Defaults.Exposed › Soluciones › DKIM

Cómo arreglar DKIM

El DKIM es el sello invisible a prueba de manipulaciones que lleva cada correo que envía tu empresa. Permite al proveedor de correo receptor confirmar que el correo vino realmente de ti y llegó sin cambios. Sin él, tu correo es más fácil de falsificar, más fácil de alterar y mucho más propenso a acabar en spam.

En resumen, para tu negocio: Sin DKIM, los correos que envías pueden ser manipulados por el camino, son más fáciles de suplantar por los delincuentes y tienen más probabilidades de ser filtrados a spam o rechazados de plano, costándote silenciosamente acuerdos, pagos y confianza que ni sabes que perdiste.

Lo que esto te puede costar

• Una factura que enviaste por correo es interceptada y le cambian los datos bancarios antes de llegar a tu cliente. El correo sigue pareciendo tuyo, el cliente paga al delincuente, y cuando se descubre, el culpable eres tú.
• Tus presupuestos, contratos y facturas legítimos siguen cayendo en la carpeta de spam de los clientes. Supones que el cliente perdió el interés o eligió a otro, pero sencillamente nunca vieron tu correo.
• El equipo de seguridad o compras de un cliente mayor hace una comprobación rápida de tu dominio antes de firmar, no ve DKIM, y o bien retrasa el acuerdo semanas hasta que lo arregles, o elige en silencio a un competidor que sí pasó.
• Un delincuente envía correos falsos convincentes «de tu empresa» a tus propios clientes. Como nada demuestra qué correos son de verdad tuyos, los falsos son igual de creíbles que los reales, y tu nombre sufre el daño.
• Los grandes proveedores de buzón y los bancos tratan cada vez más el correo sin firmar como sospechoso. Con el tiempo, más correo cotidiano de tu empresa se ralentiza, va a la basura o rebota, y tu alcance deja de funcionar poco a poco.

Por qué importa. El correo nunca se construyó para demostrar quién lo envió, y falsificar al remitente es facilísimo. El DKIM añade una firma criptográfica que el proveedor receptor comprueba automáticamente, confirmando que el mensaje es genuinamente de tu dominio y no ha sido alterado por el camino. Es una de las tres cosas que busca todo proveedor de correo moderno, afecta directamente a si tu correo se confía o se manda a la basura, y la solución es gratis.

Qué es esto, en palabras sencillas

Cada correo que envía tu empresa pasa por varias manos antes de llegar a la bandeja de entrada. Por sí solo, un correo no lleva ninguna prueba de quién lo envió de verdad ni de si alguien lo cambió por el camino: la línea «de» es solo texto que cualquiera puede escribir.

El DKIM arregla eso. Pone un sello invisible, a prueba de manipulaciones, en cada mensaje que envía tu empresa. Cuando el correo llega, el proveedor de correo receptor comprueba el sello contra una clave que publicas en tu dominio. Si coincide, el proveedor sabe dos cosas con certeza: el correo vino genuinamente de tu dominio, y no se cambió ni un solo carácter por el camino. Si no coincide —porque el mensaje fue falsificado o alterado—, el sello falla, y el proveedor trata el correo con sospecha.

Tú no gestionas nada de esto a mano. Una vez activado, la firma y la comprobación ocurren automáticamente en cada correo, para siempre. El sentido del DKIM es hacer que tu correo real sea demostrablemente real, para que se confíe y para que las falsificaciones destaquen.

Lo que esto te puede costar

Esto no es abstracto. Así es como se ve un sello DKIM ausente o débil en la práctica para una pequeña o mediana empresa.

