corto DKIM es tan importante como saber qué es lo que hace. Estas limitaciones son precisamente la razón por la que DKIM siempre debe implementarse junto con SPF y DMARC, en lugar de considerarse una solución independiente.
Reenvío de correos electrónicos
Las firmas DKIM pueden romperse al reenviar un correo electrónico. Cuando se reenvía un mensaje, algunos servidores de correo modifican el encabezado o el cuerpo del mensaje de tal forma que invalidan la firma DKIM original.
Esta es una de las razones principales por las que DMARC exige la coherencia entre SPF y DKIM, en lugar de basarse únicamente en uno de ellos.
Modificación del mensaje
Cualquier modificación del contenido del correo electrónico una vez firmado invalidará la firma DKIM. Esto incluye los cambios realizados por listas de correo, pasarelas de correo electrónico o herramientas de filtrado de contenido que alteren el cuerpo del mensaje o determinados campos de la cabecera antes de su entrega.
Servicios de envío de terceros
Los servicios de correo electrónico externos que envían mensajes en tu nombre, como plataformas de marketing, CRM y herramientas de asistencia técnica, pueden requerir configuración de DKIM.
Por lo general, cada remitente externo debe firmar los mensajes salientes con tu dominio o con el suyo propio, y esto debe verificarse e incluirse en tu configuración general de autenticación de correo electrónico.
Entornos híbridos
Las organizaciones que utilizan una combinación de Exchange local y Microsoft 365 en un entorno híbrido pueden necesitar tener en cuenta aspectos específicos a la hora de configurar la firma DKIM.
Los mensajes que pasan por servidores locales antes de llegar a Microsoft 365 pueden comportarse de forma diferente a los que se envían directamente desde la nube, por lo que la configuración de DKIM debe tener en cuenta el flujo completo del mensaje antes de habilitar la firma.
¡Configura DKIM para Office 365 correctamente con PowerDMARC!
¿Por qué PowerDMARC?
«PowerDMARC facilitó enormemente nuestra implementación de DKIM y nos dio tranquilidad gracias a la supervisión automatizada». – Responsable de TI, empresa de tecnología financiera
|
Solución: Cambia a PowerDMARC
Habilitar la firma DKIM para tu dominio personalizado de Microsoft 365 es un paso fundamental para proteger tu correo electrónico. Sin embargo, el DKIM por sí solo solo cubre una parte del panorama.
Sin DMARC para garantizar la coherencia y ofrecer visibilidad sobre tu tráfico de correo electrónico, tu dominio sigue estando expuesto a la suplantación de identidad y al fraude, algo que DKIM no puede evitar por sí solo.
PowerDMARC facilita el paso de una configuración de DKIM a la aplicación completa de DMARC . Con DMARC alojado, la generación automática de informes y una plataforma diseñada para simplificar cada etapa de la autenticación del correo electrónico, PowerDMARC te ofrece una visibilidad completa de quién envía mensajes en tu nombre y las herramientas necesarias para proteger tu dominio de forma definitiva.
| Enfoque manual | PowerDMARC | |
|---|---|---|
| Gestión multidominio | No | Sí |
| Acceso basado en roles | No | Sí |
| Supervisión automatizada | No | Sí |
| Asistencia global las 24 horas del día, los 7 días de la semana | Limitado | Sí |
| Integración en el mercado/API | No | Sí |
Prueba gratis prueba gratuita de DMARC para evaluar sus ventajas hoy mismo.
Preguntas frecuentes
1. ¿Cómo puedo asegurarme de que DKIM está habilitado para todos los dominios de Exchange Online?
Para asegurarse de que DKIM está activado para todos sus dominios de Exchange Online, compruebe el portal de Microsoft Defender en Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas > DKIM. Compruebe que DKIM está activado para cada dominio personalizado.
2. ¿Cómo rotar las claves DKIM en Office 365?
Para rotar las claves DKIM en Office 365, debes generar nuevos registros CNAME para las nuevas claves en tu DNS y, a continuación, habilitar la firma DKIM para esas nuevas claves en el portal de Microsoft Defender. Este proceso contribuye a mejorar la seguridad al actualizar periódicamente las claves criptográficas que firman tus correos electrónicos.
3. ¿Con qué frecuencia se deben cambiar las claves DKIM?
Se recomienda rotar las claves DKIM cada uno o dos años, o antes si sospecha que han sido comprometidas. La rotación periódica ayuda a mantener la seguridad del correo electrónico y evita que los atacantes se aprovechen de las claves antiguas.
4. ¿Cuál es la longitud de clave recomendada para los registros DKIM?
Microsoft Office 365 utiliza claves DKIM de 2048 bits de forma predeterminada, lo que garantiza una seguridad sólida y se considera el estándar actual del sector. Esta longitud de clave ofrece una excelente protección contra los ataques criptográficos, al tiempo que mantiene un buen rendimiento.
5. ¿Cómo se combinan SPF, DKIM y DMARC para proteger el correo electrónico?
SPF autoriza a los servidores de envío, DKIM verifica la integridad de los mensajes mediante firmas digitales y DMARC garantiza el cumplimiento de las políticas combinando los resultados de SPF y DKIM. Juntos, conforman un marco integral de autenticación del correo electrónico que protege contra la suplantación de identidad y el phishing, y garantiza que los correos electrónicos legítimos lleguen a sus destinatarios previstos.
6. ¿Qué debo hacer si las firmas DKIM no aparecen en mis correos electrónicos salientes?
Si las firmas DKIM no aparecen en tus correos electrónicos salientes, comprueba que DKIM esté habilitado en tu servicio de envío y que la clave pública DKIM correcta esté publicada en tu DNS. Además, comprueba que el selector coincida y que los cambios en el DNS se hayan propagado por completo. Si el problema persiste, revisa la configuración de tu servidor de correo electrónico o ponte en contacto con tu proveedor de correo electrónico.
7. ¿Por qué no se valida mi registro DKIM en Office 365?
Entre las causas más comunes se encuentran los retrasos en la propagación del DNS, valores CNAME incorrectos, errores tipográficos en los nombres de los selectores o registros DNS conflictivos. Espera entre 24 y 48 horas a que se complete la propagación, comprueba los valores exactos de los registros CNAME en el portal de Microsoft Defender y asegúrate de que no haya registros duplicados.
8. ¿Puedo utilizar DKIM sin SPF ni DMARC en Office 365?
Aunque DKIM puede funcionar de forma independiente, no es recomendable. Por sí solo, DKIM no puede prevenir eficazmente la suplantación de dominios. Para lograr una autenticación y protección completas del correo electrónico, es necesario que los tres protocolos (SPF, DKIM y DMARC) funcionen conjuntamente.
9. ¿Cómo actualizo las claves DKIM para varios dominios en Office 365?
Use PowerShell for bulk operations: Get-AcceptedDomain | ForEach {Set-DkimSigningConfig -Identity $_.Name -Enabled $false; Set-DkimSigningConfig -Identity $_.Name -Enabled $true}. This disables and re-enables DKIM for all domains, forcing key regeneration.
- Guía de configuración de DKIM, DMARC y SPF de Kit - 6 de julio de 2026
- NIST SP 800-81r3: Directrices de seguridad del DNS para el correo electrónico - 25 de junio de 2526
- Cómo dividir un registro DKIM - 5 de junio de 2026
