Cómo dividir un registro DKIM

Configurar la autenticación del correo electrónico es una de esas tareas que parece que debería llevar cinco minutos, hasta que te topas con un obstáculo. Generas tu clave DKIM segura de 2048 bits, vas a la página de tu proveedor de DNS, la pegas en el campo de un nuevo registro TXT y pulsas «Guardar».

En lugar de un mensaje de éxito, aparece un error en la pantalla. AWS Route 53 muestra una alerta críptica que dice «CharacterStringTooLong». Google Cloud DNS te indica sin rodeos que tienes «datos de registro no válidos».

Si te encuentras con un límite de 255 caracteres al añadir tu registro DKIM, no te preocupes; tu clave no está dañada y no es necesario que reduzcas tu nivel de seguridad. Solo tienes que dividir tu registro TXT de DKIM en varias cadenas de la forma correcta. Dividir un registro DKIM es un procedimiento administrativo estándar y seguro, y una vez publicado, los resolutores de DNS volverán a unir automáticamente los fragmentos sin ningún problema.

Analicemos con detalle por qué ocurre esto y cómo solucionarlo paso a paso, ya sea mediante métodos manuales o utilizando una herramienta automática para dividir registros DNS.

Por qué es necesario dividir los registros DKIM

La necesidad de dividir los registros DKIM se deriva de las normas fundamentales de Internet. Según la sección 3.3.14 del RFC 1035, una cadena de caracteres dentro de un registro TXT del DNS tiene un límite máximo de 255 caracteres (u octetos). Este límite existe porque la longitud de una cadena en un paquete DNS estándar se almacena en un solo byte, lo que significa que no puede superar los 255 caracteres.

Esta limitación estructural cobra gran relevancia en función de la longitud de tus claves criptográficas:

• Claves DKIM de 1024 bits: estas cadenas de claves públicas son cortas y suelen ajustarse perfectamente al límite de 255 caracteres sin necesidad de modificaciones.
• Claves DKIM de 2048 bits: estas claves ofrecen una seguridad considerablemente mayor, pero generan una cadena de clave pública en formato Base64 que casi siempre tiene una longitud de entre 350 y más de 500 caracteres.

Dado que una clave DKIM de 2048 bits supera por naturaleza el límite de 255 caracteres, no puede estar contenida en una sola cadena continua.

La forma en que se gestiona este límite depende totalmente de tu proveedor de alojamiento DNS. En 2026, las principales plataformas siguen dividiéndose en dos grupos:

• Proveedores estrictos: Servicios como AWS Route 53, Google Cloud DNS y Azure DNS aplican de forma estricta la norma RFC 1035 en la interfaz de usuario. Si se introduce una cadena de 300 caracteres, la rechazan al instante.
• Proveedores automatizados: plataformas como Cloudflare, GoDaddy y cPanel suelen encargarse de este formateo de forma automática en segundo plano, dividiendo el registro internamente para que no tengas que hacerlo manualmente.

Nota importante: Dividir un registro no altera ni rompe tu firma DKIM. Cuando un servidor de correo entrante busca la clave pública DKIM de tu dominio, su resolutor DNS concatena (fusiona) automáticamente las cadenas divididas en una sola cadena continua antes de procesar el protocolo de autenticación criptográfica.

Cómo dividir un registro DKIM (paso a paso)

Para dividir correctamente el registro sin invalidar los datos criptográficos, debes seguir unas normas de formato estructuradas.

A continuación se muestra un ejemplo en tiempo real de un registro DKIM sin dividir y sin procesar de 2048 bits, una cadena única y continua que los proveedores más estrictos rechazarán, seguida de la misma clave dividida correctamente:

Antes: una cadena continua (410 caracteres, rechazada):

