Configuración de DKIM en Office 365: configurar la firma para Microsoft 365
por
Última actualización: 10 10 minutos de lectura
Puntos clave
- DKIM añade una firma digital a los correos electrónicos salientes para que los servidores receptores puedan verificar que el mensaje se ha enviado desde una fuente autorizada y que no se ha alterado durante el tránsito.
- Microsoft 365 gestiona automáticamente DKIM para los dominios de onmicrosoft.com. La configuración manual solo es necesaria para los dominios personalizados, y consiste en crear dos registros CNAME en tu DNS.
- La firma DKIM se habilita a través del portal de Microsoft Defender una vez que se han publicado y detectado los registros CNAME.
- El DKIM por sí solo no es suficiente. Siempre debe configurarse junto con SPF y DMARC para garantizar una autenticación completa del correo electrónico y la protección del dominio.
- Las claves DKIM deben renovarse cada uno o dos años para garantizar una seguridad sólida del correo electrónico.
Si envías correos electrónicos a través de Microsoft 365 y no has configurado DKIM para tu dominio personalizado, tus correos se envían sin firma digital. Esto significa que los servidores receptores no tienen forma de verificar que tus mensajes no hayan sido alterados durante el tránsito, y tu dominio es más vulnerable a la suplantación de identidad.
Configurar DKIM para Office 365 es uno de los pasos más importantes para crear un entorno de correo electrónico seguro y fiable.
Esta guía te explica todo lo que necesitas saber: qué es DKIM, cómo lo gestiona Microsoft 365 y cómo configurarlo exactamente para tu dominio personalizado.
¿Qué es DKIM y por qué es importante para Microsoft 365?
Antes de pasar por el proceso de configuración, conviene entender qué hace DKIM y por qué es un elemento fundamental de la configuración del correo electrónico de Microsoft 365.
DomainKeys Identified Mail (DKIM) es un protocolo de autenticación de correo electrónico que añade una firma digital criptográfica a cada correo electrónico saliente. Cuando se envía un mensaje, el dominio firmante utiliza una clave privada para generar la firma.
A continuación, el servidor receptor recupera la clave pública correspondiente del DNS y la utiliza para verificar que el cuerpo y los encabezados del mensaje no hayan sido alterados durante la transmisión.
Qué aporta DKIM a tu correo electrónico
| Ventaja | Cómo funciona |
|---|---|
| Comprueba la integridad del mensaje | La firma criptográfica confirma que el mensaje no ha sido modificado tras su envío |
| Evita la suplantación de dominios | Hace que a los atacantes les resulte mucho más difícil falsificar correos electrónicos desde tu dominio |
| Mejora la entregabilidad del correo electrónico | Los correos electrónicos autenticados tienen menos probabilidades de ser marcados como spam por Gmail, Yahoo y otros proveedores |
| Genera confianza en el remitente | Una firma DKIM válida indica que el dominio firmante asume la responsabilidad del mensaje |
| Habilita la aplicación de DMARC | DKIM es un requisito imprescindible para que DMARC funcione correctamente |
El papel de DKIM junto con SPF y DMARC
DKIM funciona en combinación con SPF y DMARC para formar un marco completo de autenticación de correo electrónico. Cada protocolo cubre una capa diferente:
- SPF comprueba que el servidor remitente esté autorizado para enviar correos electrónicos en nombre de tu dominio
- DKIM verifica que el contenido del mensaje no haya sido alterado durante el tránsito
- DMARC hace cumplir la política exigiendo que SPF y DKIM coincidan con la dirección del remitente
Para que DKIM supere las comprobaciones de DMARC, el dominio de la dirección «De» debe coincidir con el dominio utilizado en la firma DKIM. Este requisito de coincidencia es lo que hace que la combinación de SPF, DKIM y DMARC tan eficaz contra los ataques de phishing y la suplantación de identidad.
El DKIM por sí solo no basta para evitar todos los tipos de suplantación de identidad en el correo electrónico. Debe utilizarse junto con SPF y DMARC para lograr una protección completa. Más adelante en esta guía explicaremos cómo implementar DMARC junto con tu configuración de DKIM en Microsoft 365.
