Inicio / Guías / Cómo configurar DKIM para firmar emails y mejorar la entregabilidad

#ecommerce#automation#transactional#marketing#spf#dkim#dmarc#dns#reputacion#spam

Cómo configurar DKIM para firmar emails y mejorar la entregabilidad

4,0 · 80 valoraciones
· Actualizado el 13 de septiembre de 2025

Aprende cómo configurar DKIM paso a paso, firmar tus emails correctamente y evitar errores que afectan la entregabilidad en Gmail, Outlook y otros proveedores.

Cómo configurar DKIM para firmar emails y mejorar la entregabilidad
Forma parte de SPF DKIM DMARC Deliverability

DKIM es uno de los pilares técnicos de la entregabilidad email. Sus siglas significan DomainKeys Identified Mail y su función es demostrar que un correo ha sido enviado por un dominio autorizado y que el mensaje no ha sido alterado durante el envío. En la práctica, configurar DKIM ayuda a que proveedores como Gmail, Outlook, Yahoo o Apple Mail confíen más en tus emails, reduciendo el riesgo de que terminen en spam o sean rechazados.

Para una página evergreen, conviene entender DKIM como una “firma digital” aplicada a cada email saliente. Esa firma se genera desde tu plataforma de envío y se valida mediante un registro DNS publicado en tu dominio. Si ambas partes coinciden, el servidor receptor puede confirmar que el mensaje es legítimo.

¿Qué es DKIM y por qué importa?

DKIM permite asociar un email con el dominio que lo envía. Cuando una plataforma de email marketing, CRM o servidor SMTP envía un mensaje, añade una firma criptográfica en la cabecera del correo. El destinatario consulta el DNS del dominio para verificar esa firma.

Beneficios principales de DKIM

  • Mejora la autenticación del dominio.
  • Reduce la probabilidad de caer en spam.
  • Protege frente a suplantación y manipulación de mensajes.
  • Ayuda a cumplir buenas prácticas junto con SPF y DMARC.
  • Refuerza la reputación del dominio de envío.

DKIM por sí solo no garantiza llegar a la bandeja de entrada, pero sin DKIM es mucho más difícil construir una reputación sólida.

Cómo funciona DKIM

El proceso se basa en una clave privada y una clave pública. La clave privada queda en manos del proveedor que envía los emails. La clave pública se publica como registro TXT o CNAME en el DNS del dominio.

Selector DKIM

El selector es una etiqueta que identifica qué clave debe usar el servidor receptor. Por ejemplo, un selector podría llamarse default, mail, s1 o k1. El registro suele tener una estructura similar a:

selector._domainkey.tudominio.com

Pasos prácticos para configurar DKIM

1. Accede a tu proveedor de email

Entra en la herramienta desde la que envías correos: plataforma de email marketing, CRM, proveedor SMTP, ecommerce o servicio transaccional. Busca una sección llamada “Autenticación de dominio”, “Domain authentication”, “DKIM”, “DNS settings” o similar.

2. Añade tu dominio de envío

Introduce el dominio desde el que enviarás emails, por ejemplo tudominio.com. Algunos proveedores permiten autenticar subdominios como mail.tudominio.com o news.tudominio.com, algo recomendable si separas emails transaccionales, marketing y comunicación corporativa.

3. Copia los registros DKIM generados

El proveedor mostrará uno o varios registros DNS. Pueden ser de tipo TXT o CNAME. Normalmente incluirán:

  • Nombre o host del registro.
  • Tipo de registro.
  • Valor del registro.
  • Selector DKIM.

4. Publica el registro en tu DNS

Accede al panel donde gestionas el DNS de tu dominio: registrador, hosting, Cloudflare u otro proveedor DNS. Crea el registro exactamente como aparece en la plataforma de envío.

Si el proveedor indica solo el host, no dupliques el dominio. Por ejemplo, si te pide selector._domainkey y tu panel añade automáticamente tudominio.com, no escribas selector._domainkey.tudominio.com salvo que el panel lo requiera.

5. Espera la propagación DNS

Los cambios DNS pueden tardar desde minutos hasta 24-48 horas, aunque normalmente se validan antes. Durante este tiempo, el proveedor puede mostrar el estado como pendiente.

