El problema del selector DKIM que bloquea a todo el mundo#

Acabas de configurar la autenticación de email para tu dominio. Has configurado SPF (sencillo). Has configurado DMARC (te ha llevado una hora, pero lo has conseguido). Ahora tienes que añadir DKIM.

Tu proveedor de email dice: "Añade los registros DKIM para el selector [algo]." Pero no te dice explícitamente cuál es ese selector. Tienes que:

Bucear en su documentación (que puede no existir)
Revisar tu panel de administración (que puede no mostrarlo)
Buscar en Google "¿Cuál es mi selector DKIM?"
Probar los más comunes a mano: default, google, selector1, s1, k1, mandrill...
Comprobar el DNS para cada uno: default._domainkey.tudominio.com, google._domainkey.tudominio.com, etc.
Esperar acertar antes de rendirte

Este proceso lleva entre 3 y 8 horas para algunos usuarios. Otros nunca lo descifran y su DKIM se queda sin configurar.

Tres horas para encontrar un único registro DNS. No debería ser tan difícil.

Esta guía explica qué son los selectores DKIM, por qué los proveedores de email lo hacen tan confuso y cómo herramientas modernas como el escáner DKIM de Nova Uptime encuentran tus registros en segundos.

¿Qué es un selector DKIM y por qué existe?#

Selectores DKIM explicados de forma sencilla#

Un selector DKIM es una etiqueta que identifica qué clave de firma DKIM usar.

Piénsalo así: un dominio puede tener varios servicios de email, cada uno con su propia clave de firma. Los selectores DKIM te permiten tener varias claves activas simultáneamente:

default._domainkey.yourdomain.com  → Key A (your mail server)
google._domainkey.yourdomain.com   → Key B (Google Workspace)
sendgrid._domainkey.yourdomain.com → Key C (SendGrid)
mailgun._domainkey.yourdomain.com  → Key D (Mailgun)

Cada servicio firma los emails con su propia clave privada. Los servidores receptores verifican cada firma contra la clave pública correspondiente en el DNS.

¿Por qué varios selectores?

Imagina que quieres migrar de SendGrid a Mailgun. Si eliminas el selector DKIM de SendGrid de inmediato, los emails en tránsito firmados con la clave de SendGrid fallarán la verificación. Manteniendo ambos selectores activos durante la migración, tanto los emails antiguos como los nuevos se autentican correctamente.

Cómo funcionan los selectores DKIM: el flujo completo#

Tu proveedor de email genera un par de claves:
- Clave privada (que mantienen en secreto en su servidor)
- Clave pública (que tú publicas en el DNS)
Te dicen el nombre del selector (con suerte, claramente; a menudo no)
Publicas la clave pública en el DNS en selector._domainkey.yourdomain.com
Cuando envías un email:
- El servidor del proveedor firma el email con la clave privada
- La firma se añade a las cabeceras del email: DKIM-Signature: v=1; a=rsa-sha256; s=google; d=yourdomain.com; bh=...
- El email se envía
Cuando el servidor receptor recibe el email:
- Extrae el selector de la cabecera de la firma: s=google
- Busca la clave pública: google._domainkey.yourdomain.com
- Verifica la firma con esa clave pública
- Si la firma es válida, DKIM pasa

La parte crítica: El selector en la cabecera del email (s=google) DEBE coincidir con el selector en el DNS (google._domainkey.yourdomain.com). Incluso una diferencia de un solo carácter hace que la autenticación falle.

Por qué los proveedores de email lo hacen tan confuso#

Pensarías que los proveedores te dirían claramente: "Tu selector DKIM es sendgrid." Normalmente no lo hacen. Esta es la razón:

Razón 1: Selectores diferentes para situaciones diferentes#

Algunos proveedores usan selectores distintos según la configuración:

SendGrid:

Selector por defecto: sendgrid
Pero si usas un dominio remitente con marca: un selector generado aleatoriamente como s1234567890
Los usuarios configuran un selector y, más tarde, añaden otro dominio de envío sin saber que tiene un selector distinto

Google Workspace:

El selector está fijo: google
Pero algunos usuarios ven s0, s1, s2 según el método de configuración

Zoho Mail:

El selector depende de la configuración: zl1234567 (donde los números son únicos por dominio)
No está documentado en un sitio obvio

Mailgun:

Tú eliges el selector al crear el registro DKIM
Por defecto es k1, pero puedes llamarlo como quieras: mail, bounce, my-custom-key
Los usuarios olvidan lo que eligieron

Razón 2: La documentación está oculta o desactualizada#

Busca "SendGrid DKIM selector" y obtienes:

Una página de documentación de 2015 (con capturas de la UI desactualizadas)
Un artículo de ayuda sobre "branded links" en lugar de selectores DKIM
Posts de foros de 2018 con respuestas distintas
Documentación oficial que dice "ve a Settings > API Keys > DKIM" (pero no está ahí)

Razón 3: Los paneles de administración no lo muestran con claridad#

Cuando entras al panel de administración de Gmail y buscas DKIM, ves:

Status: Not set up
[Set up DKIM]

Haz clic en "Set up DKIM" y obtienes:

DKIM is enabled for your domain.
[Show DNS records]

El selector está enterrado en el registro DNS que te muestran: tienes que extraerlo tú mismo. La mayoría de los usuarios no lo hace.