Cómo gestiona Microsoft 365 el DKIM
Si entiendes cómo gestiona Microsoft 365 el DKIM de forma predeterminada, te ahorrarás confusiones innecesarias durante la configuración.
Lo que Microsoft gestiona automáticamente
Microsoft habilita automáticamente la firma DKIM para el dominio onmicrosoft.com inicial asociado a tu inquilino de Microsoft 365. Si solo envías mensajes desde yourcompany.onmicrosoft.com, DKIM ya está funcionando sin necesidad de ninguna configuración manual.
¿Qué requiere una configuración manual?
Es necesario configurar DKIM manualmente para cada dominio personalizado que utilices para enviar correos electrónicos.
Si tu organización envía correos desde un dominio personalizado, como tuempresa.com, debes crear registros CNAME en tu DNS y habilitar la firma DKIM a través del portal de Microsoft Defender.
Cada subdominio que se utilice para enviar correo electrónico desde Microsoft 365 también requiere su propia configuración DKIM. DKIM no se extiende automáticamente desde un dominio raíz a sus subdominios.
El sistema de dos selectores
Microsoft 365 utiliza dos selectores DKIM, selector1 y selector2, para cada dominio personalizado.
El uso de dos selectores permite a Microsoft rotar las claves DKIM automáticamente para mejorar la seguridad. Al configurar DKIM, se crean registros CNAME para ambos selectores que apuntan a las claves públicas generadas por Microsoft 365.
| Opinión de un experto: «Según mi experiencia ayudando a las organizaciones a implementar DKIM, automatizar la supervisión de DKIM con PowerDMARC no solo ahorra tiempo, sino que ayuda a detectar errores de configuración antes de que afecten a la entregabilidad del correo electrónico. Esto es especialmente importante para las empresas de SaaS y los sectores regulados, donde la fiabilidad del correo electrónico es fundamental». |
Requisitos previos para la configuración de DKIM en Office 365
Antes de iniciar el proceso de configuración de DKIM, comprueba que se cumplan los siguientes requisitos.
| Requisito previo | Detalles |
|---|---|
| Acceso de administrador | Para llevar a cabo los pasos de configuración de DKIM, es necesario tener un rol de administrador global o de Exchange. |
| Dominio personalizado verificado | Para poder configurar DKIM, primero debes verificar tu dominio personalizado en Microsoft 365 |
| Acceso al DNS | Necesitas acceso a tu registrador de dominios o a tu proveedor de alojamiento DNS para publicar registros CNAME |
| SPF configurado | El SPF ya debe estar configurado para tu dominio antes de habilitar DKIM |
Si aún no has configurado el SPF para tu dominio, hazlo primero. Para obtener instrucciones paso a paso, consulta nuestra guía sobre cómo configurar SPF.
Cómo configurar DKIM para Office 365: paso a paso
La configuración de DKIM para un dominio personalizado en Microsoft 365 implica tres pasos principales: recuperar los valores de los registros CNAME del portal de Microsoft Defender, publicar dichos registros en tu DNS y habilitar la firma DKIM una vez que se hayan detectado los registros.
El proceso es sencillo, pero requiere precisión en cada paso. Los errores tipográficos en los valores CNAME son la causa más habitual de que falle la configuración de DKIM, así que tómate tu tiempo con la configuración del DNS.
Paso 1: Obtén los valores del registro CNAME de DKIM de Microsoft 365
Microsoft 365 genera los valores exactos de los registros CNAME que necesitas publicar en tu DNS. Para encontrarlos:
- Inicia sesión en el portal de Microsoft Defender
- Ve a Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas
- Seleccionar Configuración de autenticación de correo electrónico
- Haz clic en el pestaña pestaña
- Selecciona tu dominio personalizado de la lista
- Abre el menú desplegable de detalles de ese dominio
El portal mostrará los dos valores de registro CNAME que necesitas. Si aún no es posible habilitar DKIM, el portal indicará los valores que debes utilizar en los registros CNAME.
