Glosario/DKIM (DomainKeys Identified Mail)
Autenticación

DKIM (DomainKeys Identified Mail)

Una firma criptográfica añadida a los headers del email para que los servidores receptores puedan verificar que el mensaje no fue alterado y provino de un remitente autorizado.

¿Qué es DKIM?

DKIM, o DomainKeys Identified Mail, es un método de autenticación de email basado en DNS que adjunta una firma criptográfica a cada mensaje saliente. Los servidores receptores obtienen la clave pública del remitente desde DNS y la usan para verificar que el mensaje no fue manipulado en tránsito y que fue autorizado por el dueño del dominio.

Por qué importa

Sin DKIM, cualquier servidor en internet puede falsificar correo diciendo venir de tu dominio. Los proveedores de buzón modernos, incluyendo Gmail y Yahoo, ahora rechazan o ponen en cuarentena el correo masivo no autenticado sin contemplaciones. DKIM también es un prerrequisito para la aplicación de DMARC, por lo que cada equipo que opera un dominio de envío necesita configurarlo correctamente.

Cómo funciona

El servidor emisor calcula un hash de headers seleccionados y del cuerpo, firma ese hash con una clave privada y agrega un header DKIM-Signature al mensaje. El servidor receptor extrae el selector y el dominio de la firma, consulta el DNS por la clave pública y verifica la firma. Un registro DNS se ve así:

selector1._domainkey.acme.io IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN..."

Múltiples selectores te permiten rotar claves sin downtime.

Ejemplos

  • Una startup publicando una clave DKIM de 2048 bits en s1._domainkey.example.com antes de su primera campaña
  • Una plataforma usando un selector por entorno para que staging y producción firmen de forma independiente
  • Un equipo de ops rotando de los selectores sk2024 a sk2025 con ventanas de publicación superpuestas

Mejores prácticas

  • Usa claves RSA de al menos 2048 bits; 1024 se considera débil
  • Rota las claves al menos una vez al año y mantén el selector previo activo durante la transición
  • Firma como mínimo los headers From, Subject, Date y To
  • Deja que Sendkit provisione y rote tus claves DKIM automáticamente cuando sea posible

Preguntas frecuentes

¿Qué es un selector DKIM?

Un selector es una etiqueta que te permite publicar múltiples claves DKIM para el mismo dominio. Aparece en el header de la firma y determina qué registro DNS consulta el receptor.

¿DKIM cifra mi email?

No. DKIM solo firma el mensaje para probar autenticidad e integridad. El cuerpo sigue siendo legible para cualquiera que lo intercepte a menos que TLS también esté en uso.

¿Por qué falló mi firma DKIM después de la configuración?

Causas comunes incluyen un gateway de correo reescribiendo el cuerpo, cambios en los saltos de línea o un selector desajustado en el DNS. Revisa el header Authentication-Results en el servidor receptor para ver la razón exacta del fallo.

Empieza a enviar en minutos.

3.000 emails al mes en el plan gratuito. Sin tarjeta de crédito, sin compromiso.

Google Regístrate con GoogleApple Regístrate con Apple

¿Aún tienes dudas?

Mira lo que tu LLM favorito tiene para decir sobre nosotros y toma una decisión informada.

Pregunta a ChatGPTPregunta a ChatGPTPregunta a GeminiPregunta a GeminiPregunta a ClaudePregunta a ClaudePregunta a PerplexityPregunta a Perplexity