Razón 4: Varios selectores complican aún más las cosas#

Si has usado varios proveedores de email a lo largo del tiempo:

Selector antiguo de SendGrid: sendgrid (en el DNS, pero ya sin uso)
Selector actual de Mailgun: k1 (activo)
Selector del buzón de respaldo: mail (en el DNS para recuperación ante desastres)

Los usuarios no recuerdan cuál es cuál. Cuando ejecutan una comprobación DKIM, ven tres selectores y piensan que algo va mal.

El proceso tradicional para descubrir selectores DKIM (horas de dolor)#

El método manual: probar y ver#

La mayoría de la gente encuentra los selectores DKIM así:

Paso 1: Leer la documentación

Busca en los docs de tu proveedor: "DKIM selector"
Pasa 30 minutos leyendo
Encuentra una frase: "Los registros DKIM se almacenan en s._domainkey.domain.com"
Ninguna claridad sobre qué es realmente s

Paso 2: Revisar tu panel de administración

Ve a la configuración del proveedor de email
Busca "DKIM" o "DNS records"
Si encuentras los registros DNS, hazles una captura
Intenta encontrar el selector ahí dentro

Paso 3: Probar selectores comunes a mano

Comprueba el DNS para default._domainkey.yourdomain.com
Comprueba el DNS para selector1._domainkey.yourdomain.com
Comprueba el DNS para google._domainkey.yourdomain.com
Comprueba el DNS para s1._domainkey.yourdomain.com
Comprueba el DNS para mail._domainkey.yourdomain.com

Paso 4: Preguntar en foros

Busca en StackOverflow: "How do I find my DKIM selector?"
Encuentras respuestas contradictorias
Pasas 2 horas más probando cada una

Tiempo total: 3-8 horas para algo que debería llevar 30 segundos.

Por qué falla este proceso manual#

Erratas: te saltas un selector porque lo has escrito mal
Caché DNS: no ves resultados porque el TTL no ha expirado
Varios selectores: encuentras el selector 1 y asumes que es ese, perdiéndote el selector 2
Nivel de dominio incorrecto: compruebas _domainkey.yourdomain.com en lugar de selector._domainkey.yourdomain.com
El proveedor cambió el selector: encuentras documentación antigua que hace referencia a un selector obsoleto

La solución moderna: detección automática del selector DKIM#

El Email Health Checker de Nova Uptime resuelve esto con detección automática del selector DKIM:

Cómo Nova Uptime detecta los selectores DKIM#

En lugar de adivinar 50 selectores uno a uno, Nova Uptime:

Escanea 50 selectores comunes en paralelo
- Comunes para los grandes proveedores: default, google, selector1, s1, k1, mandrill, dkim, mail, sendgrid, mailgun, etc.
- Los resultados llegan en 2-3 segundos (las consultas DNS en paralelo son mucho más rápidas que en serie)
Valida el cumplimiento de RFC 6376
- Comprueba tanto v=DKIM1 (recomendado pero opcional) como la presencia de p= (clave pública presente)
- Motivo: algunos proveedores (Zoho) generan selectores automáticamente sin v=DKIM1, y aun así funcionan
Informa de si DKIM está configurado
- Muestra "Configured" si se encuentra al menos un selector válido
- Muestra "Not Found" si ninguno de los 50 selectores comunes coincide
Evita falsos positivos
- Comprueba el formato DNS
- Valida la presencia de la clave
- Solo informa de selectores con claves públicas reales

Resultados: lo que ves#

Cuando ejecutas el email health checker de Nova Uptime:

Si se encuentra DKIM:

DKIM Status: Configured
Status: Valid

Si no se encuentra:

DKIM Status: Not Configured

Scanned 50 common selectors. No DKIM records found.