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApTyGJMuHbEL31IeL2HPcHyGcFRl1SPnXNYvMIHa/2o76umfXfKm/r5kJP1VrT+1FJors/6ILi8IHn5kxsC7tVO/HbkQfyy/KV5zjR3j1twdTKWTddB+XhkAS1voQG6yyzyN9zHYIa4UOrGNATMuDJawTgsu8PO+799nKSNrh9UCauSDmLhuVtcqcYezdZ/tDDj8hYs5suKcNd8Zra9A9sKPxZ9W3qLy7zKUVQDT7S8sTQCBNR3YbDgbleph1QHt61QTC4XATWS8PHp9NHfYjFM5DI4pZj59fhZ5R1Py4oJe2JbmPTuSgR7cMy+UcU3zr1ZtoLuCr64CxqlIOdNKhiwIDAQAB

A continuación: un registro TXT y dos cadenas entre comillas divididas en el límite de 255 caracteres:

“v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEApTyGJMuHbEL31IeL2HPcHyGcFRl1SPnXNYvMIHa/2o76umfXfKm/r5kJP1VrT+1FJors/6ILi8IHn5kxsC7tVO/HbkQfyy/KV5zjR3j1twdTKWTddB+XhkAS1voQG6yyzyN9zHYIa4UOrGNATMuDJawTgsu8PO+799nKSNrh9UCauSDmLhuVtcqcYezdZ/tDD»
«j8hYs5suKcNd8Zra9A9sKPxZ9W3qLy7zKUVQDT7S8sTQCBNR3YbDgbleph1QHt61QTC4XATWS8PHp9NHfYjFM5DI4pZj59fhZ5R1Py4oJe2JbmPTuSgR7cMy+UcU3zr1ZtoLuCr64CxqlIOdNKhiwIDAQAB»

Dividir una clave DKIM de 2048 bits

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A…wIDAQAB

Una cadena continua de 410 caracteres que es rechazada por AWS Route 53 / Google Cloud DNS

↓ dividir en el límite de 255 caracteres

Un registro TXT: dos cadenas entre comillas

«v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8A…»

fragmento 1 · 255 caracteres

«…zrIZtoLuCr64CxqlIOdNKhiwIDAQAB»

fragmento 2 · resto (≈155)

exactamente un espacio entre los fragmentos, sin espacios dentro de ninguno de ellos.

Paso 1: Identifica tu registro DKIM completo

Puedes iniciar sesión en el panel de control de tu proveedor de servicios de correo electrónico (como Google Workspace, Microsoft 365, SendGrid o Mailchimp) para localizar la clave pública generada. El registro siempre comienza con unas etiquetas específicas y suele seguir exactamente este formato:

v=DKIM1; k=rsa; p=[Una cadena Base64 muy larga]

También puedes utilizar nuestro verificador gratuito de registros DKIM para comprobar tu registro en cuestión de segundos:

Para confirmar si realmente es necesario dividir el texto, copia todo el valor y pégalo en un editor de texto básico para comprobar la longitud total. Si el recuento de caracteres supera los 255, debes dividirlo.

Paso 2: Dividir el valor de la clave en fragmentos de 255 caracteres

Tienes dos opciones para dividir tu registro: hacerlo a mano o utilizar una herramienta automática.

El método manual

Abre tu editor de texto y cuenta exactamente 255 caracteres desde el principio de tu registro (incluido el prefijo «v=DKIM1; k=rsa; p=»). Divide la cadena justo en ese límite de 255 caracteres.

Debes encerrar cada fragmento individual entre su propio par de comillas dobles («»). Es fundamental que te asegures de que no haya espacios dentro de los fragmentos, pero debe haber exactamente un solo espacio entre la comilla de cierre del primer fragmento y la comilla de apertura del segundo.

El método automático (recomendado)

Para evitar errores humanos, olvídate del recuento manual de caracteres y utiliza la herramienta gratuita «DNS Record Splitter» de PowerDMARC.

• Ve a la página de herramientas.

• Pega el registro TXT de DKIM completo, sin dividir, en el campo de entrada.

• Selecciona el formato entre comillas (requerido por proveedores estrictos como AWS y Google).

• Haz clic en «Dividir registro » para generar al instante cadenas con el formato correcto.

• Este es el aspecto que debería tener el resultado:

Paso 3: Añade el registro de división a tu DNS

Un error muy común entre los administradores es intentar crear dos registros TXT independientes en su panel de DNS, uno para cada fragmento. No lo hagas; esto impedirá por completo la autenticación.

