¿Qué es un Registro DKIM?
Un registro DKIM (DomainKeys Identified Mail) es un registro DNS TXT que contiene una clave criptográfica pública utilizada para verificar la autenticidad de los emails. Cuando se envía un email, el servidor agrega una firma digital usando una clave privada. El servidor receptor consulta la clave pública en DNS para validar esa firma.
DKIM garantiza que el contenido del email no fue alterado durante el tránsito y que el mensaje realmente fue enviado por el dominio indicado. Esto es esencial para prevenir ataques de phishing y spoofing. Junto con SPF y DMARC, DKIM forma el trío de autenticación de email.
El registro DKIM se publica en selector._domainkey.dominio.com, donde el selector identifica qué clave usar. Un dominio puede tener múltiples selectores — uno para cada servicio de correo (Google Workspace, Microsoft 365, etc.).
Cómo Verificar Registro DKIM (3 Métodos)
Verificar los registros DKIM es esencial para garantizar que sus claves están configuradas correctamente y que los emails se están autenticando. Existen tres métodos principales para verificar registros DKIM.
Ingrese cualquier dominio arriba y haga clic en 'Check DKIM'. La herramienta detecta automáticamente selectores comunes (google, default, selector1, etc.), recupera el registro DKIM, analiza todas las etiquetas, verifica tipo y tamaño de clave, y ejecuta 10 verificaciones de validación con puntuación de salud.
En Mac/Linux use: dig selector._domainkey.dominio.com TXT +short. En Windows: nslookup -type=txt selector._domainkey.dominio.com. Necesita conocer el selector — revise los encabezados de un email enviado (campo DKIM-Signature, parámetro s=).
Abra un email enviado, visualice los encabezados completos y busque 'DKIM-Signature'. El campo s= muestra el selector y d= muestra el dominio. Verifique también los resultados 'Authentication-Results' para ver si DKIM pasó o falló.
Etiquetas de Registro DKIM — Referencia Completa
Un registro DKIM contiene diversas etiquetas que definen cómo funciona la verificación. Comprender cada etiqueta ayuda a configurar y diagnosticar problemas de autenticación DKIM.
Nuestro verificador DKIM analiza todas las etiquetas automáticamente y proporciona descripciones detalladas.
v= (Versión)
Debe ser 'DKIM1'. Identifica el registro como un registro de clave pública DKIM. Obligatorio.
k= (Tipo de Clave)
Algoritmo criptográfico: 'rsa' (predeterminado) o 'ed25519'. RSA 2048-bit es el más común. Ed25519 es más moderno y eficiente.
p= (Clave Pública)
La clave pública codificada en Base64. Obligatorio. Si está vacío (p=), la clave fue revocada y las firmas con este selector son inválidas.
t= (Flags)
Flags opcionales: 't=y' indica modo de prueba (fallos DKIM tratados como no firmados), 't=s' exige correspondencia exacta de dominio.
h= (Hash)
Algoritmos hash aceptados: 'sha256' (recomendado), 'sha1' (obsoleto). sha256 es el predeterminado y debe ser utilizado.
s= (Tipo de Servicio)
Tipo de servicio: '*' para todos (predeterminado) o 'email' para restringir solo a email. La mayoría de los dominios usa el predeterminado '*'.
Las 10 Verificaciones de Validación DKIM
Nuestro verificador DKIM ejecuta 10 verificaciones exhaustivas para evaluar la salud completa de su registro DKIM. Cada verificación se clasifica como aprobado, advertencia o fallo.
Las verificaciones cubren desde la existencia del registro hasta la fortaleza de la clave criptográfica y el estado del modo de prueba.
Registro DKIM encontrado — Verifica si el registro existe en DNS para el selector especificado
Formato de registro válido — Confirma que el registro sigue la sintaxis correcta del estándar DKIM
Versión presente (v=DKIM1) — Valida que la etiqueta de versión está presente y es correcta
Clave pública presente (p=) — Verifica que la clave pública está incluida y no está vacía
Tipo de clave (k=rsa o ed25519) — Confirma que el algoritmo criptográfico es compatible
Tamaño de clave adecuado — Verifica que la clave RSA tenga al menos 2048-bit para seguridad
Clave no revocada — Confirma que p= no está vacío (clave revocada)
Modo de prueba desactivado — Verifica que t=y no está presente en producción
Algoritmo hash seguro — Confirma que sha256 es compatible (no solo sha1)
Registro no duplicado — Verifica que no hay múltiples registros DKIM en conflicto
Buenas Prácticas de DKIM
Siga estas buenas prácticas para garantizar una configuración DKIM robusta y segura. Los problemas de DKIM pueden causar fallos de autenticación y afectar la entregabilidad de sus correos electrónicos.
El monitoreo regular con nuestro verificador DKIM ayuda a detectar problemas antes de que afecten la entrega de emails.
Use claves RSA de al menos 2048-bit — Las claves de 1024-bit son consideradas débiles y pueden ser rechazadas
Rote claves DKIM cada 6-12 meses para mantener la seguridad
Use selectores descriptivos por servicio (ej: google, mailchimp, sendgrid) para facilitar la gestión
Elimine el flag t=y (modo de prueba) después de confirmar que DKIM funciona correctamente
Configure DKIM para todos los servicios que envían email por su dominio
Combine DKIM con [SPF](/spf-checker) y [DMARC](/dmarc-checker) para protección completa
Monitoree los resultados de autenticación en los encabezados de email regularmente
Revoque claves antiguas (p=) después de una rotación exitosa
SPF vs DKIM vs DMARC — Autenticación de Email Explicada
SPF, DKIM y DMARC trabajan juntos para formar un sistema completo de autenticación de email. Cada protocolo cubre un aspecto diferente de la seguridad.
El SPF (Sender Policy Framework) verifica si el servidor que envió el email está autorizado por el dominio. El DKIM (DomainKeys Identified Mail) agrega una firma criptográfica para verificar que el contenido no fue alterado. El DMARC (Domain-based Message Authentication, Reporting and Conformance) une SPF y DKIM, definiendo la política para emails que fallan la autenticación.
Para máxima protección, configure los tres protocolos. Use nuestro verificador SPF y verificador DMARC para verificar la configuración completa de su dominio. También puede probar la conectividad del servidor con el test SMTP.
SPF — Autorización de Servidor
Verifica si la IP del servidor está autorizada para enviar email por el dominio. Protege contra spoofing de sobre.
DKIM — Integridad del Mensaje
Agrega firma criptográfica al email. Garantiza que el contenido no fue modificado durante el tránsito.
DMARC — Política e Informes
Define qué hacer cuando SPF o DKIM fallan (monitorear, cuarentena, rechazar). Habilita informes de autenticación.
Herramientas Relacionadas de Email y DNS
Explore nuestras otras herramientas gratis para verificación completa de email y DNS.
Valide registros SPF y verifique el conteo de DNS lookups de su dominio
Analice la política DMARC, modos de alineación y URIs de informes
Cree registros DMARC personalizados con política, informes y alineación
Pruebe la conectividad y configuración de su servidor SMTP en tiempo real
Verifique registros BIMI y visualice el logotipo de marca en el email
Consulte registros MX para verificar el enrutamiento de email del dominio