6. Verifica DKIM desde la plataforma

Vuelve al proveedor de email y pulsa “Verificar”, “Authenticate” o “Check DNS”. Si todo está correcto, el dominio quedará autenticado y los emails empezarán a salir firmados con DKIM.

Configuración DKIM por proveedor genérico

Email marketing

Herramientas como newsletters o automatización suelen pedir varios CNAME para autenticar DKIM y tracking. Copia todos los registros y verifica que el dominio de remitente coincide con el dominio autenticado.

SMTP o emails transaccionales

Los proveedores SMTP suelen generar uno o dos registros DKIM. Es importante autenticar el dominio usado en campos como “From” y no solo el dominio técnico del servidor.

Hosting o correo corporativo

Si usas correo corporativo, busca DKIM en el panel de administración del servicio. Algunos proveedores permiten activar DKIM con un botón y luego publicar un registro TXT en DNS.

Ecommerce o CRM

En plataformas de ecommerce y CRM, DKIM suele estar dentro de ajustes de notificaciones, dominios o remitentes. Autentica el dominio antes de enviar campañas o emails automatizados a gran escala.

Errores comunes al configurar DKIM

Duplicar el dominio en el host

Uno de los errores más frecuentes es crear un registro como selector._domainkey.tudominio.com.tudominio.com. Revisa cómo interpreta el panel DNS el campo “nombre”.

Copiar mal el valor del registro

Un carácter omitido, comillas incorrectas o saltos de línea mal pegados pueden invalidar DKIM. Copia el valor completo sin modificarlo.

Usar el dominio equivocado

DKIM debe configurarse para el dominio real del remitente. Si envías desde [email protected], autenticar otro dominio no resolverá el problema.

No combinar DKIM con SPF y DMARC

DKIM funciona mejor junto con SPF y DMARC. Estos tres protocolos forman la base de la autenticación moderna de email.

Enviar antes de validar

Evita lanzar campañas importantes hasta que DKIM aparezca como verificado. Enviar sin autenticación puede dañar la reputación inicial del dominio.

Recursos relacionados

Si quieres profundizar, prueba estas herramientas gratuitas: Domain Health, mail tester, validador SPF y validador DMARC.

¿Necesitas que alguien lleve tu canal de email entero? Abalola Mail es la agencia de retención y email marketing de Abalola para ecommerce: estrategia, producción y operación del stack sobre Klaviyo, Mailchimp o Brevo.

Preguntas frecuentes

¿Qué es DKIM y para qué sirve?
DKIM (DomainKeys Identified Mail) es una firma digital criptográfica que demuestra que un email proviene del dominio que dice ser y que no se modificó en tránsito. Mejora la confianza de Gmail, Outlook y Yahoo en tus envíos.
¿DKIM 1024 o 2048 bits?
Hoy se recomienda 2048 bits. Las claves de 1024 están deprecadas por seguridad y algunos proveedores ya las marcan como débiles en sus reportes de autenticación.
¿Cómo verifico que DKIM está bien publicado?
Usa dig +short TXT selector._domainkey.tudominio.com para comprobar que la clave pública resuelve. También puedes enviar un email a Gmail y revisar dkim=pass en Authentication-Results.
¿Puedo tener varias claves DKIM activas?
Sí. Es habitual tener varios selectores (uno por proveedor de envío) y rotar claves manteniendo la antigua activa unos días para no invalidar mensajes en tránsito.
¿Qué hago si dkim=fail aparece en cabeceras?
Comprueba que el selector resuelve en DNS, que la clave pública coincide con la privada del proveedor y que ningún gateway intermedio modifica el cuerpo del mensaje tras la firma.
¿DKIM evita que mis emails lleguen a spam?
No lo garantiza, pero mejora la confianza técnica del dominio y reduce riesgos. La entregabilidad también depende de reputación, contenido, [engagement](/guias/engagement-signals-gmail-yahoo-interaccion-reputacion/) y listas limpias.
¿Necesito DKIM si ya tengo SPF?
Sí. SPF y DKIM validan aspectos distintos del envío. Lo ideal es usar ambos junto con DMARC.