DKIM: Configura, prueba y asegura tu correo electrónico
Categoría:
Soporte y Ayuda
Fecha:
04/04/2025
A diario enviamos y recibimos correos electrónicos, y cada vez más, cobra especial importancia que estos correos electrónicos se reciban correctamente en el destino, y además que nadie pueda hacerse pasar por nosotros aparentando que su correo es también de nuestro dominio.
Una de las configuraciones que nos ayudan a hacer esto, es la configuración DKIM, que mediante criptografía de clave pública, nos permite firmar el correo al enviarlo y que luego el destino compruebe que el origen y el contenido coinciden con los que se enviaron originalmente (es decir, que correo es del dominio que dice ser y que el mensaje no se ha modificado en el proceso).
Índice del artículo
DKIM, o DomainKeys Identified Mail es un mecanismo de autenticación de correo electrónico.
Su función es ayudar a prevenir que se realice phishing u otro tipo de fraude o spam a través de nuestro dominio, ya sea haciéndose pasar por nosotros, falseando el dominio, o alterando el contenido del correo durante el proceso de entrega.
El uso de DKIM puede ayudarnos con la entrega y seguridad de nuestros correos, ya que actúa de varias formas: su uso puede mejorar la reputación de nuestro dominio de cara a los diferentes proveedores de correo de destino y posibles blacklist u otras configuraciones que puedan utilizar para gestionar el correo que reciben y decidir qué hacen con él (entregarlo, enviarlo a spam o descartarlo), además de reducir las posibilidades de que nos suplanten la identidad por correo o modifiquen el contenido de un correo enviado (lo que podría derivar en una reducción de la confianza de los usuarios en nosotros).
El emisor del correo incluye en la cabecera del mensaje una firma digital del contenido de, que se genera a partir de la clave privada.
Cuando el receptor recibe el correo, realiza una consulta a la zona DNS para verificar la clave pública de DKIM y obtener la firma pública que consta en la zona DNS del dominio de origen.
Con la clave pública, el receptor descifra la firma que figura en la cabecera del correo, luego realiza el proceso de firmado y compara el valor: si coinciden, se verifica; en caso contrario, no se validaría.
La firma DKIM podemos verla en las cabeceras del mensaje.
Para obtener esta información, debemos ir a nuestro correo electrónico y en el mensaje cuya firma DKIM queremos obtener, seleccionar ‘Mostrar original’ o ‘Mostrar código’ y revisar la cabecera ‘DKIM-Signature’, que tendría una estructura en base a las siguientes etiquetas (puede contener otras de forma opciones):
La estructura del registro DKIM sería algo similar a la siguiente:
default. será el nombre del selector (que en la firma veremos como s=) y puede variar dependiendo del proveedor y dominio.tld será nuestro dominio.
El contenido del registro será algo similar a:
donde "v=DKIM1" identificará al registro como DKIM, "k=" indica que se introduce una clave (rsa de forma predeterminada) y "p=" será la clave pública.
Si utilizas alguno de nuestros servicios de hosting, DKIM estaría configurado por defecto. No obstante, es posible que en algunos casos necesites realizar modificaciones, por ejemplo, para integrar herramientas de email marketing.
Cómo configurar y editar este registro puede variar dependiendo del panel de control que utilicemos.
DKIM nos ayuda a proteger nuestros correos electrónicos desde que los enviamos hasta que el destinatario los recibe, no obstante, también depende de las validaciones que el proveedor de destino realice, por lo que es altamente aconsejable utilizar también otras configuraciones adicionales como el SPF o DMARC.
Un DKIM mal configurado puede afectar a la entrega y reputación de nuestros correos, haciendo que el destino los rechace o los considere spam.
También debemos tener en cuenta que si utilizamos plataformas de terceros (por ejemplo para email marketing) debemos configurarlas acorde a las instrucciones que cada una de ellas nos faciliten, para prevenir problemas con los envíos de correo.
Algo parecido puede ocurrir con los reenviadores, que podría afectar a las cabeceras del correo y, por tanto, hacer que experimentemos problemas con la validación DKIM.
Para revisar si DKIM está correctamente configurado, podemos revisar las cabeceras de algún correo electrónico que hayamos enviado desde una cuenta del dominio que queremos revisar, o también podemos utilizar herramientas adicionales como para ver la firma que se genera: https://dkimvalidator.com/.
En caso de que queramos revisar el propio registro DKIM, tendríamos otras alternativas, como: https://mxtoolbox.com/dkim.aspx o https://dnschecker.org/dkim-record-checker.php
Una de las configuraciones que nos ayudan a hacer esto, es la configuración DKIM, que mediante criptografía de clave pública, nos permite firmar el correo al enviarlo y que luego el destino compruebe que el origen y el contenido coinciden con los que se enviaron originalmente (es decir, que correo es del dominio que dice ser y que el mensaje no se ha modificado en el proceso).
Índice del artículo
- Qué es DKIM y para qué sirve
- Cómo funciona DKIM
- Estructura de la firma DKIM
- Estructura del registro DNS DKIM
- Configurar DKIM
- La importancia del DKIM y cómo comprobarlo
Qué es DKIM y para qué sirve
DKIM, o DomainKeys Identified Mail es un mecanismo de autenticación de correo electrónico.
Su función es ayudar a prevenir que se realice phishing u otro tipo de fraude o spam a través de nuestro dominio, ya sea haciéndose pasar por nosotros, falseando el dominio, o alterando el contenido del correo durante el proceso de entrega.
