Defaults.Exposed › Configuración › DKIM

Cómo configurar DKIM en AWS Route 53

Publica en tu zona alojada de Route 53 la clave DKIM de tu proveedor de correo para que tus emails lleven una firma a prueba de manipulación.

Por qué esto le importa a tu negocio

DKIM (DomainKeys Identified Mail) añade una firma digital invisible a cada email que envías. El proveedor de correo que recibe el mensaje usa una clave pública que has publicado en tu DNS para confirmar dos cosas: que el mensaje salió realmente de tu dominio y que nadie lo alteró por el camino.

En cristiano: DKIM es un sello de autenticidad en tu correo. Hace más difícil que alguien se haga pasar por ti y mejora las probabilidades de que tu correo legítimo llegue a la bandeja de entrada en lugar de a spam. Como los demás, es gratis y se configura una sola vez.

Importante: DKIM tiene dos mitades

DKIM es el único registro en el que de verdad importa quién hace qué:

• Tu proveedor de correo genera la clave. Google Workspace, Microsoft 365, Amazon SES o quien gestione tus envíos genera la clave DKIM por ti, dentro de su consola de administración. No te la puedes inventar: tienes que obtener de ellos el nombre de host y el valor exactos. Route 53 no genera claves DKIM; es tu alojamiento DNS, no tu proveedor de buzones.
• Route 53 la publica. Luego añades esa clave al DNS de tu dominio en Route 53 (suponiendo que Route 53 gestione tu DNS; ver más abajo).

Así que: genera en la plataforma de correo, publica en el alojamiento DNS.

Primero, confirma que Route 53 gestiona tu DNS

Un registro DKIM solo funciona si Route 53 responde el DNS de tu dominio. En la consola de Route 53, abre Hosted zones, selecciona tu dominio y anota los cuatro valores NS (servidores de nombres). Esos deben coincidir con los servidores de nombres definidos en tu registrador. Si registraste el dominio a través de Route 53, normalmente ya coinciden; si está registrado en otro sitio —o tienes más de una zona alojada para el dominio— compruébalo con cuidado. Si los servidores de nombres activos apuntan a otro proveedor, añade el registro DKIM allí en su lugar; en Route 53 no surtirá efecto.

Consigue la clave de tu proveedor de correo

En el área de administración de tu proveedor de correo, busca la opción de DKIM o autenticación de email y genera o activa una clave. Lo que recibes depende del proveedor, y eso cambia cómo lo introduces en Route 53:

• Google Workspace te da un registro TXT: un nombre de selector como google._domainkey y un valor largo que empieza por v=DKIM1; k=rsa; p=, seguido de una cadena muy larga.
• Microsoft 365 te da dos registros CNAME, con selectores como selector1._domainkey y selector2._domainkey, cada uno apuntando a un host de Microsoft.
• Amazon SES te da tres registros CNAME (su función «Easy DKIM»). Si tu dominio está en Route 53, SES a menudo puede ofrecerse a añadirlos por ti automáticamente, pero también puedes añadirlos a mano.

Copia los nombres de host y los valores exactamente.

Paso a paso en Route 53

1. Inicia sesión en la consola de AWS y abre Route 53.
2. En el menú de la izquierda, elige Hosted zones y luego haz clic en el nombre de tu dominio.
3. Haz clic en Create record.
4. Si aparece un asistente con opciones de enrutamiento, cambia al formulario simple (busca Quick create record).
5. En Record name, introduce solo la parte del selector; por ejemplo google._domainkey o selector1._domainkey. No añadas tu nombre de dominio al final; Route 53 añade la zona por ti automáticamente (muestra tu dominio junto al campo).
6. Pon Record type en TXT o CNAME para que coincida exactamente con lo que te dio tu proveedor (Google = TXT; Microsoft 365 y Amazon SES = CNAME).
7. En Value:
   • Para una clave TXT, pega el valor largo entre comillas dobles: "v=DKIM1; k=rsa; p=...".
   • Para un CNAME, pega el host de destino que te dio tu proveedor, sin comillas (p. ej. selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
8. Deja TTL en su valor predeterminado.
9. Haz clic en Create records. Repite para cada registro (Microsoft 365 necesita dos; Amazon SES necesita tres).

Errores típicos en Route 53

• Las claves TXT necesitan comillas dobles; los CNAME no. Esto hace tropezar a la gente constantemente. Un valor DKIM de tipo TXT se introduce como "v=DKIM1; ... p=..." con las comillas. Un valor CNAME es solo el host de destino en limpio, sin comillas. Confundirlos rompe el registro.
• No pongas el dominio completo en Record name. Si las instrucciones de tu proveedor muestran selector1._domainkey.yourdomain.com, en Route 53 introduces solo selector1._domainkey; el resto se añade por ti. Volver a incluir el dominio crea un host roto del tipo selector1._domainkey.yourdomain.com.yourdomain.com.
• Pega la clave entera: es larga. Las claves públicas DKIM de tipo TXT tienen cientos de caracteres. Asegúrate de que no se corte nada y de que no se cuelen espacios ni saltos de línea al copiar y pegar.
• Añade todos los registros que pidió tu proveedor. Microsoft 365 no validará con solo uno de sus dos CNAME; Amazon SES necesita los tres. Un conjunto parcial deja DKIM fallando en silencio.
• TXT o CNAME: sigue a tu proveedor. No conviertas un CNAME en TXT ni al revés. Usa el tipo que ellos especifiquen.
• La zona alojada correcta, en la cuenta correcta. Con varias zonas o cuentas de AWS es fácil editar la equivocada. Asegúrate de que los cuatro valores NS de la zona coinciden con tus servidores de nombres activos.
• Dale tiempo. Los cambios de DNS pueden tardar entre unos minutos y un par de horas en propagarse antes de que DKIM empiece a validar.

Comprueba que funcionó

Tras guardar y dejar pasar algo de tiempo para la propagación, ejecuta la comprobación gratuita de este sitio. Te confirmará en lenguaje claro si tu registro DKIM está publicado y se puede leer.

¿Listo? Comprueba tu dominio gratis para confirmar que funcionó — y ver tu calificación completa en las 34 comprobaciones.