DKIM es el registro de autenticación de correo que se siente más misterioso, porque involucra criptografía. Pero la idea es simple: tu proveedor de correo firma cada mensaje que envías, y cualquiera que lo reciba puede verificar esa firma contra una clave pública que publicas en el DNS. Esta guía explica cómo funciona eso, qué es un selector y cómo encontrar y rotar tus claves.

Qué hace DKIM

DKIM (DomainKeys Identified Mail) demuestra dos cosas sobre un mensaje: que de verdad provino de tu dominio, y que no se alteró entre el envío y la entrega. Lo hace con una firma digital añadida a los encabezados del mensaje, invisible para quien lee, pero verificada por el servidor receptor.

Cómo funciona la firma

DKIM usa un par de claves pública/privada:

• La clave privada reside con tu proveedor de correo y nunca se comparte. Cuando envías un mensaje, el proveedor calcula una firma sobre los encabezados y el cuerpo del mensaje usando esta clave, y la agrega como un encabezado DKIM-Signature.
• La clave pública se publica en tu DNS como un registro TXT. Cualquiera puede leerla.

Cuando un servidor receptor recibe tu mensaje, lee el encabezado DKIM-Signature, obtiene tu clave pública del DNS y la usa para verificar la firma. Si las matemáticas cuadran, el mensaje es auténtico y no fue modificado. Si tan solo un byte del contenido firmado cambió en tránsito, la verificación falla.

Qué es un selector

Un dominio suele necesitar más de una clave DKIM: distintos proveedores, o claves vieja y nueva durante una rotación. El selector es la etiqueta que indica cuál clave usar. Aparece en la firma y apunta a dónde vive la clave pública en el DNS, en:

selector._domainkey.yourdomain.com

Así que un mensaje firmado con el selector google para example.com le indica al receptor que obtenga la clave de google._domainkey.example.com. Cada proveedor usa sus propios nombres de selector: Google usa google, Microsoft 365 usa selector1 y selector2, y muchos remitentes masivos usan uno personalizado.

Qué contiene un registro DKIM

El registro TXT publicado guarda la clave pública y algunas opciones. Un registro típico se ve así:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQ...

• v=DKIM1 — la versión.
• k=rsa — el tipo de clave (RSA es el estándar).
• p= — la clave pública en sí, como una cadena base64 larga. Un p= vacío significa que la clave fue revocada.

Por qué DKIM importa más que SPF para el correo reenviado

Como la firma DKIM viaja dentro del mensaje, sigue verificándose incluso cuando el correo se reenvía, a diferencia de SPF, que se rompe en el momento en que un servidor que reenvía se convierte en el nuevo remitente. Esa resiliencia es la razón por la que la alineación de DMARC mediante DKIM suele ser más confiable que mediante SPF, y por la que siempre deberías habilitar DKIM, no solo SPF.

Rotar tus claves

Una buena práctica es rotar las claves DKIM periódicamente (muchos proveedores lo hacen de forma automática). La rotación funciona sin problemas gracias a los selectores: publicas una clave nueva bajo un selector nuevo, cambias la firma a ella, y una vez que ningún correo en tránsito dependa de la clave vieja, la eliminas. Como cada clave tiene su propio selector, la vieja y la nueva pueden coexistir sin tiempo de inactividad.

Problemas comunes de DKIM

• DKIM nunca habilitado. Muchos proveedores no firman de forma predeterminada: tienes que activarlo y publicar la clave.
• Clave publicada incorrectamente. Una clave larga partida mal, o pegada con espacios sueltos, no validará.
• Selector equivocado o desconocido. Si no encuentras tu registro, probablemente estés buscando bajo el selector equivocado.
• Clave revocada (p= vacío). La firma se desactivó o la clave se retiró.

Encuentra y verifica tu registro DKIM

Usa la búsqueda de DKIM para localizar tu clave —prueba los selectores que usan los principales proveedores— y la revisión completa del dominio para ver DKIM junto a SPF y DMARC. ¿Nuevo en todo esto? Empieza con SPF, DKIM y DMARC explicados.