La sintaxis básica de los registros CNAME de DKIM para dominios personalizados sigue este formato:
| Nombre del servidor | Apunta a |
|---|---|
| selector1._domainkey.tudominio.com | selector1-tudominio-com._domainkey.nombredelinquilino.onmicrosoft.com |
| selector2._domainkey.tudominio.com | selector2-tudominio-com._domainkey.nombredelinquilino.onmicrosoft.com |
Utiliza siempre los valores exactos que se muestran en el portal de Defender para tu dominio y tu inquilino concretos, y no una plantilla genérica.
Paso 2: Crea los registros CNAME en tu DNS
Inicia sesión en tu registrador de dominios o proveedor de alojamiento DNS y crea dos nuevos registros CNAME utilizando los valores del paso anterior.
Aspectos clave que hay que comprobar al añadir los registros:
- El tipo de registro debe establecerse en CNAME, no TXT ni ningún otro tipo
- Los valores de los nombres de host deben incluir el prefijo completo del selector: selector1._domainkey y selector2._domainkey
- Comprueba con atención que no haya errores ortográficos en los valores CNAME. Los errores en el registrador de dominios son la causa más habitual de los fallos en la configuración de DKIM.
- No añadas varios registros contradictorios para el mismo nombre de host
Los cambios en el DNS pueden tardar hasta 48 horas en propagarse a nivel mundial, aunque a menudo se producen mucho más rápido. Microsoft 365 puede tardar entre varios minutos y unas pocas horas en detectar los nuevos registros CNAME.
Paso 3: Habilitar la firma DKIM en el portal de Microsoft Defender
Una vez que los registros CNAME se hayan publicado y propagado, vuelve a la pestaña DKIM en el portal de Microsoft Defender:
- Selecciona tu dominio personalizado
- Abrir el menú desplegable de detalles
- Alternar Activar la firma de mensajes para este dominio con firmas DKIM para activarlo
Para que la firma DKIM esté habilitada, el estado del dominio en la pestaña DKIM debe mostrar valores válidos. Si el portal no puede detectar tus registros CNAME, mostrará un mensaje de error junto con los valores esperados. Comprueba que tus registros DNS sean correctos antes de volver a intentarlo.
Una vez habilitado DKIM, es posible que el estado tarde un tiempo en actualizarse y confirmar que las firmas DKIM se estén aplicando a los mensajes salientes.
Paso 4: Comprueba que DKIM funciona
Para comprobar que la firma DKIM está activa, envía un correo electrónico de prueba desde tu dominio personalizado a una dirección de Gmail y revisa el encabezado del mensaje:
- Abre el correo electrónico recibido en Gmail
- Haz clic en el menú de los tres puntos y selecciona Mostrar original
- Busca la campo de encabezado DKIM-Signature en el encabezado del mensaje sin procesar
- Comprueba que la firma DKIM esté presente y que el valor «d=» coincida con tu dominio personalizado
- El valor «s=» del encabezado «DKIM-Signature» identifica el selector que se está utilizando actualmente
Un resultado «DKIM: passed» en el encabezado del mensaje confirma que la firma DKIM está activa y funciona correctamente para tu dominio personalizado.
| ¿Necesitas ayuda para solucionar problemas con DKIM? Nuestros expertos en seguridad del correo electrónico de PowerDMARC pueden ayudarte a resolver rápidamente los problemas de configuración de DKIM. Comience su prueba gratuita para obtener asistencia de expertos y supervisión automatizada. |
Cómo configurar DKIM con PowerShell
Para usuarios avanzados y administradores, Exchange Online PowerShell ofrece potentes herramientas para gestionar y configurar los ajustes de correo electrónico, incluido DKIM. El uso de comandos de PowerShell te permite automatizar la configuración de DKIM, habilitar o deshabilitar la firma DKIM para tus dominios personalizados y solucionar problemas de manera eficiente, lo cual resulta especialmente útil al gestionar varios dominios o entornos complejos.
