Diagnóstico de DNS y autenticación del correo — y la solución.

DKIM Búsqueda DKIM

Busca el registro de clave pública DKIM de un dominio, analiza cada etiqueta, y ve los pasos de configuración específicos para tu proveedor.

?
Un selector DKIM es una etiqueta corta que tu proveedor de correo elige para identificar qué clave DKIM usar — por ejemplo google, selector1 o k1. El registro DNS completo está en <selector>._domainkey.<tudominio>. Deja este campo vacío y sondearemos automáticamente los selectores comunes.

Deja el selector vacío para sondear en paralelo una veintena de selectores comunes (Google, Microsoft 365, Mailgun, SendGrid, Fastmail, Proton, etc.).

Configuración DKIM — guía por proveedor

Las claves DKIM las genera tu proveedor de correo, no se construyen a partir de un formulario. Elige el tuyo abajo para una configuración paso a paso.

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) es una forma de firmar criptográficamente el correo saliente para que los destinatarios puedan verificar que el mensaje realmente proviene de tu dominio y no fue modificado en tránsito.

Tu proveedor de correo posee una clave privada y firma cada mensaje saliente con ella. Publica la clave pública correspondiente en tu DNS como un registro TXT en <selector>._domainkey.<tudominio>. Los destinatarios obtienen esa clave pública, verifican la firma en los encabezados del mensaje y deciden si el mensaje es auténtico.

Qué verifica esta herramienta

  • Si existen registros DKIM en los selectores comunes (o en un selector que especifiques)
  • El contenido completo del registro y un desglose de cada etiqueta
  • El tamaño aproximado de la clave RSA (las claves de 1024 bits están por debajo de la mejor práctica actual)
  • Los algoritmos de hash permitidos (SHA-1 está obsoleto; SHA-256 es el estándar)
  • El indicador de modo de prueba y las señales de clave revocada
  • Si la clave pública se analiza como una clave válida codificada en base64

¿Qué es un selector?

Un selector es una etiqueta arbitraria que tu proveedor de correo elige para identificar una clave DKIM concreta. Permite a un proveedor tener varias claves activas a la vez (para la rotación) y te permite tener claves distintas para servicios distintos. El nombre completo del registro DNS es <selector>._domainkey.<tudominio>.

Selectores comunes por proveedor:

  • Google Workspace: google
  • Microsoft 365: selector1 y selector2 (registros CNAME, no TXT)
  • Fastmail: fm1, fm2, fm3
  • Proton Mail: protonmail, protonmail2, protonmail3
  • Zoho: normalmente zoho o un nombre personalizado
  • Mailchimp: k1, k2
  • Mailgun: un selector personalizado que tú defines (a menudo mailo)
  • SendGrid: s1, s2

Problemas DKIM comunes

Clave revocada (p= vacío)

Si la etiqueta p= está vacía, el selector está marcado explícitamente como revocado. Cualquier firma que use este selector se tratará como no válida. Esto suele ocurrir cuando un proveedor rota las claves pero el registro del selector antiguo no se elimina.

Claves RSA de 1024 bits

Las claves de 1024 bits eran el valor predeterminado original de DKIM, pero ahora están por debajo de la mejor práctica actual. Los grandes proveedores se han pasado a 2048 bits. Algunos destinatarios (incluido Gmail) registran activamente advertencias para el DKIM de 1024 bits. La mayoría de los proveedores permiten regenerar con 2048 bits desde su interfaz de administración.

SHA-1 en h=

SHA-1 está criptográficamente roto y obsoleto para DKIM. Si tu registro anuncia h=sha1, cámbialo a h=sha256 (o elimina la etiqueta h= por completo para que se aplique el valor predeterminado).

Modo de prueba (t=y)

El indicador t=y dice a los destinatarios «esto está en modo de prueba — no trates los fallos DKIM como fallos reales». Quítalo una vez que tengas la confianza de que DKIM funciona. Dejarlo en producción debilita la aplicación de DMARC.

Preguntas frecuentes

¿Cómo encuentro mi selector si aún no lo conozco?

Consulta la interfaz de administración de tu proveedor de correo en «Autenticación de correo» o «DKIM» — mostrarán el nombre de host que quieren que publiques, que contiene el selector. Como alternativa, envíate un mensaje de prueba y examina el encabezado DKIM-Signature — el campo s= es el selector.

¿Puedo tener varios registros DKIM?

Sí — ese es justamente el propósito de los selectores. Cada selector es su propio registro TXT en un nombre único, así que puedes tener un selector de Google, uno de Mailgun y uno de SendGrid firmando todos el correo del mismo dominio a la vez.

¿Por qué los registros de Microsoft 365 son CNAME y no TXT?

Microsoft aloja la clave DKIM real por ti y usa registros CNAME para apuntar los selector1._domainkey y selector2._domainkey de tu dominio a su infraestructura. Esto permite a Microsoft rotar las claves entre bastidores sin que tengas que actualizar el DNS.

¿Cuánto tarda DKIM en empezar a funcionar?

Después de publicar el registro DNS, DKIM normalmente empieza a firmar y verificar en menos de una hora (según el TTL de tu DNS). Algunos proveedores (Amazon SES, Microsoft 365) tienen un paso adicional en la interfaz de administración para activar DKIM tras detectar los registros — asegúrate de haberlo hecho.

¿Necesito DKIM si ya tengo SPF?

Sí. SPF autentica la dirección IP del servidor que se conecta; DKIM autentica el contenido del mensaje mediante una firma. Cubren superficies de ataque distintas — SPF no sobrevive al reenvío, DKIM sí. DMARC exige que al menos uno de ellos pase con alineación de dominio, pero la entregabilidad real es mejor con ambos.

¿Puedo rotar mis claves DKIM?

Sí, y deberías hacerlo periódicamente. La mayoría de los proveedores permiten generar una nueva clave con un nuevo selector, dejar ambas activas durante un periodo de transición, y luego revocar la antigua (poner su p= vacío). El NIST recomienda rotar al menos una vez al año.

¿Quieres el panorama completo? Ejecuta una verificación de dominio completa →