Defaults.Exposed › Configuración › DKIM

Cómo configurar DKIM en Cloudflare

Publica en el DNS de Cloudflare la clave DKIM de tu proveedor de correo para que tus emails lleven una firma a prueba de manipulación.

Por qué esto le importa a tu negocio

DKIM (DomainKeys Identified Mail) añade una firma digital invisible a cada email que envías. El proveedor de correo que recibe el mensaje usa una clave pública que has publicado en tu DNS para confirmar dos cosas: que el mensaje salió realmente de tu dominio y que nadie lo alteró por el camino.

En cristiano: DKIM es un sello de autenticidad en tu correo. Hace más difícil que alguien se haga pasar por ti y mejora las probabilidades de que tu correo legítimo llegue a la bandeja de entrada en lugar de a spam. Como los demás, es gratis y se configura una sola vez.

Importante: DKIM tiene dos mitades

DKIM es el único registro en el que de verdad importa quién hace qué:

• Tu proveedor de correo genera la clave. Google Workspace, Microsoft 365 o quien gestione tus buzones crea la clave DKIM por ti, dentro de su consola de administración. No te la puedes inventar: tienes que obtener de ellos el nombre de host y el valor exactos. Cloudflare no genera claves DKIM; es tu alojamiento DNS, no tu proveedor de buzones.
• Cloudflare la publica. Luego añades esa clave al DNS de tu dominio en Cloudflare (suponiendo que Cloudflare gestione tu DNS; ver más abajo).

Así que: genera en la plataforma de correo, publica en el alojamiento DNS.

Primero, confirma que Cloudflare gestiona tu DNS

Un registro DKIM solo funciona si Cloudflare responde el DNS de tu dominio. El DNS de Cloudflare solo está activo cuando los servidores de nombres de tu dominio (definidos en tu registrador) apuntan a los servidores de nombres de Cloudflare que aparecen en tu panel. Abre tu dominio en Cloudflare y revisa la página Overview: te confirmará si Cloudflare está activo. Si tus servidores de nombres apuntan a otro proveedor, añade el registro DKIM allí en su lugar; en Cloudflare no surtirá efecto.

Consigue la clave de tu proveedor de correo

En el área de administración de tu proveedor de correo, busca la opción de DKIM o autenticación de email y genera o activa una clave. Te dará dos fragmentos de texto:

• Un nombre de host/selector, algo como google._domainkey o selector1._domainkey.
• Un valor largo que empieza por v=DKIM1;, seguido de k=rsa; p= y una cadena de caracteres muy larga (la clave pública).

Copia ambos exactamente.

Paso a paso en Cloudflare

1. Inicia sesión en Cloudflare y selecciona tu dominio.
2. En el menú de la izquierda, ve a la configuración de DNS (busca DNS / Records).
3. Haz clic en Add record.
4. Pon Type en TXT para la mayoría de las claves DKIM. Usa CNAME solo si tu proveedor te lo indicó específicamente: algunos proveedores, incluido Microsoft 365, usan registros CNAME que apuntan de vuelta a sus servidores.
5. En el campo Name, introduce solo la parte del selector; por ejemplo google._domainkey o selector1._domainkey. No añadas tu nombre de dominio al final; Cloudflare lo añade automáticamente.
6. En el campo Content, pega el valor largo de la clave exactamente como te lo dio tu proveedor. (Para un CNAME, pega en su lugar el host de destino que te dieron.)
7. Deja TTL en Auto.
8. Haz clic en Save.

Errores típicos en Cloudflare

• No pongas el dominio completo en Name. Si las instrucciones de tu proveedor muestran selector1._domainkey.yourdomain.com, en Cloudflare introduces solo selector1._domainkey; el resto se añade por ti. Volver a incluir el dominio crea un host roto del tipo ..yourdomain.com.yourdomain.com.
• Pega la clave entera: es larga. Las claves públicas DKIM tienen cientos de caracteres. Asegúrate de que no se corte nada y de que no se cuelen espacios ni saltos de línea al copiar y pegar. Cloudflare divide internamente un valor TXT largo en segmentos: eso es normal y no pasa nada.
• No añadas tus propias comillas. Pega el valor en limpio; Cloudflare se encarga de las comillas. Las comillas «”» añadidas a mano pueden corromper el registro.
• TXT o CNAME: sigue a tu proveedor. Si dice CNAME, elige CNAME y pega su host de destino como contenido; no lo conviertas en TXT.
• Si añades un CNAME, ponlo en DNS only (nube gris). Los registros de autenticación no deben pasar por el proxy: asegúrate de que el estado del proxy muestre la nube gris, no la naranja, para que el registro resuelva al valor de tu proveedor de correo y no al proxy de Cloudflare.
• Haz coincidir el selector exactamente. El selector del campo Name debe coincidir carácter por carácter con lo que espera tu proveedor: así es como el receptor encuentra la clave correcta.
• Dale tiempo. Los cambios de DNS pueden tardar entre unos minutos y un par de horas en propagarse antes de que DKIM empiece a validar.

Comprueba que funcionó

Tras guardar y dejar pasar algo de tiempo para la propagación, ejecuta la comprobación gratuita de este sitio. Te confirmará en lenguaje claro si tu registro DKIM está publicado y se puede leer.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.