Guía de Configuración DKIM: Setup Completo Paso a Paso
Configura DKIM en 20 minutos: encuentra el selector, genera claves y publica DNS. Validador DKIM gratis. Obligatorio en Gmail desde feb. de 2026.
Qué es DKIM y por qué es fundamental#
DKIM (DomainKeys Identified Mail) es una firma digital para tus emails. Demuestra que un email que dice provenir de tu dominio realmente salió de tu buzón, y no de un atacante que ha comprometido otra cosa.
En febrero de 2026: Gmail y Yahoo exigen DKIM para la entrega de emails. Los emails sin DKIM son rechazados.
Esta guía te acompaña en la configuración DKIM en 20 minutos.
Cómo funciona DKIM#
DKIM usa criptografía de clave pública/privada:
- Tu servidor de correo firma los emails salientes con una clave privada (secreta)
- La firma se adjunta al header de cada email
- Los destinatarios verifican la firma usando tu clave pública (en el DNS)
- Si la firma es válida: el email no ha sido manipulado ✅
- Si la firma falla: el email fue falsificado o modificado ❌
Entender los selectores DKIM#
Aquí es donde la mayoría de la gente se confunde.
Los registros DKIM viven en una ubicación DNS específica: [selector]._domainkey.tudominio.com
Ejemplos:
default._domainkey.tudominio.comgoogle._domainkey.tudominio.coms1._domainkey.tudominio.comsendgrid._domainkey.tudominio.com
El selector es simplemente una etiqueta. Tu proveedor de email lo elige. Selectores comunes:
| Servicio | Selector |
|---|---|
| Google Workspace | google, default |
| Microsoft 365 | selector1, selector2 |
| SendGrid | default, sendgrid |
| Mailgun | default, k1 |
| Zoho | s1, s2, s3 |
No puedes adivinar el selector. Tienes que encontrarlo en las instrucciones de configuración de tu proveedor de email.
Paso 1: Encuentra tu selector DKIM#
Para Google Workspace:
- Ve a admin.google.com
- Navega a Seguridad → Autenticación → Gestión de dominios
- Encuentra el selector DKIM (normalmente "google" o "default")
Para Microsoft 365:
- Ve a admin.microsoft.com
- Navega a Configuración → Dominios
- Encuentra la sección DKIM (normalmente "selector1")
Para SendGrid:
- Ve a la configuración de SendGrid
- Encuentra las API keys y la configuración DKIM
- El selector suele ser "default" o "sendgrid"
Para Mailgun:
- Ve al dashboard de Mailgun
- Encuentra la configuración del dominio
- El selector está en la configuración DKIM
¿No usas un servicio de terceros? Estás en tu propio servidor de correo. Contacta con tu proveedor de hosting para conseguir el selector DKIM.
Paso 2: Genera o recupera la clave pública DKIM#
Tu proveedor de email genera una clave pública. Tú no la creas: ellos la crean, tú la copias.
La clave tiene este aspecto:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdjqFtUGxC...
Dónde encontrarla:
- Google Workspace: cópiala desde la consola de admin
- Microsoft 365: cópiala desde el centro de administración de Exchange
- SendGrid: Dashboard → configuración DKIM
- Mailgun: configuración del dominio → DKIM
- Otros proveedores: consulta su documentación
Paso 3: Publica el registro DKIM en el DNS#
Una vez que tengas la clave pública, añádela al DNS:
- Ve a tu proveedor DNS (Cloudflare, Route 53, GoDaddy, etc.)
- Añade un registro TXT con:
- Nombre:
[selector]._domainkey(por ejemplo,google._domainkey) - Valor: la clave pública del paso 2
- TTL: 3600 (o el valor por defecto)
- Nombre:
- Guarda y espera entre 5 y 15 minutos
Paso 4: Verifica la configuración DKIM#
Usa estas herramientas gratuitas para verificar:
Opción 1: Nova Uptime Email Health Checker
- Ve a /tools/email-health
- Introduce tu dominio
- Comprueba el estado DKIM
Opción 2: MXToolbox
- Ve a mxtoolbox.com
- Usa el DKIM checker
- Introduce el selector y el dominio
Opción 3: Mail-tester
- Ve a mail-tester.com
- Envía un email de prueba desde tu dominio
- Comprueba la firma DKIM en los headers
Errores comunes con DKIM#
Error 1: selector incorrecto#
Si tu servidor de correo firma con el selector google pero el DNS tiene el selector default, la validación DKIM falla.