El uso de DKIM puede ayudarnos con la entrega y seguridad de nuestros correos, ya que actúa de varias formas: su uso puede mejorar la reputación de nuestro dominio de cara a los diferentes proveedores de correo de destino y posibles blacklist u otras configuraciones que puedan utilizar para gestionar el correo que reciben y decidir qué hacen con él (entregarlo, enviarlo a spam o descartarlo), además de reducir las posibilidades de que nos suplanten la identidad por correo o modifiquen el contenido de un correo enviado (lo que podría derivar en una reducción de la confianza de los usuarios en nosotros).
DKIM autentica la identidad del dominio de origen, pero no el remitente como tal; por lo que si la contraseña de nuestra cuenta de correo se filtra, los correos enviados se validarían con normalidad ya que las verificaciones de DKIM continuarían dándose como válidas.
Cómo funciona DKIM
El emisor del correo incluye en la cabecera del mensaje una firma digital del contenido de, que se genera a partir de la clave privada.
Cuando el receptor recibe el correo, realiza una consulta a la zona DNS para verificar la clave pública de DKIM y obtener la firma pública que consta en la zona DNS del dominio de origen.
Con la clave pública, el receptor descifra la firma que figura en la cabecera del correo, luego realiza el proceso de firmado y compara el valor: si coinciden, se verifica; en caso contrario, no se validaría.
Estructura de la firma DKIM
La firma DKIM podemos verla en las cabeceras del mensaje.
Para obtener esta información, debemos ir a nuestro correo electrónico y en el mensaje cuya firma DKIM queremos obtener, seleccionar ‘Mostrar original’ o ‘Mostrar código’ y revisar la cabecera ‘DKIM-Signature’, que tendría una estructura en base a las siguientes etiquetas (puede contener otras de forma opciones):
- ‘a=’ algoritmo de la firma, de forma general: rsa-sha256.
- ‘v=’ versión de DKIM.
- ‘d=’ el nombre del dominio de origen.
- ‘s=’ nombre del registro selector, se utiliza para localizar la clave pública en la zona DNS.
- ‘h=’ listado de encabezados que se han usado para crear los datos hash.
- ‘bh=’ el hash del mensaje de correo.
- ‘b=’ firma digital, se genera con los datos de las etiquetas ‘bh=’ y ‘h=’ y se firma con la clave privada.
Estructura del registro DNS DKIM
La estructura del registro DKIM sería algo similar a la siguiente:
default._domainkey.dominio.tld
default. será el nombre del selector (que en la firma veremos como s=) y puede variar dependiendo del proveedor y dominio.tld será nuestro dominio.
El contenido del registro será algo similar a:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAvPWIExXdBGhyhfI5sK5Qp1HDX9M+jbx8U3EWsO76nknX6sOQB+vanPvGe8Zqyion8AjUTmef+tHxhXI5taPK8zcXNDL2Bn962yUQLc9zrVuVjl3TIWb4Wt20OjZ86vY8urj7tZFVgsNAAO9i6NfNDoLOjhtEdeTBDHZe0XnaS381lM3WlPNvwc8xKOvSiSCBx
donde "v=DKIM1" identificará al registro como DKIM, "k=" indica que se introduce una clave (rsa de forma predeterminada) y "p=" será la clave pública.
Los registros que tendremos que establecer pueden variar dependiendo del proveedor o herramienta que utilicemos.
Configurar DKIM
Si utilizas alguno de nuestros servicios de hosting, DKIM estaría configurado por defecto. No obstante, es posible que en algunos casos necesites realizar modificaciones, por ejemplo, para integrar herramientas de email marketing.
Cómo configurar y editar este registro puede variar dependiendo del panel de control que utilicemos.
- En cPanel: https://raiolanetworks.com/ayuda/obtener-clave-publica-dkim-en-cpanel/
- En RaiolaCP: https://raiolanetworks.com/ayuda/obtener-clave-publica-dkim-en-raiolacp/
La importancia del DKIM y cómo comprobarlo
DKIM nos ayuda a proteger nuestros correos electrónicos desde que los enviamos hasta que el destinatario los recibe, no obstante, también depende de las validaciones que el proveedor de destino realice, por lo que es altamente aconsejable utilizar también otras configuraciones adicionales como el SPF o DMARC.
Un DKIM mal configurado puede afectar a la entrega y reputación de nuestros correos, haciendo que el destino los rechace o los considere spam.
También debemos tener en cuenta que si utilizamos plataformas de terceros (por ejemplo para email marketing) debemos configurarlas acorde a las instrucciones que cada una de ellas nos faciliten, para prevenir problemas con los envíos de correo.
Algo parecido puede ocurrir con los reenviadores, que podría afectar a las cabeceras del correo y, por tanto, hacer que experimentemos problemas con la validación DKIM.
Para revisar si DKIM está correctamente configurado, podemos revisar las cabeceras de algún correo electrónico que hayamos enviado desde una cuenta del dominio que queremos revisar, o también podemos utilizar herramientas adicionales como para ver la firma que se genera: https://dkimvalidator.com/.
En caso de que queramos revisar el propio registro DKIM, tendríamos otras alternativas, como: https://mxtoolbox.com/dkim.aspx o https://dnschecker.org/dkim-record-checker.php
Deja una respuesta
Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *