Defaults.Exposed › Configuración › DKIM

Cómo configurar DKIM en Microsoft 365

Publica dos registros DKIM en tu DNS y activa DKIM en Microsoft 365 para que tus emails lleven una firma a prueba de manipulación.

Por qué esto le importa a tu negocio

DKIM (DomainKeys Identified Mail) añade una firma digital invisible a cada email que envías. El proveedor de correo que recibe el mensaje usa una clave pública que has publicado en tu DNS para confirmar dos cosas: que el mensaje salió realmente de tu dominio y que nadie lo alteró por el camino.

En cristiano: DKIM es un sello de autenticidad en tu correo. Hace más difícil que alguien se haga pasar por ti y mejora las probabilidades de que tu correo legítimo llegue a la bandeja de entrada en lugar de a spam. Es gratis y se configura una sola vez.

Importante: en Microsoft 365 DKIM se hace en dos sitios

DKIM es el único registro en el que de verdad importa quién hace qué. Microsoft 365, además, lo hace de forma algo distinta a la mayoría de los proveedores; conviene saberlo para no atascarse:

• Microsoft usa dos registros CNAME, no una clave TXT larga. La mayoría de los proveedores te entregan una clave pública TXT enorme. Microsoft, en cambio, hace que publiques dos registros CNAME cortos (llamados selector1 y selector2) que apuntan de vuelta a Microsoft. Microsoft guarda las claves reales y puede rotarlas con seguridad detrás de esos punteros.
• Tu alojamiento DNS publica los dos CNAME. Los añades allí donde apuntan los servidores de nombres de tu dominio: tu registrador, alojamiento web, Cloudflare, etc. Esa empresa normalmente no es Microsoft (salvo que dejes que Microsoft gestione tu DNS).
• Después activas DKIM dentro de Microsoft. Publicar los registros no basta; hay un paso final en el portal de seguridad de Microsoft donde habilitas la firma.

Así que: publica dos CNAME en tu alojamiento DNS y luego entra en Microsoft y activa DKIM.

Paso 1 — Consigue los dos valores de registro en Microsoft

1. Inicia sesión como administrador y abre el portal de seguridad de Microsoft en security.microsoft.com.
2. Ve al área Email & collaboration y busca Policies & rules → Threat policies → Email authentication settings → DKIM (Microsoft a veces cambia de sitio estas etiquetas: busca DKIM dentro de la autenticación de email o de la configuración antispam).
3. Selecciona tu dominio.
4. Microsoft te mostrará los dos registros que necesitas crear. Tienen este aspecto, con tu propio dominio y tus códigos únicos rellenados:
   • Host 1: selector1._domainkey → apunta a selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
   • Host 2: selector2._domainkey → apunta a selector2-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com
5. Copia ambos valores de destino exactamente. No te los puedes inventar: Microsoft los genera para tu inquilino (tenant).

Paso 2 — Publica los dos CNAME en tu alojamiento DNS

Primero, asegúrate de estar trabajando en la empresa que realmente gestiona tu DNS. Los registros solo funcionan si se añaden allí donde apuntan los servidores de nombres de tu dominio. Si no estás seguro, revisa la sección Nameservers en la cuenta de tu registrador, o pregunta a quien gestione tu sitio web.

1. Inicia sesión en tu alojamiento DNS y abre la configuración de DNS de tu dominio (busca DNS / Records / Advanced DNS).
2. Añade un registro nuevo y elige CNAME (no TXT: esta es la parte que la gente hace mal).
3. Para el primer registro, en el campo Name / Host introduce solo selector1._domainkey. No añadas tu dominio al final; el alojamiento DNS lo añade automáticamente.
4. En el campo Value / Points to / Target, pega el primer destino de Microsoft, p. ej. selector1-<your-domain>._domainkey.<your-tenant>.onmicrosoft.com.
5. Repite para el segundo registro: Name = selector2._domainkey, Value = el segundo destino de Microsoft.
6. Deja TTL en su valor predeterminado.
7. Guarda ambos.

Paso 3 — Activa DKIM, de vuelta en Microsoft

Publicar los registros no basta: tienes que decirle a Microsoft que empiece a firmar.

1. Vuelve a la página DKIM en el portal de seguridad de Microsoft.
2. Selecciona tu dominio y pon Sign messages for this domain with DKIM signatures en On (el interruptor puede aparecer etiquetado como Enable).
3. Microsoft comprueba que los dos registros son visibles en tu DNS. Si todavía no los encuentra, da algo de tiempo al DNS para propagarse (de unos minutos a un par de horas) e inténtalo de nuevo.

Errores típicos

• CNAME, no TXT. El DKIM de Microsoft usa dos registros CNAME que apuntan de vuelta a Microsoft. Intentar pegar una clave pública TXT (como hacen otros proveedores) aquí no funciona.
• Los dos registros, y luego el interruptor. Necesitas selector1 y selector2 publicados, y después el paso de habilitar dentro de Microsoft. Saltarte el interruptor significa que los registros existen pero Microsoft nunca firma tu correo.
• No pongas el dominio completo en Host. Introduce solo selector1._domainkey / selector2._domainkey; el resto se añade por ti. Volver a incluir tu dominio crea un host roto como selector1._domainkey.yourdomain.com.yourdomain.com.
• Pega los destinos exactamente. Los destinos onmicrosoft.com contienen el nombre de tu inquilino y códigos únicos: un solo carácter mal y DKIM no validará.
• Cuidado con las comillas. El destino de un CNAME es un nombre de host en limpio; no lo envuelvas en «”…”». Las comillas van en los registros TXT, no en los CNAME.
• Dale tiempo. Los cambios de DNS pueden tardar entre unos minutos y un par de horas antes de que Microsoft pueda confirmar y DKIM empiece a validar.

Comprueba que funcionó

Tras publicar ambos registros, activar DKIM y dejar pasar algo de tiempo para la propagación, ejecuta la comprobación gratuita de Defaults.Exposed. Te confirmará en lenguaje claro si tu DKIM está publicado y se puede leer. Tus datos se procesan en la UE.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.