Bitelio
§ T-06  —  Herramienta← Todas las herramientas

Comprobador de
registros DKIM

Introduce un dominio y un selector para consultar la clave DKIM publicada. Descubre si está activa, qué significa cada etiqueta y qué hacer si algo falla.

Consulta de registro DKIM

¿No sabes cuál es el tuyo? Elige uno de los habituales a continuación.

Selectores habituales

§ 01DKIM explicado

DKIM por dentro.

Una firma que da fe tanto del remitente como del contenido de cada mensaje.

Firma criptográfica

El correo saliente se firma con una clave privada que reside en tu servidor; la mitad pública vive en el DNS. Los receptores comparan ambas para confirmar que el correo es auténtico.

Sistema de selectores

Los selectores permiten que un mismo dominio tenga varias claves a la vez, lo que resulta útil para rotar claves de forma segura o utilizar varios proveedores de envío en paralelo.

Detección de manipulaciones

La firma se calcula sobre el cuerpo del mensaje y determinadas cabeceras. Si algo cambia por el camino, la verificación falla, de modo que los destinatarios saben cuándo se ha manipulado el contenido.

Rotación de claves

Rota las claves aproximadamente una vez al año: publica la nueva bajo un selector distinto, apunta tu infraestructura de envío hacia ella y, después, retira la clave anterior dejando su valor p= vacío.

DKIM por sí solo no basta

Una firma válida no dice nada sobre la cabecera From que ve el lector. Al igual que con SPF, necesitas DMARC para vincular los resultados de DKIM a esa cabecera y frenar la suplantación.

RSA de 2048 bits como mínimo

El RSA de 1024 bits ya no ofrece garantías suficientes. Utiliza como mínimo 2048 bits, o adopta Ed25519 para obtener la misma seguridad con claves mucho más pequeñas.

El correo firmado llega a su destino.

La firma DKIM se activa automáticamente, junto con una configuración guiada de SPF y DMARC para tu dominio.

Preguntas frecuentes

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) añade una firma criptográfica a cada email que envías. Los servidores receptores obtienen la clave pública correspondiente de tu DNS y comprueban la firma con ella: una coincidencia válida demuestra que el mensaje procede realmente de tu dominio y que no se ha modificado por el camino.

¿Qué es un selector DKIM?

El selector es la etiqueta que indica a los receptores qué clave DKIM de las tuyas deben consultar, ya que un mismo dominio puede publicar varias. Cada servicio de envío elige su propia cadena: Google Workspace usa "google", Microsoft 365 usa "selector1" y Mailchimp usa "k1"; el registro en sí se ubica en {selector}._domainkey.{domain}.

¿Dónde encuentro mi selector DKIM?

Depende de quién envíe tu correo. Google Workspace suele usar "google", Microsoft 365 usa "selector1" y "selector2", y Mailchimp usa "k1". También puedes abrir un mensaje que ya hayas enviado y leer la etiqueta "s=" dentro de su cabecera DKIM-Signature, o consultar la documentación de configuración de DNS de tu proveedor.

¿Por qué está revocada mi clave DKIM?

Publicar un registro DKIM con el valor p= vacío es la forma estándar de revocar una clave: indica de forma deliberada que esa clave ya no debe utilizarse. Suele deberse a una rotación de claves, a una sospecha de compromiso de seguridad o a un cambio de proveedor de email. Si la revocación no fue cosa tuya, revisa tu zona DNS y publica una clave nueva.

¿Debería usar RSA o Ed25519 para DKIM?

Para una compatibilidad universal, el RSA de 2048 bits sigue siendo la opción segura por defecto: cualquier proveedor puede verificarlo. Ed25519 ofrece una seguridad equivalente con claves mucho más pequeñas, pero algunos servidores de correo antiguos no lo admiten. La mejor práctica es publicar ambas bajo selectores distintos, de forma que los receptores modernos usen Ed25519 mientras el resto recurre a RSA.