¿Su DKIM
está correctamente configurado?

Compruebe claves y firmas DKIM en segundos. Verifique selectores, longitud de clave y registros TXT para prevenir spoofing y problemas de entrega.

Introduzca su dominio y (opcionalmente) un selector para validar su configuración DKIM.

Por favor, introduzca un dominio válido.
Debe aceptar antes de realizar el análisis.
Usuario verificando la configuración DKIM en un portátil

Use la herramienta de verificación de registros DKIM de DMARCFlow para identificar y resolver problemas de autenticación de correo

El verificador DKIM de DMARCFlow prueba y verifica la configuración DKIM de su dominio para asegurarse de que está correctamente establecida. Confirma que los correos están firmados con su clave privada y que la firma permanece intacta, garantizando autenticidad e integridad del mensaje.

Compruebe que una clave pública está correctamente publicada bajo un selector y detecte problemas antes de que afecten a la entrega o a la seguridad.

Panel de resultados DKIM
Diagrama que explica la estructura del registro DKIM

¿Qué es un registro DKIM?

Un registro DKIM es una entrada DNS TXT que contiene un selector y una clave pública. El selector apunta a la clave privada que firma los correos; la clave pública permite a los receptores verificar la firma y confirmar la integridad.

Analizar dominio

Ejemplo de un registro DKIM

Ejemplo: mailo es el selector y dmarcflow.online es el dominio. v=DKIM1 marca el tipo de registro, k=rsa el algoritmo de clave, y p=... contiene la clave pública.

Ejemplo de registro DKIM en una interfaz DNS
Ilustración de cómo funciona DKIM

¿Cómo funciona DKIM?

DKIM añade una firma digital a los correos salientes. Su servidor firma con una clave privada; los receptores obtienen su clave pública del DNS y verifican la firma. Las firmas coincidentes indican autenticidad; las discrepancias señalan riesgo. Resultado: mayor reputación y mejor colocación en la bandeja de entrada.

Implementar, gestionar y rotar claves DKIM correctamente

Una lista de verificación rápida para mantener la autenticación sólida y la entregabilidad alta

Use RSA de 2048 bits

Prefiera claves de 2048 bits para mayor seguridad y mejor aceptación por parte de las principales bandejas de entrada.

Publique por selector

Use selectores distintos por flujo de correo (marketing, transaccional) para rotar de forma segura.

Evite claves CNAME

Publique registros TXT directamente a menos que su proveedor requiera un alias gestionado.

Rote regularmente

Introduzca nuevos selectores, actualice los firmantes y luego deprecie las claves antiguas tras la migración.

Cómo interpretar los resultados de su verificación DKIM

Qué significa cada estado de verificación DKIM y qué debe hacer al respecto.

Correcto

La firma DKIM es válida. La clave pública en el DNS coincide con la clave privada que firmó el mensaje y el contenido del correo no ha sido modificado en tránsito. Su configuración DKIM funciona correctamente.

Fallo

La firma no se verificó. El mensaje fue modificado tras la firma, se usó la clave privada incorrecta o la clave pública en el DNS no coincide. Compruebe si el cuerpo o las cabeceras del correo fueron alterados; las listas de correo son una causa frecuente.

Registro no encontrado

No existe ningún registro TXT DKIM en el selector y dominio especificados. El selector es incorrecto, el registro nunca fue publicado o fue eliminado. Verifique el nombre del selector con su proveedor de correo y vuelva a publicar el registro.

Clave demasiado corta

La clave pública tiene menos de 1024 bits. Los estándares modernos requieren al menos claves RSA de 2048 bits. Las claves cortas se consideran débiles y algunos proveedores rechazarán los mensajes firmados con ellas. Rote a una clave de 2048 bits de inmediato.

Discrepancia de firma

La firma está presente pero el hash del cuerpo no coincide. El contenido del correo fue modificado tras la firma; esto ocurre frecuentemente cuando un relay o lista de correo añade un pie de página o modifica cabeceras. Configure su lista de correo para romper la firma DKIM de forma limpia en lugar de corromperla silenciosamente.

Tiempo de espera DNS agotado

La búsqueda DNS del registro DKIM agotó el tiempo de espera. Es un error transitorio, pero si se repite indica un problema de infraestructura DNS. Verifique el estado de su proveedor DNS y compruebe si el registro está publicado con un TTL suficientemente corto.

Fallos comunes de DKIM y cómo corregirlos

Las causas más frecuentes de fallos DKIM en los informes DMARC y sus soluciones.

Selector incorrecto o desconocido

Cada firma DKIM hace referencia a un selector. Si no conoce su selector, consulte la cabecera DKIM-Signature de un correo enviado; la etiqueta s= contiene el nombre del selector.

Corrección: Use el selector de la documentación de su servidor de correo o proveedor. Selectores habituales: google, s1, s2, default, mail.

DKIM pasa pero DMARC sigue fallando

Que DKIM pase no es suficiente para DMARC. El dominio en la etiqueta DKIM d= debe coincidir con el dominio de la cabecera From:. Si su ESP firma con su propio dominio en lugar del suyo, el alineamiento falla.

Corrección: Configure su ESP para que firme con su dominio. La mayoría de las plataformas principales (Mailchimp, HubSpot, SendGrid) admiten la firma DKIM personalizada.

DKIM falla tras el reenvío de correo

Los mensajes reenviados suelen tener su cuerpo modificado (se añaden pies de página, cambia la codificación), lo que rompe el hash del cuerpo DKIM y provoca un fallo. Esto es un comportamiento esperado; no es culpa suya.

Corrección: Use canonicalización relajada (c=relaxed/relaxed) que tolera cambios menores de espacios en blanco. En escenarios de reenvío, DMARC seguirá pasando si el alineamiento SPF se mantiene.

La rotación de claves interrumpió la firma DKIM

Al rotar las claves DKIM, el selector antiguo se elimina del DNS antes de que el servidor de correo haya cambiado a la nueva clave, o el nuevo registro DNS aún no se ha propagado.

Corrección: Publique siempre primero el nuevo selector, espere la propagación DNS (hasta 48 horas) y luego cambie el servidor de correo para que firme con la nueva clave. Solo entonces retire el selector antiguo.

Preguntas frecuentes

Preguntas habituales sobre DKIM y DMARCFlow

¿Preguntas? ¡Tenemos respuestas!

DKIM utiliza firmas criptográficas para demostrar que un mensaje no fue alterado en tránsito y que provino de un servidor autorizado por su dominio.

Genere un par de claves, configure su sistema de correo para firmar mensajes con la clave privada y publique la clave pública en el DNS en selector._domainkey.example.com.

Un selector identifica qué clave usar. Es parte del nombre DNS y le permite rotar claves sin tiempo de inactividad.

Ofrecen mayor protección y son ampliamente recomendadas por los proveedores de buzones para una mejor seguridad y entregabilidad.

DMARC ayuda a proteger su dominio del uso no autorizado verificando que los correos entrantes se alineen con sus registros SPF y DKIM.

Al garantizar que sus registros SPF, DKIM y DMARC estén correctamente configurados, DMARCFlow ayuda a que los correos legítimos lleguen a las bandejas de entrada mientras bloquea los sospechosos.

Sí; instrucciones claras e información práctica le guían incluso sin experiencia técnica.

Sí; las herramientas básicas como las búsquedas de registros y el análisis básico son de uso gratuito.

Suplantación de identidad por correo, phishing y fraudes relacionados; autenticando el origen de sus mensajes.