Next Steps:
1. Check your email provider's documentation for the exact selector
2. Have your provider generate DKIM records
3. Add records to your DNS provider
4. Re-run this check in 24 hours (DNS takes time to propagate)

Entendiendo los 50 selectores que escanea Nova Uptime#

Selectores de los principales proveedores de email#

Estos son los selectores más usados:

Google Workspace

Selector: google
Motivo: Google usa nombres consistentes para todos los clientes

SendGrid

Selectores: sendgrid, s1234567890 (si tienes dominio con marca)
Motivo: por defecto es sendgrid, pero los dominios de envío personalizados obtienen selectores autogenerados

Mailgun

Selectores: k1, k2 o personalizado (lo eliges tú)
Motivo: tú configuras el selector; los predeterminados son k1 y k2

Klaviyo

Selector: mailgun-key
Motivo: Klaviyo usa Mailgun como backend

HubSpot

Selector: hubspot
Motivo: consistente, como Google

Zendesk

Selector: zendesk1, zendesk2
Motivo: Zendesk permite varios dominios de envío

Amazon SES

Selector: varía (depende de la región y la configuración)
Comunes: amazonses, o generado aleatoriamente

Postmark

Selector: postmark
Motivo: nombre fijo

Mandrill

Selector: mandrill
Motivo: nombre fijo

Zoho Mail

Selector: zl1234567 (único por dominio)
Motivo: identificador autogenerado

Microsoft 365 / Outlook

Selector: selector1, selector2
Motivo: dos selectores por defecto para rotación de claves

Brevo (antes Sendinblue)

Selector: brevo, brevo1
Motivo: varios para rotación de claves

Tu servidor de correo personalizado#

Si autoalojas tu email:

Selector: el que hayas configurado
Comunes: default, mail, dkim, main o nombres personalizados

La lista completa de los 50 selectores#

Nova Uptime escanea estos 50 selectores:

default, google, selector1, selector2, s1, s2, k1, k2, k3, mandrill, dkim, mail, email, smtp, sendgrid, s, sig1, selector, key1, key2, zoho, protonmail, protonmail2, protonmail3, cm, turbo-smtp, amazonses, ses, mailjet, mxvault, fm1, fm2, fm3, smtpcom, postmark, mailgun, resend, brevo, hubspot, hs1, hs2, zendesk1, zendesk2, freshdesk, smtp2go, mesmtp, krs, everlytickey1, everlytickey2, mailo, mimecast, pp1, sparkpost, barracuda

Si tu selector no está en esta lista, puedes verificarlo igualmente comprobando el DNS directamente.

Paso a paso: usar la detección automática de DKIM#

Paso 1: Ve al Email Health Checker#

Visita Email Health Checker de Nova Uptime

Paso 2: Introduce tu dominio#

Escribe tu dominio (por ejemplo, yourdomain.com) sin protocolo ni subdominios.

Paso 3: Revisa los resultados de DKIM#

En segundos verás si DKIM está configurado para tu dominio.

Paso 4: Próximos pasos según los resultados#

Si se encuentra: no hay nada que hacer. Tu DKIM está bien configurado. Pasa a comprobar la alineación de DMARC.

Si no se encuentra:

Consulta la documentación de tu proveedor de email para el nombre exacto del selector
Contacta con el soporte del proveedor: "¿Cuál es el selector DKIM para mi dominio?"
Una vez que tengas el nombre del selector, pídeles que te proporcionen el registro DNS
Añádelo a tu proveedor de DNS
Vuelve a ejecutar la comprobación pasadas 24 horas (propagación DNS)

Errores comunes con los selectores DKIM#

Error 1: Comprobar el nivel de dominio equivocado#

Mal:

Check: dkim._domainkey.com (missing your domain!)
Should be: dkim._domainkey.yourdomain.com

Los registros DKIM son específicos de cada dominio. Comprobar .com o .org no encontrará el tuyo.

Error 2: Erratas en el nombre del selector#

El proveedor dice: selector Tú compruebas: selectors (con una 's' de más) Resultado: no encontrado, asumes que DKIM no existe

Nova Uptime comprueba la grafía correcta para los proveedores principales, evitando este problema.

Error 3: Olvidar el sufijo `._domainkey`

Mal:

Check DNS for: sendgrid.yourdomain.com
Should be: sendgrid._domainkey.yourdomain.com

Los registros DKIM DEBEN llevar ._domainkey en el nombre. Sin él, las consultas DNS no devuelven nada.

Error 4: No esperar a la propagación DNS#

Añades un registro DKIM al DNS, lo compruebas inmediatamente y ves "no encontrado".

Los cambios de DNS tardan en propagarse (normalmente 1-2 horas, máximo 24-48 horas). Vuelve a comprobarlo más tarde.

Error 5: Usar la herramienta DNS equivocada#

Algunas herramientas DNS (como los comprobadores básicos de MX) no soportan búsquedas de registros TXT. Usa Nova Uptime, que comprueba específicamente los registros TXT de DKIM.

