arrobaMail
Entregabilidad · Autenticación

DKIMtu firma digital

DomainKeys Identified Mail

DomainKeys Identified Mail añade una firma criptográfica al header de cada mail que enviás. El receptor verifica esa firma contra una clave pública publicada en tu DNS. Si coincide, el mail es auténtico y no fue alterado.

arrobaMail · deliverabilityDKIM
Concepto

¿Qué es DKIM y cómo funciona?

DKIM (DomainKeys Identified Mail), definido en RFC 6376, usa criptografía de clave pública. Cuando un servidor de envío manda un mail, lo firma con una clave privada que solo él tiene.

El servidor receptor toma la firma (incluida en un header del mail), busca la clave pública en el DNS de tu dominio (en un registro TXT específico), y verifica que la firma sea válida.

Si la firma valida, dos cosas quedan probadas: (1) el mail realmente fue enviado por alguien con acceso a la clave privada de tu dominio, y (2) el contenido no fue alterado en el camino.

Anatomía

Anatomía de un registro DKIM

Ejemplo real

arroba2026._domainkey.tudominio.com  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb..."
arroba2026._domainkey

Selector

Identifica esta clave puntual. Un mismo dominio puede tener varias claves activas con distintos selectors. arrobaMail asigna uno automáticamente.

v=DKIM1

Versión

Indica que es un registro DKIM versión 1.

k=rsa

Algoritmo

rsa es lo más común. Algunos proveedores también soportan ed25519. arrobaMail usa RSA 2048 bits.

p=MIGfMA0...

Clave pública

La clave pública en base64. Esta es la que los receptores usan para verificar la firma. La privada nunca se publica.

Paso a paso

Cómo configurarlo correctamente

Pasos en orden. Saltar uno suele derivar en problemas que tardan días en diagnosticar.

  1. 01

    Generá el par de claves

    En arrobaMail, este paso es automático: cuando agregás tu dominio como remitente, generamos el par RSA y te damos el selector y la clave pública lista para publicar.

  2. 02

    Publicá el registro TXT en tu DNS

    Creá un registro TXT en tu DNS con Name = arroba2026._domainkey (o el selector que te indicamos) y Value = v=DKIM1; k=rsa; p=...

    Tip: Muchos DNS providers cortan strings de más de 255 caracteres. Asegurate de pegarlo como un solo string o usá la sintaxis multi-string que soporte tu provider.

  3. 03

    Esperá la propagación

    Como SPF, tarda entre minutos y horas según el TTL del DNS. Hasta que propague, la firma no validará.

  4. 04

    Activá la firma en arrobaMail

    Una vez verificada la publicación, activás DKIM en la configuración del remitente. Desde ese momento, todos los mails que enviemos en tu nombre llevan la firma.

  5. 05

    Monitoreá la validación

    Los primeros días, revisá los reportes para confirmar que los receptores están validando OK. Si tenés DMARC con rua=, los reportes mostrarán dkim=pass.

Errores comunes

Lo que se rompe seguido (y cómo arreglarlo)

Clave truncada al pegar en DNS

Algunos DNS providers cortan el valor del TXT a 255 caracteres y guardan solo la parte inicial. La verificación falla porque la clave queda incompleta.

Cómo arreglarlo: Verificá con dig que el TXT publicado tenga la misma longitud que el original. Si no, dividilo en varias strings entre comillas según la sintaxis de tu provider.

Selector mal escrito

Un typo en el selector (ej. arroba2026 vs arroba_2026) hace que el receptor busque una clave que no existe y la firma falle.

Cómo arreglarlo: Copiá el selector exacto que te dimos en arrobaMail, sin agregar ni quitar caracteres.

Más de un registro DKIM con el mismo selector

Si publicás dos TXT con el mismo selector, los receptores no pueden decidir cuál usar.

Cómo arreglarlo: Eliminá el viejo antes de publicar el nuevo. Si necesitás rotar, usá un selector distinto.

No rotar las claves nunca

Las claves DKIM idealmente se rotan cada 6-12 meses como buena práctica de seguridad.

Cómo arreglarlo: Programá rotación periódica y documentá qué selector está activo en cada proveedor.

Verificación

Cómo confirmar que quedó bien

Tres maneras de verificar — desde tu terminal o desde herramientas online. Si todas devuelven OK, ya está.

01

Linux/Mac terminal

dig TXT selector._domainkey.tudominio.com +short

Devuelve el registro DKIM si está publicado correctamente.

02

Mail de prueba a Gmail

Headers > Show original > DKIM

Aparece "dkim=pass header.i=@tudominio.com".

03

Online

mxtoolbox.com/dkim.aspx

Diagnóstico de selector + validación de firma.

Cómo lo hace arrobaMail

arrobaMail genera el par de claves DKIM automáticamente al validar tu dominio, te muestra el registro TXT exacto a publicar y monitorea la verificación.

Preguntas frecuentes

Lo que más se consulta sobre DKIM

Tantos como selectors distintos uses. Es habitual tener uno por proveedor (uno de arrobaMail, otro de Google Workspace, otro de tu CRM). Cada uno con su selector único.

Depende de la política DMARC. Sin DMARC, el receptor decide caso por caso (suele relajar el filtro al spam). Con DMARC en p=quarantine o p=reject y alineación estricta, sí se rechaza.

Sí. La clave pública es justamente eso: pública. Solo sirve para verificar firmas, no para crearlas. La privada nunca sale del servidor de envío.

Sí. La firma cubre los headers definidos y el cuerpo entero del mensaje, incluyendo adjuntos. Cualquier modificación en tránsito invalida la firma.

RSA 2048 bits es lo estándar y universalmente soportado. Ed25519 es más moderno y rápido pero menos soportado todavía. En arrobaMail usamos RSA 2048 por compatibilidad.

Empezá con arrobaMail
en menos de 5 minutos.

Plan Gratuito, generaciones de IA incluidas, sin tarjeta de crédito y soporte real en español.

Probar gratis ahora
WhatsAppTe responde el equipo