Puedes utilizar PowerShell para configurar DKIM en Exchange Online para Office 365, sobre todo si deseas habilitarlo para varios dominios. Para ello:
1. Conéctese a Exchange Online
2. Extraiga los selectores DKIM de Office 365 ejecutando el siguiente script:
3. Añada los registros CNAME proporcionados por Office 365 a su DNS
4. Ejecute el siguiente comando para activar DKIM para el dominio:
Aspectos clave y limitaciones de la implementación de DKIM
DKIM es un potente protocolo de autenticación de correo electrónico , pero presenta algunas limitaciones técnicas que es importante comprender antes y durante su implementación.
Conocer estas limitaciones desde el principio te ayuda a evitar errores habituales, a planificar correctamente tu configuración y a establecer expectativas realistas sobre lo que DKIM puede y no puede proteger por sí solo.
| Consideración | Lo que debes saber |
|---|---|
| Longitud de clave | Microsoft 365 utiliza claves criptográficas de 2048 bits de forma predeterminada, lo que ofrece una protección sólida para los mensajes salientes |
| Propagación del DNS | Una vez publicados los registros CNAME, los cambios en el DNS tardarán hasta 48 horas en propagarse a nivel mundial, aunque la propagación suele ser mucho más rápida |
| Rotación de claves DKIM | Renueva las claves DKIM cada uno o dos años para mantener un alto nivel de seguridad en el correo electrónico y reducir el riesgo de que se hagan uso indebido de las claves antiguas |
| Varios dominios | Cada dominio personalizado que se utilice para enviar correos electrónicos requiere su propia configuración DKIM independiente. DKIM no se aplica automáticamente desde un dominio raíz a sus subdominios. |
| Dominios sin usar | No publiques registros DKIM para dominios que nunca envían correos electrónicos. Si lo haces, podrías permitir la validación DKIM de mensajes falsificados enviados desde esos dominios. |
Limitaciones de DKIM
Entender en qué aspectos se queda corto DKIM es tan importante como saber qué es lo que hace. Estas limitaciones son precisamente la razón por la que DKIM siempre debe implementarse junto con SPF y DMARC, en lugar de considerarse una solución independiente.
Reenvío de correos electrónicos
Las firmas DKIM pueden romperse al reenviar un correo electrónico. Cuando se reenvía un mensaje, algunos servidores de correo modifican el encabezado o el cuerpo del mensaje de tal forma que invalidan la firma DKIM original.
Esta es una de las razones principales por las que DMARC exige la coherencia entre SPF y DKIM, en lugar de basarse únicamente en uno de ellos.
Modificación del mensaje
Cualquier modificación del contenido del correo electrónico una vez firmado invalidará la firma DKIM. Esto incluye los cambios realizados por listas de correo, pasarelas de correo electrónico o herramientas de filtrado de contenido que alteren el cuerpo del mensaje o determinados campos de la cabecera antes de su entrega.
Servicios de envío de terceros
Los servicios de correo electrónico externos que envían mensajes en tu nombre, como plataformas de marketing, CRM y herramientas de asistencia técnica, pueden requerir configuración de DKIM.
Por lo general, cada remitente externo debe firmar los mensajes salientes con tu dominio o con el suyo propio, y esto debe verificarse e incluirse en tu configuración general de autenticación de correo electrónico.
Entornos híbridos
Las organizaciones que utilizan una combinación de Exchange local y Microsoft 365 en un entorno híbrido pueden necesitar tener en cuenta aspectos específicos a la hora de configurar la firma DKIM.
Los mensajes que pasan por servidores locales antes de llegar a Microsoft 365 pueden comportarse de forma diferente a los que se envían directamente desde la nube, por lo que la configuración de DKIM debe tener en cuenta el flujo completo del mensaje antes de habilitar la firma.
¡Configura DKIM para Office 365 correctamente con PowerDMARC!
¿Por qué PowerDMARC?