• La factura alterada. Envías por correo una factura a un cliente. En algún punto entre tu servidor y el suyo, un atacante la intercepta y cambia tus datos bancarios por los suyos. El correo sigue pareciendo venir de ti, el cliente paga, a la cuenta del delincuente. Sin DKIM, no hay nada que señale que el mensaje fue manipulado. Con él, esa alteración silenciosa rompe el sello y se detecta.
• Los acuerdos que murieron en el spam. Tus presupuestos, propuestas y seguimientos siguen colándose en las carpetas de basura de los clientes. Nunca recibes respuesta y supones que no estaban interesados. En realidad, el correo sin firmar es una fuerte señal de spam: tu correo empresarial legítimo sencillamente no se vio.
• El contrato perdido. El equipo de compras o seguridad de un cliente mayor revisa tu dominio antes de firmar. No ven DKIM y lo tratan como una bandera roja: o bien retrasan el acuerdo semanas mientras lo arreglas, o eligen en silencio a un proveedor cuya seguridad de correo sí pasó.
• Tu nombre usado contra tus propios clientes. Un estafador dispara correos convincentes «de tu empresa» a tu base de clientes. Como nada demuestra qué mensajes son de verdad tuyos, los falsos parecen tan legítimos como los reales, y es tu reputación la que recibe el golpe cuando la gente sale escaldada.
• La lenta asfixia de tu correo. Los bancos, los grandes proveedores de buzón y los filtros corporativos desconfían cada vez más del correo sin firmar. El efecto se va colando con el tiempo: más ralentizaciones, más basura, más rebotes, hasta que tu alcance cotidiano deja de llegar en silencio.

Qué es en realidad

DKIM significa Correo Identificado con Claves de Dominio (DomainKeys Identified Mail). Así funciona el sello, sin la jerga:

• Publicas una clave pública en tu dominio (en la configuración de tu DNS). Cualquiera puede leerla: ese es el sentido.
• Tu proveedor de correo guarda la clave privada correspondiente y la usa para firmar cada correo que envías, añadiendo una cabecera oculta.
• Cuando el correo llega, el proveedor del destinatario obtiene tu clave pública, comprueba la firma contra el mensaje y confirma que es genuino e inalterado.

Algunos términos que puedes oír de tu informático:

• Selector — una etiqueta que apunta a una clave concreta, por ejemplo selector1._domainkey.tudominio. Te permite tener y rotar varias claves de forma limpia. Tu proveedor lo configura.
• Fuerza de la clave — las claves DKIM vienen en tamaños. La base moderna es RSA de 2048 bits; las claves RSA de 4096 bits o Ed25519 son aún más fuertes. Las claves antiguas de 1024 bits todavía funcionan, pero se consideran débiles según los estándares actuales (NIST SP 800-131A / RFC 8301).

Cómo se ve lo «bueno»: una clave DKIM válida publicada en un selector de tu dominio, tu correo saliente firmado con ella, y la clave de 2048 bits o más fuerte. Ese es el aprobado completo.

Una nota sobre cómo se puntúa. Esta comprobación busca una clave DKIM genuina y bien formada publicada en los selectores que los proveedores de correo usan habitualmente. Una clave válida publicada es la señal positiva: un escáner de terceros no puede reproducir tus firmas en vivo, así que lo que se mide es la presencia de una clave correcta. No se encuentra clave suspende la comprobación (es un hueco de severidad alta). Una clave válida pero débil (RSA de 1024 bits) obtiene aproximadamente media nota: funciona pero debería actualizarse. Una clave fuerte (RSA de 2048 bits o mejor, o Ed25519) obtiene la nota máxima. Esta es una de las comprobaciones de seguridad de correo que cuentan para tu calificación, con una parte significativa de ella.

Cómo solucionarlo (gratis, ~15 minutos)

Esta parte es para quien gestione tu correo o tu dominio; si no eres tú, pásale esta sección. La solución es gratis. Solo cobramos por vigilar que tus protecciones se mantengan sanas con el tiempo, no por configurarlas.

La forma general es la misma en todas partes: activa el DKIM en tu proveedor de correo, toma la clave que genera, publícala en tu DNS y luego confirma que está en vigor. Los pasos exactos dependen de quién lleve tu correo; aquí están los más comunes.

Google Workspace (Gmail)

1. Consola de administración → Apps → Google Workspace → Gmail → Autenticar correo.
2. Selecciona tu dominio y haz clic en Generar nuevo registro (elige la longitud de clave de 2048 bits).
3. Google te da un registro DNS. Añádelo en tu proveedor de DNS como un registro TXT, host google._domainkey.tudominio, con el valor que Google proporcionó.
4. Espera a que se propague (de minutos a unas pocas horas), luego vuelve a la misma pantalla y haz clic en Iniciar autenticación.

