Cuando un servidor de correo receptor valida una firma DKIM, necesita obtener la clave pública que coincide con la firma. Pero un dominio puede publicar muchas claves DKIM a la vez —para distintos proveedores de correo electrónico, distintos departamentos o distintos ciclos de rotación. El selector DKIM es el mecanismo que indica al servidor receptor exactamente qué clave debe buscar. Comprender los selectores es esencial para cualquier persona que gestione la autenticación del correo electrónico, depure fallos de entrega o planifique una rotación de claves.

¿Qué es un selector DKIM?

Un selector DKIM es una cadena corta —elegida por usted o su proveedor de correo electrónico— que forma parte del nombre DNS bajo el cual se publica la clave pública DKIM. Actúa como una etiqueta que identifica de manera única una clave particular dentro de un dominio.

El registro DNS que contiene la clave pública siempre se publica en la siguiente ubicación:

selector._domainkey.example.com

Por ejemplo, si su selector es google y su dominio es example.com, la clave pública se encuentra en:

google._domainkey.example.com

Puede verificarlo manualmente con una consulta DNS:

dig TXT google._domainkey.example.com

La respuesta contendrá un registro TXT que comienza con v=DKIM1, seguido del tipo de clave (k=rsa o k=ed25519) y la clave pública codificada en Base64 (p=...). Si el registro falta o la clave no coincide con la firma, la verificación DKIM falla.

Cómo funcionan los selectores DKIM

Cuando su servidor de correo o proveedor de servicios de correo electrónico envía un mensaje, firma el correo electrónico con una clave privada e inserta un encabezado DKIM-Signature. Ese encabezado incluye, entre otros campos:

  • d= — el dominio firmante (p. ej., example.com)
  • s= — el selector (p. ej., google)
  • h= — la lista de encabezados que fueron firmados
  • b= — la propia firma criptográfica

Cuando un servidor de correo receptor recibe el mensaje:

  1. Lee los valores d= y s= del encabezado DKIM-Signature.
  2. Construye el nombre DNS s._domainkey.d; por ejemplo, google._domainkey.example.com.
  3. Obtiene el registro TXT de DNS y extrae la clave pública.
  4. Usa esa clave pública para verificar la firma criptográfica del encabezado.
  5. Si la firma es válida y el dominio se alinea con el encabezado From:, la alineación DKIM de DMARC pasa.

El selector es el puente entre la firma del correo electrónico y la clave en DNS. Sin él, un receptor no tendría forma de saber cuál de las potencialmente muchas claves publicadas usar para la verificación.

Nombres de selectores comunes

Los selectores pueden ser cualquier cadena, pero los proveedores de servicios de correo electrónico suelen usar valores predecibles. Conocer los más comunes ayuda cuando necesita diagnosticar rápidamente un fallo DKIM.

Proveedor Selector(es) típico(s)
Google Workspace google
Microsoft 365 selector1, selector2
Mailchimp / Mandrill k1, k2
SendGrid s1, s2
Amazon SES Cadenas de estilo UUID aleatorio
Personalizado / autoalojado default, mail, dkim

Microsoft 365 es un ejemplo notable de un proveedor que utiliza dos selectores por diseño —selector1 y selector2— para admitir una rotación de claves fluida. En un momento dado, un selector está activo para la firma mientras que el otro está publicado pero aún no en uso.

Por qué importan los selectores múltiples

Un único dominio a menudo envía correo electrónico a través de varios servicios independientes: un servidor de correo principal, una plataforma de automatización de marketing, un proveedor de correo electrónico transaccional y quizás un sistema de gestión de tickets de soporte. Cada uno de estos puede usar una clave DKIM diferente —y por lo tanto un selector diferente.

Hay tres razones principales para mantener múltiples selectores:

  • Diferentes servicios de envío. Cada ESP o sistema de correo firma con su propia clave privada. La clave pública correspondiente debe publicarse en un selector único para que los receptores puedan verificar las firmas de cada servicio de forma independiente.
  • Rotación de claves. Cuando se rota una clave DKIM, es necesario que la clave antigua permanezca válida el tiempo suficiente para que los mensajes en tránsito sean entregados y verificados. Un segundo selector permite publicar la nueva clave antes de retirar la antigua, sin ningún período sin cobertura de autenticación.
  • Despliegue en paralelo. Durante una migración de un ESP a otro, o cuando se prueba una nueva configuración de firma, ejecutar dos selectores en paralelo permite validar la nueva configuración sin interrumpir los flujos de correo existentes.

Dado que los selectores son registros DNS independientes, no hay límite en cuántos puede publicar simultáneamente. Cada uno se asigna a un par de claves distinto y puede añadirse, reemplazarse o eliminarse sin afectar a los demás.

Cómo consultar un selector DKIM

Hay dos enfoques comunes para consultar un selector DKIM de un dominio.

Uso de herramientas de línea de comandos. Si ya conoce el nombre del selector, use dig o nslookup para consultar el registro DNS directamente:

dig TXT selector._domainkey.example.com
nslookup -type=TXT selector._domainkey.example.com

Una respuesta exitosa incluye un registro TXT que contiene v=DKIM1 y un campo p= con la clave pública codificada en Base64. Una respuesta vacía o NXDOMAIN significa que el selector no existe en DNS.

