
A quien administre servidores o gestione sitios web le suena el tema. Los correos, de repente, deciden alojarse en la carpeta de spam. Es frustrante. La solución técnica real para dejar de sufrir esto es configurar registro DKIM como es debido. Este protocolo de autenticación permite al destinatario comprobar que el correo vino de tu dominio y que nadie tocó el mensaje en el camino. Funciona como una firma digital que no puede alterarse.
Índice
¿Qué es exactamente un registro DKIM?
DKIM significa DomainKeys Identified Mail. Es un método que permite a una organización hacerse responsable de un mensaje mientras viaja. Usa un sistema de criptografía asimétrica, muy parecido al de los certificados SSL/TLS que usamos para el HTTPS.
El proceso se basa en dos piezas:
- La clave privada: Se guarda en tu servidor de correo saliente (SMTP). Es la que firma cada mensaje que mandas.
- La clave pública: Se publica en los DNS de tu dominio dentro de un registro TXT. Los servidores que reciben el email la usan para descifrar la firma y validar que todo es legítimo.
Cuando llega un email a su destino, el servidor busca el registro DKIM en el DNS del que lo envió. Si la firma digital encaja con la clave pública, el mensaje pasa la prueba. Si no coincide, o si no hay registro, el correo puede verse como sospechoso. O acabar rechazado directamente.
La importancia de configurar registro DKIM
Sin DKIM, tu dominio queda expuesto al spoofing y al phishing. Cualquiera con mala intención podría enviar correos fingiendo ser tu empresa, dañando tu reputación. Al configurar registro DKIM, aseguras varias cosas:
- Que la integridad del mensaje se mantiene; si alguien altera el contenido antes de que llegue, la firma deja de ser válida.
- Mejoras la deliverabilidad de forma notable. Es decir, tus correos tienen más probabilidades de caer en la bandeja de entrada y no en spam.
- Proteges la marca de tu empresa frente a ataques de robo de identidad corporativa.
Ojo, DKIM no trabaja solo. Funciona junto con otros protocolos como SPF (Sender Policy Framework) y DMARC. Mientras SPF define quién puede enviar emails en nombre de tu dominio, DKIM se asegura de que lo que se envía no ha sido manipulado.
Anatomía de un registro DKIM en los DNS
Para entender la configuración, hay que ver cómo es un registro DKIM de verdad. No es un simple registro A o CNAME, es un TXT complejo con varias etiquetas (tags). Algo así:
Valor / RDATA: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA…
TTL: 3600 (o 1 hora)
Veamos los elementos uno por uno:
- Selector: Es el prefijo (en el ejemplo, «google») que indica al servidor receptor qué clave buscar. Tu servidor puede tener varios selectores para distintos servicios.
- v=DKIM1: Es la versión del protocolo. Todos los registros actuales deben usar esta.
- k=rsa: Indica el algoritmo de cifrado. RSA es el estándar más común, aunque ya aparece ED25519, que es más moderno.
- p=: Es la cadena larga, la clave pública en Base64. Es la parte crítica. Si falta un carácter o se cuela un espacio, el registro fallará.
Pasos para generar y añadir el registro DKIM
La implementación cambia un poco según tu proveedor de correo (Gmail, Outlook, Postfix, Exim, cPanel). Pero el flujo de trabajo suele tener tres etapas.
1. Generación del par de claves
La mayoría de servicios de correo modernos ya generan estas claves por ti.
- Google Workspace / Gmail: Ve al Admin Console > Aplicaciones > Google Workspace > Gmail > Autenticación. Elige tu dominio y genera la clave. Google te dará el registro TXT exacto para copiar.
- Microsoft 365 / Exchange: En el Centro de administración, entra a Configuración > Dominios. Selecciona tu dominio y busca el asistente para configurar DKIM. Microsoft te dará los datos de los registros CNAME o TXT necesarios.
- Servidores VPS (Postfix/Exim): Si adminstras tu propio servidor, tocará generar las claves a mano con OpenSSL o scripts del MTA. En un sistema Linux con OpenDKIM, por ejemplo, usarías un comando para generar el par de claves, guardando la privada en /etc/opendkim/keys y usando la pública para el DNS.
2. Publicar la clave en tu proveedor de DNS
Una vez tengas la clave pública y el selector, entra en la zona DNS de tu dominio. Puedes hacerlo desde el panel de tu registrador (Namecheap, GoDaddy) o desde tu servidor DNS si lo gestionas tú (como Bind9 o Cloudflare).