Solución: verifica que el selector coincida exactamente con el que está usando tu servidor de correo.
Error 2: clave pública truncada en el DNS#
Algunos proveedores DNS truncan los registros TXT largos. Si la clave pública queda cortada, DKIM falla.
Solución: usa un proveedor DNS que admita registros TXT de longitud completa, o divide la clave usando comillas.
Error 3: registros DKIM duplicados (antiguos vs nuevos)#
Cuando migras de proveedor de email, puedes tener claves DKIM antiguas todavía en el DNS.
Bien: múltiples selectores de proveedores distintos
google._domainkey → clave pública de Google
s1._domainkey → clave pública de SendGrid
Mal: múltiples registros para el mismo selector (el DNS solo lee el primero)
Solución: elimina los selectores antiguos y mantén solo los activos.
Error 4: no rotar las claves#
Si tu clave privada se ve comprometida y la sigues usando, los atacantes pueden falsificar emails.
Solución: rota las claves al menos una vez al año. Desactiva las claves antiguas en el DNS después de confirmar que las nuevas funcionan.
Error 5: usar claves débiles (1024 bits)#
Las claves DKIM de 1024 bits son criptográficamente débiles. Los atacantes pueden falsificar firmas.
Solución: usa claves de 2048 bits como mínimo. Comprueba con tu proveedor de email cuáles soporta.
¿Varios proveedores de email? Necesitas varios selectores#
Si usas tanto Google Workspace como SendGrid:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3... → publicar en google._domainkey
v=DKIM1; k=rsa; p=... (diferente) ... → publicar en sendgrid._domainkey
Ambos funcionan de forma independiente. Los emails de Google se verifican con la clave de Google. Los emails de SendGrid se verifican con la clave de SendGrid.
DKIM + SPF + DMARC#
DKIM es parte del trío de autenticación:
- SPF: "¿Está autorizado el servidor?"
- DKIM: "¿Es auténtico el mensaje?"
- DMARC: "¿Pasan ambos y están alineados?"
Configura los tres. Nova Uptime comprueba los tres automáticamente: haz tu primer chequeo de salud de email.
Después de publicar: monitorización#
Semana 1: monitoriza la entrega de emails, revisa la carpeta de spam Cada semana: usa Nova Uptime Email Health Checker para verificar el estado DKIM Cada mes: comprueba que no queden selectores antiguos en el DNS
Resumen#
- Encuentra tu selector DKIM (lo da tu proveedor de email)
- Consigue la clave pública (la da tu proveedor de email)
- Publícala en el DNS en
[selector]._domainkey.tudominio.com - Verifica con herramientas de validación
- Espera una semana y monitoriza la entrega de emails
- Mantén los registros limpios (elimina los selectores antiguos)
DKIM es obligatorio en 2026. La configuración lleva 20 minutos. No tenerlo te cuesta ingresos.
Monitoriza los tres protocolos de autenticación automáticamente: Nova Uptime Email Health Checker. Gratis. 🚀
Lecturas relacionadas#
- Guía de comprobación y configuración DKIM — Resolución completa de problemas DKIM
- Guía de detección de selectores DKIM — Encuentra y verifica los selectores DKIM
- Guía de configuración y comprobación de SPF — Configuración SPF junto con DKIM
- Configuración DMARC: de None a Reject — DMARC requiere alineación DKIM
- Guía del Email Health Checker — Auditoría completa de autenticación
- DKIM Checker gratuito — Valida tu registro DKIM al instante
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeArtículos relacionados
DKIM explicado: qué es, cómo funciona y cómo configurarlo
Guía completa de DKIM: comprueba tu registro DKIM, entiende los selectores, genera claves y soluciona errores de autenticación. Incluye herramienta.
SPF, DKIM y DMARC: la guía completa de autenticación de email
Guía sobre los tres pilares de la autenticación de email. Cómo SPF, DKIM y DMARC trabajan juntos para proteger tu dominio y la entrega en bandeja de entrada.
Cómo configurar registros SPF: guía paso a paso
Configura y comprueba tus registros SPF paso a paso. Aprende la sintaxis SPF, prueba tu registro con un SPF checker gratis, soluciona los límites de.