arroba2026._domainkeySelector
Identifica esta clave puntual. Un mismo dominio puede tener varias claves activas con distintos selectors. arrobaMail asigna uno automáticamente.
DomainKeys Identified Mail
DomainKeys Identified Mail añade una firma criptográfica al header de cada mail que enviás. El receptor verifica esa firma contra una clave pública publicada en tu DNS. Si coincide, el mail es auténtico y no fue alterado.
DKIM (DomainKeys Identified Mail), definido en RFC 6376, usa criptografía de clave pública. Cuando un servidor de envío manda un mail, lo firma con una clave privada que solo él tiene.
El servidor receptor toma la firma (incluida en un header del mail), busca la clave pública en el DNS de tu dominio (en un registro TXT específico), y verifica que la firma sea válida.
Si la firma valida, dos cosas quedan probadas: (1) el mail realmente fue enviado por alguien con acceso a la clave privada de tu dominio, y (2) el contenido no fue alterado en el camino.
Ejemplo real
arroba2026._domainkey.tudominio.com TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb..."
arroba2026._domainkeySelector
Identifica esta clave puntual. Un mismo dominio puede tener varias claves activas con distintos selectors. arrobaMail asigna uno automáticamente.
v=DKIM1Versión
Indica que es un registro DKIM versión 1.
k=rsaAlgoritmo
rsa es lo más común. Algunos proveedores también soportan ed25519. arrobaMail usa RSA 2048 bits.
p=MIGfMA0...Clave pública
La clave pública en base64. Esta es la que los receptores usan para verificar la firma. La privada nunca se publica.
Pasos en orden. Saltar uno suele derivar en problemas que tardan días en diagnosticar.
En arrobaMail, este paso es automático: cuando agregás tu dominio como remitente, generamos el par RSA y te damos el selector y la clave pública lista para publicar.
Creá un registro TXT en tu DNS con Name = arroba2026._domainkey (o el selector que te indicamos) y Value = v=DKIM1; k=rsa; p=...
Tip: Muchos DNS providers cortan strings de más de 255 caracteres. Asegurate de pegarlo como un solo string o usá la sintaxis multi-string que soporte tu provider.
Como SPF, tarda entre minutos y horas según el TTL del DNS. Hasta que propague, la firma no validará.
Una vez verificada la publicación, activás DKIM en la configuración del remitente. Desde ese momento, todos los mails que enviemos en tu nombre llevan la firma.
Los primeros días, revisá los reportes para confirmar que los receptores están validando OK. Si tenés DMARC con rua=, los reportes mostrarán dkim=pass.
Algunos DNS providers cortan el valor del TXT a 255 caracteres y guardan solo la parte inicial. La verificación falla porque la clave queda incompleta.
Cómo arreglarlo: Verificá con dig que el TXT publicado tenga la misma longitud que el original. Si no, dividilo en varias strings entre comillas según la sintaxis de tu provider.
Un typo en el selector (ej. arroba2026 vs arroba_2026) hace que el receptor busque una clave que no existe y la firma falle.
Cómo arreglarlo: Copiá el selector exacto que te dimos en arrobaMail, sin agregar ni quitar caracteres.
Si publicás dos TXT con el mismo selector, los receptores no pueden decidir cuál usar.
Cómo arreglarlo: Eliminá el viejo antes de publicar el nuevo. Si necesitás rotar, usá un selector distinto.
Las claves DKIM idealmente se rotan cada 6-12 meses como buena práctica de seguridad.
Cómo arreglarlo: Programá rotación periódica y documentá qué selector está activo en cada proveedor.
Tres maneras de verificar — desde tu terminal o desde herramientas online. Si todas devuelven OK, ya está.
Linux/Mac terminal
dig TXT selector._domainkey.tudominio.com +short
Devuelve el registro DKIM si está publicado correctamente.
Mail de prueba a Gmail
Headers > Show original > DKIM
Aparece "dkim=pass header.i=@tudominio.com".
Online
mxtoolbox.com/dkim.aspx
Diagnóstico de selector + validación de firma.
Cómo lo hace arrobaMail
arrobaMail genera el par de claves DKIM automáticamente al validar tu dominio, te muestra el registro TXT exacto a publicar y monitorea la verificación.
Tantos como selectors distintos uses. Es habitual tener uno por proveedor (uno de arrobaMail, otro de Google Workspace, otro de tu CRM). Cada uno con su selector único.
Depende de la política DMARC. Sin DMARC, el receptor decide caso por caso (suele relajar el filtro al spam). Con DMARC en p=quarantine o p=reject y alineación estricta, sí se rechaza.
Sí. La clave pública es justamente eso: pública. Solo sirve para verificar firmas, no para crearlas. La privada nunca sale del servidor de envío.
Sí. La firma cubre los headers definidos y el cuerpo entero del mensaje, incluyendo adjuntos. Cualquier modificación en tránsito invalida la firma.
RSA 2048 bits es lo estándar y universalmente soportado. Ed25519 es más moderno y rápido pero menos soportado todavía. En arrobaMail usamos RSA 2048 por compatibilidad.
Sender Policy Framework
Lista blanca de servidores autorizados a enviar mail con tu dominio.
Leer guíaDomain-based Message Authentication
Política y reportes sobre lo que pasa cuando SPF o DKIM fallan.
Leer guíaCalentamiento de dominio e IP
Aumento gradual del volumen para construir reputación buena.
Leer guíaPlan Gratuito, generaciones de IA incluidas, sin tarjeta de crédito y soporte real en español.