Por qué la detección DKIM de Nova Uptime es mejor que la comprobación manual#

Factor	Comprobación manual	Detección automática de Nova Uptime
Tiempo necesario	3-8 horas	2-3 segundos
Precisión	Sujeta a erratas y malentendidos	Comprueba 50 selectores comunes con precisión
Cobertura	Puedes pasar por alto selectores poco conocidos	Cubre todos los grandes proveedores
Falsos positivos	Es fácil malinterpretar los resultados	Pasa/falla claro con explicación
Monitorización continua	La haces manualmente cuando quieras	Comprobación trimestral de cambios
Documentación	Requiere leer los docs del proveedor	Explicaciones claras y en lenguaje llano

¿Y si tu selector DKIM no está entre los 50 escaneados?#

Si usas un proveedor de email de nicho o un email autoalojado con un selector personalizado:

Conoces el nombre del selector → Nova Uptime puede verificar que funciona (usa el health checker principal con resultados)
No conoces el nombre del selector → contacta con tu proveedor o consulta su documentación

Si es un proveedor totalmente desconocido, los 50 selectores comunes deberían pillarlo igualmente (la mayoría de los proveedores usan uno de estos estándares).

Si no:

Comprueba la herramienta DNS directamente: dig selector._domainkey.yourdomain.com TXT
Contacta con el soporte del proveedor de email: "¿Cuál es mi selector DKIM?"
Una vez que lo sepas, vuelve a ejecutar el health check de Nova Uptime para verificar que es correcto

El impacto en el negocio de la detección automática de DKIM#

Antes (comprobación manual):

3 horas: investigando y adivinando selectores DKIM
30 minutos: verificando cada intento con búsquedas DNS
La salud del email queda rota porque la configuración es demasiado tediosa
Resultado: los emails van a spam durante semanas

Después (detección automática de Nova Uptime):

2 minutos: ejecutar el health check de Nova Uptime
30 segundos: leer los resultados y entender exactamente qué está configurado
5 minutos: contactar con el proveedor o añadir los registros que faltan siguiendo una guía clara
Resultado: los problemas de email se identifican y resuelven hoy mismo

Impacto organizativo:

Configuración más rápida de la autenticación de email para nuevos dominios
Menos tickets de soporte sobre "por qué no nos llegan los emails"
Confianza en que la autenticación de email es correcta
Auditorías trimestrales para detectar cambios en el DNS o migraciones de proveedor

Mantener DKIM: mejores prácticas continuas#

Mensualmente#

Nada necesario. DKIM es estable una vez configurado correctamente.

Trimestralmente#

Ejecuta el Email Health Checker de Nova Uptime para verificar:

Que los selectores DKIM siguen activos
Que no hay adiciones inesperadas de selectores (señal de mala configuración o ataque)

Tras cambios en el proveedor de email#

Si:

Cambias de SendGrid a Mailgun
Añades un segundo servicio de email
Migras servidores de correo

Ejecuta el health checker inmediatamente:

Verifica que los selectores antiguos siguen funcionando (si se necesitan para la transición)
Confirma que el selector nuevo está activo
Elimina los selectores antiguos cuando la transición esté completa

Señales de alarma#

Si una comprobación trimestral muestra:

Selector desaparecido: posible mala configuración del DNS o problema del proveedor
Selector nuevo desconocido: posible compromiso de la cuenta (alguien añadió una clave DKIM)
Varios selectores no esperados: posibles restos de un proveedor antiguo (limpia)

Resumen: los selectores DKIM desmitificados#

Los selectores DKIM son simplemente etiquetas para distintas claves de firma. La confusión viene de:

Los proveedores de email no documentan claramente qué selector usar
Los usuarios tienen que adivinar manualmente entre más de 50 posibilidades
Los selectores varían según el proveedor y la configuración

La detección automática de DKIM de Nova Uptime resuelve esto con:

Escaneo de 50 selectores comunes en paralelo
Resultados en 2-3 segundos
Validación del cumplimiento RFC
Próximos pasos claros

En lugar de pasar 3-8 horas comprobando manualmente, obtienes claridad inmediata:

"DKIM está configurado, funcionando perfectamente" → no hay nada que hacer
"DKIM no encontrado" → aquí tienes qué hacer a continuación

Lecturas relacionadas#

Guía completa del Email Health Checker — Comprueba toda tu configuración de autenticación de email (SPF, DKIM, DMARC y blacklists) en un solo escaneo.
DKIM Explicado: Guía Completa — Análisis a fondo de cómo funciona DKIM, la rotación de claves y la resolución de problemas.
Cómo configurar registros SPF — Configura SPF junto con DKIM para una autorización de email completa.
Guía de configuración de la política DMARC — Une SPF y DKIM con la aplicación de DMARC.
Checklist de entregabilidad de email — Asegúrate de que toda tu pila de email está configurada para la máxima entregabilidad.

Empieza: Comprueba tu configuración DKIM gratis →