Crea un nuevo registro TXT:
- Nombre/Host: Pon el selector seguido de
._domainkey. Si tu selector esk1, el nombre serák1._domainkey. A veces el proveedor pide el dominio completo (k1._domainkey.tudominio.com), otras veces solo el prefijo. Revisa la documentación de tu proveedor. - Tipo: Selecciona TXT.
- Valor: Pega aquí toda la cadena que te dio tu servicio de correo, empezando por
v=DKIM1; k=rsa; p=.... Mucho ojo con no cortar la cadena ni poner comillas extra si el sistema no las pide. - TTL: Un valor de 3600 o 14400 segundos suele ir bien para permitir cambios rápidos si hay errores.
3. Validación de la configuración
Los cambios en el DNS tardan en propagarse. Puede ser desde minutos hasta 48 horas. Cuando pase un tiempo razonable, toca validar.
Hay herramientas online como MXToolbox, o los propios reportes de Gmail, para verificar el registro. Si usas terminal, puedes hacerlo en Linux:
dig k1._domainkey.tudominio.com TXTSi la respuesta devuelve la cadena de clave que configuraste, el registro está bien publicado.
Envío de correos de prueba
La prueba de fuego es enviar un correo real. Mándalo a una dirección externa y revisa las cabeceras (headers) del mensaje recibido. En Gmail, por ejemplo, abre el correo, pulsa en los tres puntos verticales y elige «Mostrar original». Busca la sección ARC-Authentication-Results o Authentication-Results. Deberías ver algo así:
dkim=pass [email protected]
Esto confirma que tu servidor firma los emails y que el mundo exterior puede verificar esa firma.
Solución de problemas comunes
A veces, aunque sigas los pasos, la validación falla. Son errores habituales al configurar registro DKIM:
- Cadena entrecomillada doble: Algunos editores de DNS añaden comillas al inicio y final del valor del TXT automáticamente. Si tu proveedor de correo te dio el valor con comillas y el editor añade las suyas, tendrás comillas dobles (» «valor» «), lo cual rompe el registro.
- Problemas de longitud: Los registros DNS tienen un límite (generalmente 255 caracteres por cadena). Si tu clave pública es muy larga, el registro hay que dividirlo en varias cadenas entre comillas dentro del mismo TXT. Los paneles modernos suelen manejar esto solo, pero en configuraciones manuales de archivos de zona BIND, hay que envolver cada sección en comillas.
- Selector incorrecto: El selector en el DNS tiene que ser exactamente igual al que está configurado en tu servidor de correo. Si el servidor firma con «default» y publicaste «google» en el DNS, fallará.
Diferencia entre DKIM y DMARC
No hay que confundir estos protocolos. DKIM firma el mensaje, pero no dice al servidor receptor qué hacer si la firma falla. Ahí entra DMARC. DMARC conecta los resultados de SPF y DKIM y dicta una política (p=none, p=quarantine, p=reject). Tener DKIM es requisito previo para una política de DMARC estricta. DKIM es el ladrillo necesario para construir una protección completa.
Preguntas Frecuentes
¿Puedo tener múltiples registros DKIM?
Sí, y es normal. Puedes tener selectores distintos para servicios diferentes (uno para tu newsletter y otro para correos transaccionales, por ejemplo). Solo asegúrate de que cada uno tenga un nombre de host único.
¿Es obligatorio tener DKIM?
No es obligatorio para que el correo funcione, pero altamente recomendable. Sin DKIM, la deliverabilidad en proveedores como Gmail u Outlook será mucho peor.
¿Qué pasa si cambio mi servidor de correo?
Si cambias de proveedor de hosting o correo, casi siempre necesitarás generar nuevas claves DKIM y actualizar los registros DNS. Las claves suelen ir ligadas al servidor específico.
Conclusión
Entender qué es y cómo configurar registro DKIM es una competencia clave para quien gestione infraestructura de correo. No es solo un ajuste técnico, es una medida de seguridad que protege la identidad de tu dominio y asegura que tus comunicaciones lleguen. La combinación de una generación correcta de claves, una publicación precisa en los DNS y una validación exhaustiva evitará que tus emails se bloqueen sin motivo. Si tienes dudas al leer las cabeceras o necesitas auditar tu servidor, en RedServicio tenemos expertos listos para ayudarte a optimizar tu infraestructura técnica.