Debes añadir un único registro TXT. En tu interfaz de gestión de DNS, pega ambas cadenas entre comillas en el campo «Valor» o «Datos ». En la mayoría de los proveedores habituales, sepáralas con un solo espacio:

«v=DKIM1; k=rsa; p=CHUNK1» «CHUNK2»

(Nota: Si utilizas AWS Route 53, omite el formato de una sola línea con espacios y sigue el método de salto de línea específico de la plataforma que se indica en la sección del proveedor más abajo.)

Paso 4: Verificar el registro DKIM

Una vez que guardes los cambios, espera a que se complete la propagación del DNS en Internet. Aunque suele tardar entre 5 y 30 minutos, en ocasiones puede llegar a tardar hasta 48 horas, dependiendo de la configuración del TTL (Time to Live) de tu zona.

Para asegurarte de que todo funciona correctamente, utiliza la herramienta gratuita de consulta DKIM de PowerDMARC para comprobar que tu registro está publicado y se resuelve correctamente.

Consejo profesional: Si quieres revisar tu trabajo antes de esperar a que se complete la propagación del DNS, copia la cadena final que hayas creado y pégala de nuevo en la herramienta de división de registros DKIM para comprobar que ninguno de los segmentos supera el límite de 255 caracteres.

Si la comprobación se supera, se mostrará la clave criptográfica completa y unificada con el estado «verde». Si se produce un error, comprueba si hay problemas como truncamiento (datos que faltan), la ausencia de un fragmento secundario o errores de sintaxis debidos a comillas sin cerrar.

División de registros DKIM según el proveedor de DNS

Los distintos paneles de control de DNS gestionan las entradas TXT de varias cadenas de forma diferente. A continuación se explica cómo realizar la configuración en las cuatro plataformas más habituales:

AWS Route 53

Amazon Route 53 aplica los límites de forma estricta y devuelve un error «CharacterStringTooLong» si alguna cadena individual carece de comillas o supera los 255 caracteres. Dado que los resolutores de DNS concatenan las cadenas secuenciales sin dejar ningún espacio entre ellas, introducir un espacio literal entre las comillas en una misma línea puede dañar accidentalmente tu clave criptográfica.

• Método de la consola: En el cuadro «Valor» de la consola de Route 53, introduce cada fragmento como una cadena entre comillas en una línea independiente. No dejes ningún espacio al final de la línea. Route 53 interpreta de forma nativa las líneas consecutivas dentro de un mismo cuadro de texto como cadenas distintas dentro de un único registro TXT y las une durante la consulta.
• Método API/JSON: Si implementa la infraestructura mediante código o la API de AWS, estructure la entrada del registro como una matriz JSON en la que cada fragmento sea un elemento independiente de la matriz: [“v=DKIM1…”, “…CHUNK2”].

DNS de Google Cloud

Google Cloud DNS mostrará una advertencia genérica de «datos de registro no válidos» si intentas enviar una cadena larga sin formatear. Para solucionar esto en la interfaz de usuario de Google Cloud Console, no las pegues en una sola línea. En su lugar, envuelve cada fragmento entre comillas dobles y utiliza el botón «Añadir elemento» para generar varios campos de datos secuenciales dentro del mismo conjunto de registros de recursos.

Cloudflare

Cloudflare cuenta con un backend inteligente que analiza automáticamente las cadenas TXT largas al guardarlas, dividiéndolas en segmentos que cumplen con el estándar RFC sin necesidad de intervención por parte del usuario. Sin embargo, confiar en el análisis automático puede dar lugar en ocasiones a casos excepcionales con claves complejas. La mejor práctica de implementación sigue siendo pegar manualmente las cadenas entre comillas y ya divididas directamente en el panel de control de Cloudflare.

cPanel / WHM

Las versiones anteriores del Editor de zonas de cPanel tienen un límite estricto de 255 caracteres en los campos de entrada de texto estándar. Si tu interfaz principal no admite la longitud de la clave, accede al Editor avanzado de zonas DNS. Este modo ampliado ofrece la flexibilidad estructural necesaria para introducir sin problemas campos de datos TXT divididos en varios fragmentos.

