Defaults.Exposed › Configuración › DKIM

Cómo configurar DKIM en Google Workspace

Genera una clave DKIM en la consola de administración de Google y publícala en tu DNS para que tus emails lleven una firma a prueba de manipulación.

Por qué esto le importa a tu negocio

DKIM (DomainKeys Identified Mail) añade una firma digital invisible a cada email que envías. El proveedor de correo que recibe el mensaje usa una clave pública que has publicado en tu DNS para confirmar dos cosas: que el mensaje salió realmente de tu dominio y que nadie lo alteró por el camino.

En cristiano: DKIM es un sello de autenticidad en tu correo. Hace más difícil que alguien se haga pasar por ti y mejora las probabilidades de que tu correo legítimo llegue a la bandeja de entrada en lugar de a spam. Es gratis y se configura una sola vez.

Importante: DKIM tiene dos mitades

DKIM es el único registro en el que de verdad importa quién hace qué:

• Google genera la clave, en la consola de administración de Google. Inicias sesión en admin.google.com y haces que Google cree la clave DKIM para tu dominio. No te puedes inventar este valor; Google lo produce por ti.
• Tu alojamiento DNS la publica. Luego añades esa clave al DNS de tu dominio, en la empresa que gestione tus servidores de nombres (tu registrador, alojamiento web, Cloudflare, etc.). Esa empresa normalmente no es Google.

Así que: genera en Google Workspace, publica en tu alojamiento DNS. Ambas mitades son necesarias, y hay un paso extra al final en el que vuelves a Google y activas DKIM.

Paso 1 — Genera la clave en la consola de administración de Google

1. Inicia sesión en la consola de administración de Google en admin.google.com con una cuenta de administrador.
2. Ve a Apps → Google Workspace → Gmail y abre Authenticate email (esta es la sección de DKIM).
3. Selecciona tu dominio en la lista.
4. Si se te pide, elige la longitud de la clave (la predeterminada, normalmente de 2048 bits, está bien) y haz clic en Generate new record.
5. Google te muestra ahora dos fragmentos de texto:
   • Un nombre de host de DNS/selector, que para Google suele ser google._domainkey.
   • Un valor de registro TXT largo que empieza por v=DKIM1; k=rsa; p=, seguido de una cadena de caracteres muy larga (la clave pública).
6. Deja esta página abierta: copiarás esto en tu DNS y luego volverás para activar DKIM.

Paso 2 — Publica la clave en tu alojamiento DNS

Primero, asegúrate de estar trabajando en la empresa que realmente gestiona tu DNS. Un registro DKIM solo funciona si se añade allí donde apuntan los servidores de nombres de tu dominio. Si no estás seguro, revisa la sección Nameservers en la cuenta de tu registrador, o pregunta a quien gestione tu sitio web.

1. Inicia sesión en tu alojamiento DNS y abre la configuración de DNS de tu dominio (busca DNS / Records / Advanced DNS).
2. Añade un registro nuevo y elige TXT.
3. En el campo Name / Host, introduce solo la parte del selector; para Google suele ser google._domainkey. No añadas tu nombre de dominio al final; el alojamiento DNS lo añade automáticamente.
4. En el campo Value, pega el valor largo de la clave que te dio Google, exactamente.
5. Deja TTL en su valor predeterminado.
6. Guarda.

Paso 3 — Activa DKIM, de vuelta en Google

Publicar el registro no basta: tienes que decirle a Google que empiece a firmar.

1. Vuelve a la página Authenticate email en la consola de administración de Google.
2. Haz clic en Start authentication.
3. Google comprueba que el registro es visible en tu DNS. Si todavía no lo encuentra, da algo de tiempo al DNS para propagarse (de unos minutos a un par de horas) e inténtalo de nuevo.

Errores típicos

• Dos sitios, en orden. Genera en Google, publica en el DNS y luego vuelve y haz clic en Start authentication. Saltarte el último paso significa que la clave está publicada pero Google nunca firma tu correo.
• No pongas el dominio completo en Host. Si las instrucciones muestran google._domainkey.yourdomain.com, en tu alojamiento DNS introduces solo google._domainkey; el resto se añade por ti. Volver a incluir el dominio crea un host roto como google._domainkey.yourdomain.com.yourdomain.com.
• Pega la clave entera: es larga. Las claves públicas DKIM tienen cientos de caracteres. Algunos alojamientos DNS tienen un límite de caracteres por campo y dividen los valores TXT largos en varias cadenas entrecomilladas: eso es normal y Google lo gestiona, pero asegúrate de que no se corte nada y de que no se cuelen espacios ni saltos de línea.
• Cuidado con las comillas. Pega el valor en limpio; la mayoría de los alojamientos DNS añaden las comillas por ti. Añadir comillas «”» a mano por encima puede corromper el registro.
• Haz coincidir el selector exactamente. El host en tu DNS debe coincidir carácter por carácter con lo que espera Google (google._domainkey): así es como el receptor encuentra la clave correcta.
• Dale tiempo. Los cambios de DNS pueden tardar entre unos minutos y un par de horas antes de que Google pueda confirmar y DKIM empiece a validar.

Comprueba que funcionó

Tras publicar el registro, activar la autenticación y dejar pasar algo de tiempo para la propagación, ejecuta la comprobación gratuita de Defaults.Exposed. Te confirmará en lenguaje claro si tu registro DKIM está publicado y se puede leer. Tus datos se procesan en la UE.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.