«PowerDMARC facilitó enormemente nuestra implementación de DKIM y nos dio tranquilidad gracias a la supervisión automatizada». – Responsable de TI, empresa de tecnología financiera
|
Configura DKIM y saca aún más partido a PowerDMARC
Habilitar la firma DKIM para tu dominio personalizado de Microsoft 365 es un paso fundamental para proteger tu correo electrónico. Sin embargo, el DKIM por sí solo solo cubre una parte del panorama.
Sin DMARC para garantizar la coherencia y ofrecer visibilidad sobre tu tráfico de correo electrónico, tu dominio sigue estando expuesto a la suplantación de identidad y al fraude, algo que DKIM no puede evitar por sí solo.
PowerDMARC facilita el paso de la configuración de DKIM a la aplicación completa de DMARC. Con DMARC alojado, la generación automática de informes y una plataforma diseñada para simplificar cada etapa de la autenticación del correo electrónico, PowerDMARC te ofrece una visibilidad completa de quién envía mensajes en tu nombre y las herramientas necesarias para proteger tu dominio de forma definitiva.
Prueba gratis prueba gratuita de DMARC para evaluar sus ventajas hoy mismo.
Preguntas frecuentes
1. ¿Cómo puedo asegurarme de que DKIM está habilitado para todos los dominios de Exchange Online?
Para asegurarse de que DKIM está activado para todos sus dominios de Exchange Online, compruebe el portal de Microsoft Defender en Correo electrónico y colaboración > Políticas y reglas > Políticas de amenazas > DKIM. Compruebe que DKIM está activado para cada dominio personalizado.
2. ¿Cómo rotar las claves DKIM en Office 365?
Para rotar las claves DKIM en Office 365, debes generar nuevos registros CNAME para las nuevas claves en tu DNS y, a continuación, habilitar la firma DKIM para esas nuevas claves en el portal de Microsoft Defender. Este proceso contribuye a mejorar la seguridad al actualizar periódicamente las claves criptográficas que firman tus correos electrónicos.
3. ¿Con qué frecuencia se deben cambiar las claves DKIM?
Se recomienda rotar las claves DKIM cada uno o dos años, o antes si sospecha que han sido comprometidas. La rotación periódica ayuda a mantener la seguridad del correo electrónico y evita que los atacantes se aprovechen de las claves antiguas.
4. ¿Cuál es la longitud de clave recomendada para los registros DKIM?
Microsoft Office 365 utiliza claves DKIM de 2048 bits de forma predeterminada, lo que garantiza una seguridad sólida y se considera el estándar actual del sector. Esta longitud de clave ofrece una excelente protección contra los ataques criptográficos, al tiempo que mantiene un buen rendimiento.
5. ¿Cómo se combinan SPF, DKIM y DMARC para proteger el correo electrónico?
SPF autoriza a los servidores de envío, DKIM verifica la integridad de los mensajes mediante firmas digitales y DMARC garantiza el cumplimiento de las políticas combinando los resultados de SPF y DKIM. Juntos, conforman un marco integral de autenticación del correo electrónico que protege contra la suplantación de identidad y el phishing, y garantiza que los correos electrónicos legítimos lleguen a sus destinatarios previstos.
6. ¿Qué debo hacer si las firmas DKIM no aparecen en mis correos electrónicos salientes?
Si las firmas DKIM no aparecen en tus correos electrónicos salientes, comprueba que DKIM esté habilitado en tu servicio de envío y que la clave pública DKIM correcta esté publicada en tu DNS. Además, comprueba que el selector coincida y que los cambios en el DNS se hayan propagado por completo. Si el problema persiste, revisa la configuración de tu servidor de correo electrónico o ponte en contacto con tu proveedor de correo electrónico.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- Cómo enviar correos electrónicos seguros en Outlook: guía paso a paso - 2 de abril de 2026
- Compresión SPF: reduce las consultas DNS de SPF y optimiza tu registro SPF - 25 de marzo de 2026
- Certificado de marca verificada frente a certificado de marca común: elegir el más adecuado - 10 de marzo de 2026