Uso del verificador DKIM de DMARCFlow. Si no sabe qué selector está activo, el enfoque más sencillo es usar el verificador DKIM de DMARCFlow. Introduzca su dominio y la herramienta sondeará los selectores comunes y mostrará los detalles de clave, la validez y el algoritmo para cada uno encontrado. También puede recuperar el selector directamente desde el encabezado del mensaje: busque el encabezado DKIM-Signature en un correo electrónico enviado y lea el valor s=.

Mejores prácticas de rotación de claves DKIM

La rotación periódica de las claves DKIM reduce el riesgo de que una clave privada comprometida pueda usarse indefinidamente para falsificar firmas. La mayoría de los marcos de seguridad recomiendan rotar al menos una vez al año; las organizaciones con requisitos de seguridad más estrictos suelen rotar cada 90 días.

La secuencia correcta para una rotación segura es:

  1. Genere el nuevo par de claves. Cree una nueva clave privada y su clave pública correspondiente. Asígnele un nuevo nombre de selector (p. ej., incremente de s1 a s2, o use un nombre basado en la fecha como 2026q2).
  2. Publique el nuevo selector en DNS. Añada el nuevo registro TXT en new-selector._domainkey.example.com. No cambie todavía su servidor de correo para firmar con la nueva clave.
  3. Espere la propagación de DNS. Establezca el TTL del nuevo registro en un valor bajo (300–600 segundos) antes de la publicación para permitir una propagación rápida. Espere al menos la duración del TTL —normalmente de 5 a 15 minutos— antes de continuar.
  4. Cambie la firma a la nueva clave. Actualice su servidor de correo o la configuración del ESP para firmar los mensajes salientes con la nueva clave privada y referencie el nuevo selector en el encabezado DKIM-Signature.
  5. Mantenga el selector antiguo activo. Deje el registro DNS del selector antiguo publicado durante al menos 48 horas (preferiblemente 7 días) después del cambio. Los mensajes que fueron firmados con la clave antigua y aún están en tránsito necesitan la clave pública antigua para verificarse correctamente.
  6. Elimine el selector antiguo. Una vez que esté seguro de que ningún mensaje en tránsito referencia el selector antiguo, elimine el registro TXT DNS antiguo y revoque o destruya de forma segura la antigua clave privada.

La ventana de publicación doble —el período en que tanto el selector antiguo como el nuevo están activos en DNS— es la fase más crítica. Eliminar el registro antiguo demasiado pronto provocará fallos DKIM en los mensajes que fueron firmados antes del cambio pero entregados después.

Cómo ayuda DMARCFlow

Los problemas con los selectores DKIM se manifiestan en los informes agregados DMARC como resultados DKIM fallidos o como registros donde la alineación DKIM no pasa. DMARCFlow analiza cada informe DMARC y proporciona información detallada por registro sobre los resultados DKIM, lo que facilita la identificación de problemas relacionados con los selectores.

  • Seguimiento de resultados DKIM. DMARCFlow muestra el resultado de autenticación DKIM —pass, fail, neutral, temperror o permerror— para cada fuente de envío en sus informes DMARC. Un aumento repentino en los fallos DKIM a menudo indica un selector que fue eliminado demasiado pronto durante una rotación, o un nuevo ESP que aún no ha sido configurado con una clave válida.
  • Información sobre la alineación. Un DKIM pass es necesario pero no suficiente para DMARC. El dominio autenticado en la etiqueta d= también debe alinearse con el dominio del encabezado From:. DMARCFlow evalúa la alineación para cada registro y señala claramente los casos en que DKIM pasa pero la alineación falla —el síntoma típico de un ESP de terceros que firma con su propio dominio en lugar del suyo.
  • Detección de selectores ausentes. Cuando un remitente aparece en sus informes DMARC con un resultado DKIM de none o permerror, DMARCFlow muestra esa fuente para que pueda investigar si el selector falta en DNS, está mal configurado o simplemente no ha sido configurado para ese servicio de envío.
  • Puntuación de seguridad y seguimiento de madurez. La alineación DKIM es una contribución directa a la puntuación de seguridad de su dominio y al nivel de madurez DMARC en DMARCFlow. Los problemas de selector que reducen su tasa de aprobación DKIM se reflejan inmediatamente en su puntuación, y el motor de recomendaciones le indica exactamente qué remitentes debe corregir.
Verifique sus selectores DKIM de forma gratuita
Busque los selectores activos, verifique las claves públicas e identifique registros DKIM ausentes o mal configurados en segundos.
Verificar su DKIM

Conclusión

Los selectores DKIM son una pieza pequeña pero crítica del sistema de autenticación del correo electrónico. Hacen posible publicar múltiples claves DKIM para un único dominio, lo que permite la compatibilidad con varios servicios de envío al mismo tiempo y proporciona un camino seguro para la rotación de claves. Sin un selector válido en DNS, la verificación DKIM falla —y un fallo DKIM significa un mecanismo menos disponible para pasar DMARC.

Los problemas más comunes relacionados con los selectores —un registro ausente, una clave caducada dejada en su lugar, o un ESP que firma con el dominio incorrecto— producen patrones que son visibles en los informes agregados DMARC. Supervisar esos informes de forma consistente es la forma más rápida de detectar problemas de selectores antes de que afecten a la entregabilidad.

DMARCFlow le proporciona esa visibilidad de forma automática. Analiza sus informes DMARC, clasifica cada resultado DKIM por resultado y alineación, y muestra recomendaciones procesables para que pueda mantener sus selectores en buen estado y su autenticación de correo electrónico sólida.