Microsoft 365 (Outlook / Exchange Online)

1. Ve al portal de Microsoft Defender → Correo y colaboración → Directivas y reglas → Directivas de amenazas → Configuración de autenticación de correo → DKIM.
2. Selecciona tu dominio. Microsoft te muestra dos registros CNAME para publicar (selector1 y selector2).
3. Añade ambos registros CNAME en tu proveedor de DNS exactamente como se muestran.
4. De vuelta en la pantalla de DKIM, activa la firma DKIM a Activada para el dominio.

Zoho Mail

1. Panel de control → Autenticación de correo → DKIM.
2. Genera una clave (usa un selector como zoho), luego añade el registro TXT proporcionado en zoho._domainkey.tudominio en tu DNS.
3. Verifica en el panel de Zoho una vez el registro esté en vigor.

Otros proveedores / tu propio servidor de correo El patrón es idéntico: el proveedor (o tu software de correo) genera un par de claves, firma tu correo saliente con la clave privada y te da un registro público para publicar. Suele tener este aspecto:

Host:  selector1._domainkey.tudominio
Tipo:  TXT (o CNAME, según el proveedor)
Valor: (la larga cadena de clave que te da tu proveedor)

Dónde se añaden los registros DNS: en la configuración de DNS de tu dominio, normalmente en tu registrador de dominio o proveedor de DNS (por ejemplo, Cloudflare, GoDaddy, el panel de control de tu hosting). Si tu proveedor de correo facilita un CNAME, apunta a un registro que ellos alojan, así que nunca ves la clave en bruto: eso es normal y está bien.

Confirma que funciona: envíate un correo de prueba a una cuenta de Gmail, ábrelo, elige Mostrar original y comprueba que aparece DKIM: PASS. Luego vuelve a comprobar tu dominio aquí para confirmar que la clave llegó como de 2048 bits o más fuerte, no una débil de 1024 bits.

Errores habituales

• Suponer que un gran proveedor lo tiene activado por defecto. Montones de dominios en Google o Microsoft aún necesitan que se active el DKIM y se publique un registro. «Usamos Microsoft 365» no es lo mismo que «el DKIM está activado».
• Generar una clave débil de 1024 bits. Algunos proveedores aún ponen por defecto u ofrecen 1024 bits. Elige 2048 bits cuando te den la opción: una clave débil solo obtiene media nota y la señalan los receptores más estrictos.
• Publicar el registro pero no activar nunca la firma. Añadir el registro DNS es solo la mitad del trabajo. Si no activas la firma en el proveedor (el interruptor final), tu correo sigue saliendo sin firmar.
• Escribir mal o truncar la clave. Las claves DKIM son largas. Un copia-pega que pierde un carácter o parte el valor mal produce un sello roto que falla en cada correo. Pega el valor exactamente como te lo dan.
• Olvidar tus otros remitentes. Si envías correo a través de una herramienta de boletines, un CRM, una aplicación de facturación o una plataforma de comercio electrónico, cada uno puede necesitar su propia clave y selector DKIM. Firma el correo de todos los servicios que envían en tu nombre, no solo el de tu buzón.

Una nota sobre DKIM, SPF y DMARC

El DKIM rara vez funciona solo. Es uno de tres ajustes que juntos hacen que tu correo sea de confianza:

• SPF dice qué servidores tienen permiso para enviar correo en nombre de tu dominio.
• DKIM (esta página) es el sello a prueba de manipulaciones que demuestra que un mensaje es genuinamente tuyo y no ha cambiado.
• DMARC es la instrucción que le dice a los proveedores qué hacer con todo lo que falle, y se apoya en el DKIM y el SPF para tomar esa decisión.

Si estás arreglando el DKIM, conviene comprobar el SPF y el DMARC al mismo tiempo. Juntos son lo que impide que tu empresa sea suplantada y lo que mantiene tu correo real aterrizando donde debe.

Configúralo en tu proveedor

Paso a paso para los proveedores más populares:

• Configurar DKIM en GoDaddy
• Configurar DKIM en Namecheap
• Configurar DKIM en Cloudflare
• Configurar DKIM en Google Workspace
• Configurar DKIM en Microsoft 365
• Configurar DKIM en Squarespace
• Configurar DKIM en Wix
• Configurar DKIM en AWS Route 53
• Configurar DKIM en Hostinger
• Configurar DKIM en Porkbun
• Configurar DKIM en IONOS
• Configurar DKIM en Bluehost

Preguntas frecuentes