Errores habituales al dividir registros DKIM

Si has implementado tu registro dividido pero los verificadores de autenticación están marcando tu dominio, comprueba si se da alguno de estos tres errores de configuración habituales:

1. La firma DKIM falla tras la división

• La causa: se ha insertado accidentalmente un espacio dentro de uno de tus bloques criptográficos base64, en lugar de hacerlo estrictamente entre las comillas de apertura y cierre.
• Solución: Copia la clave sin procesar en un archivo en blanco, elimina por completo todos los espacios en blanco internos de la cadena del valor «p=» y vuelve a realizar el proceso de división.

2. El DNS solo muestra una clave parcial

• La causa: El segundo fragmento se guardó como un registro TXT secundario totalmente independiente en el servidor de tu dominio, en lugar de integrarse en el primer registro.
• Solución: Elimina por completo el registro secundario. Edita tu registro TXT DKIM principal de modo que ambas cadenas entre comillas aparezcan juntas dentro del campo de valor único.

3. El registro supera los 255 caracteres tras la división

• La causa: El punto de división se calculó incorrectamente, lo que provocó que uno de los dos fragmentos superara ligeramente el límite de 255 caracteres (a menudo debido a un recuento incorrecto del prefijo «v=DKIM1;»).
• Solución: Vuelve a dividir el registro exactamente en el carácter 255, o deja que un divisor automático de registros DNS se encargue del recuento por ti.

Cómo afecta la división de DKIM a DMARC

Una preocupación habitual entre los responsables de TI es si la división de una clave pública afecta al modo en que el procesamiento DMARC gestiona los mensajes entrantes.

Cuando un registro DKIM se divide correctamente, se comporta exactamente igual que un registro sin dividir. Dado que los servidores de correo electrónico receptores vuelven a ensamblar los fragmentos en una sola cadena durante las consultas, tus firmas DKIM se validan sin problemas, lo que no afecta a tu alineación DMARC.

Sin embargo, si tu registro dividido tiene un formato incorrecto o está mal estructurado, las consecuencias son inmediatas:

• El servidor de correo electrónico receptor no podrá reconstruir tu clave pública.
• La autenticación DKIM fallará.
• DMARC se verá obligado a basarse por completo en la alineación de tu SPF (Sender Policy Framework).
• Si la coincidencia de tu SPF tampoco es correcta (o si tu política DMARC exige que ambos protocolos coincidan), tus correos electrónicos corporativos legítimos serán desviados a las carpetas de spam o podrían ser rechazados directamente.

Antes de confiar plenamente en la aplicación de tu política DMARC, debes validar tus claves DKIM públicas tras realizar cualquier modificación en el DNS.

Resumen

La división de un registro DKIM es un paso administrativo necesario a la hora de gestionar claves seguras de 2048 bits en proveedores de DNS con requisitos estrictos, como AWS Route 53 o Google Cloud DNS. Se trata de un procedimiento seguro y estándar que resulta fácil de llevar a cabo una vez que se conocen las reglas básicas de formato.

Siempre que actualices tus registros, recuerda las reglas básicas:

• Divide la cadena en el límite de los 255 caracteres.
• Encerra cada fragmento entre comillas dobles.
• Incluye todo en un único registro TXT (separado por un espacio en el caso de los proveedores estándar, o en líneas separadas para interfaces más estrictas como AWS Route 53).

No te quedes a ciegas con el recuento de caracteres y te arriesgues a que el correo electrónico deje de funcionar. Olvídate de los cálculos manuales y formatea tu clave al instante con la herramienta gratuita PowerDMARC DNS Record Splitter, sin necesidad de registrarte.

Preguntas frecuentes

¿Qué es un divisor de registros DNS?

Un divisor de registros DNS es una utilidad diseñada para dividir un registro DNS TXT largo en segmentos individuales de 255 caracteres. Este paso de formateo es necesario para que tus registros se puedan guardar correctamente en proveedores de alojamiento DNS estrictos que no realizan automáticamente la división interna de cadenas. El valor absoluto de tu registro permanece totalmente inalterado; simplemente se formatea en bloques estructurales más cortos que los sistemas receptores vuelven a unir al realizar una consulta.

¿Qué proveedores de DNS requieren la división manual de registros?

Varios proveedores importantes para empresas aplican de forma estricta el límite de 255 caracteres en sus interfaces, lo que obliga a formatear previamente los valores de texto largos antes de guardarlos:

• AWS Route 53: muestra un mensaje de error «CharacterStringTooLong» a menos que las cadenas largas se dividan en bloques separados entre comillas.
• Google Cloud DNS: Rechaza por completo las cadenas largas y continuas, lo que genera una advertencia de «datos de registro no válidos».
• Azure DNS: Requiere dividir y separar manualmente los campos de texto al configurar cadenas directamente a través del panel de control de Azure Portal o de la CLI de Azure.
• DigitalOcean: No divide automáticamente las cadenas de entradas TXT largas en su panel de control web estándar.

¿Por qué tengo que dividir mi registro DKIM?

El principal motivo para dividir un registro TXT es la implementación de una clave pública DKIM de 2048 bits de alta seguridad. Mientras que las claves de 1024 bits son lo suficientemente cortas como para caber en una sola cadena, una clave de 2048 bits contiene, por naturaleza, entre 350 y más de 500 caracteres de datos criptográficos en base64. Dado que la sección 3.3.14 del RFC 1035 limita una cadena continua única a exactamente 255 octetos, estas claves largas deben dividirse en segmentos distintos para que quepan dentro de la arquitectura de almacenamiento estándar del DNS.

¿Al dividir mi registro se modificarán sus datos o se interrumpirá la validación del correo electrónico?

No. Dividir un registro TXT largo no daña ni altera su valor criptográfico. Cuando un servidor de correo receptor solicita la configuración de autenticación de tu dominio, su resolutor DNS lee automáticamente los segmentos divididos y los concatena (fusiona) de nuevo en un valor continuo sin delimitadores. El formato dividido es únicamente un detalle del almacenamiento en el backend; la carga útil evaluada sigue siendo idéntica.

¿Cuál es la diferencia entre los formatos de salida «Quoted» y «Plain»?

• Formato entre comillas (recomendado): Encuadra cada segmento individual de 255 caracteres entre un par de comillas dobles («chunk1» «chunk2»), ya sea separándolos con un espacio en una sola línea o introduciéndolos en campos o líneas de datos secuenciales. Este formato exacto es obligatorio en interfaces estrictas como AWS Route 53 y Google Cloud DNS para evitar la corrupción de claves.
• Formato sin formato: divide las líneas largas en bloques separados sin añadir comillas dobles ni espacios en blanco ni signos de puntuación adicionales. Este formato está pensado para paneles de control modernos que admiten flujos de cadenas sin formato de varias líneas o entornos del sistema BIND (Berkeley Internet Name Domain) autohospedados.

¿Es seguro utilizar esta herramienta con claves confidenciales o registros privados?

Sí. El PowerDMARC DNS Record Splitter se ejecuta íntegramente en tu navegador web local mediante scripts del lado del cliente. Las cadenas de texto que introduzcas nunca salen de tu dispositivo, no se envían datos a través de Internet a servidores de procesamiento externos y no se requieren registros de seguimiento ni registros obligatorios. Además, es importante señalar que la herramienta está diseñada exclusivamente para configuraciones públicas, como claves DKIM públicas, inclusiones SPF, políticas DMARC o registros de verificación de dominio, que ya son de acceso público en la web. Las claves de firma privadas nunca deben pegarse en ninguna herramienta en línea.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• Cómo dividir un registro DKIM - 5 de junio de 2026
• compauth=fail: Explicación de la autenticación compuesta de Microsoft - 1 de junio de 2026
• ¿Es suficiente Windows Defender para la seguridad de las pequeñas empresas? - 14 de mayo de 2026