Correo. Inteligente. Eficaz.
Correo electrónico rápido y multiplataforma diseñado para filtrar el ruido.
Definición
💡 DKIM (DomainKeys Identified Mail): Un método de autenticación de correo electrónico que añade una firma digital a tus mensajes salientes, demostrando que realmente los enviaste tú y que no fueron modificados durante el tránsito. DKIM verifica que el correo electrónico fue efectivamente enviado y autorizado por el propietario de ese dominio. Piénsalo como un sello a prueba de manipulaciones en un paquete.
Por qué DKIM es importante
A los spammers y phishers les encanta hacerse pasar por dominios legítimos. Envían correos que parecen provenir de tu banco, tu jefe o un servicio de confianza. DKIM detiene esto.
DKIM aborda una brecha que SPF no puede cubrir: mientras que SPF verifica que un mensaje provenga de una dirección IP autorizada, no dice nada sobre si el cuerpo del mensaje o los encabezados fueron manipulados. Alguien podría interceptar tu correo a mitad de camino y cambiar el contenido. DKIM detecta eso.
Los clientes de correo como Spark verifican automáticamente las firmas DKIM al recibir el correo. Spark sincroniza estos ajustes desde el lado del proveedor: si el proveedor lo marca como Spark debido a la ausencia de DKIM y lo mueve a Spam, Spark también mostrará este mensaje en la carpeta de Spam. Si pasa DKIM, tus correos se ven legítimos. Si falla, los filtros de spam se vuelven rápidamente sospechosos.
En la mayoría de los casos, las firmas DKIM no son visibles para los usuarios finales; la validación se realiza a nivel del servidor de correo. Nunca lo ves funcionar, pero está activo en cada correo que envías y recibes.
Cómo funciona DKIM
DKIM utiliza criptografía de clave pública. Generas dos claves: una clave privada que permanece en tu servidor de correo y una clave pública que publicas en tus registros DNS.
Cuando envías un correo electrónico, tu servidor lo firma con la clave privada. El servidor receptor puede verificar la firma consultando la clave pública del remitente en el DNS. Si la firma coincide, el correo es legítimo. Si no coincide o falta la firma, se encienden las alertas.
La firma cubre partes específicas de tu correo: encabezados como De, Para, Asunto y el cuerpo del mensaje. Si cambia aunque sea un solo carácter del contenido firmado, la firma deja de ser válida. Así funciona la detección de manipulaciones.
Los selectores DKIM te permiten usar múltiples claves para un mismo dominio. El selector es un valor especializado emitido por el proveedor de servicios de correo que utiliza el dominio. El formato se ve así: selector._domainkey.yourdomain.com. Diferentes servicios de envío pueden tener diferentes selectores, y puedes rotar claves sin romper todo.
Configurar DKIM
Tu proveedor de servicios de correo electrónico generalmente se encarga de la mayor parte. Gmail, Outlook, Mailchimp y otros proveedores importantes habilitan DKIM automáticamente o te guían en la configuración desde su panel de administración.
Para Gmail (Google Workspace): Debes esperar de 24 a 72 horas después de activar Gmail antes de poder obtener tu clave DKIM en la Consola de administración. Ve a Aplicaciones > Google Workspace > Gmail > Autenticar correo, genera tu clave DKIM y luego añade el registro TXT a tu DNS.
Para servidores de correo personalizados: Genera un par de claves RSA de 2048 bits, publica la clave pública como un registro TXT en selector._domainkey.yourdomain.com y configura tu servidor de correo para firmar los mensajes salientes con la clave privada.
Los nuevos registros DNS necesitan propagarse, lo que puede tardar hasta 48 horas. Por lo general, se completa en unas pocas horas. Utiliza una herramienta de verificación DKIM para confirmar que funciona.
Preguntas frecuentes sobre DKIM
¿DKIM garantiza que mis correos no irán a spam?
No. Añadir una firma DKIM no garantiza la entrega, pero aumenta significativamente las probabilidades de un resultado positivo. DKIM demuestra autenticidad, pero los filtros de spam también revisan el contenido, la reputación del remitente, la interacción y otros factores.
¿Qué sucede si mi firma DKIM falla?
El fallo en la verificación de la firma no obliga al rechazo del mensaje. La mayoría de los servidores receptores añaden un encabezado de autenticación que indica el fallo y lo consideran en su puntuación de spam. Los fallos repetidos perjudican la reputación de tu remitente.
¿Necesito DKIM si ya tengo SPF?
Sí. SPF y DKIM protegen cosas diferentes. SPF verifica la dirección IP del servidor remitente. DKIM verifica la integridad del mensaje y la titularidad del dominio. Usa ambos. Añade DMARC encima para una protección completa.
¿Con qué frecuencia debo rotar las claves DKIM?
Las claves DKIM no caducan, pero deberías rotarlas periódicamente; sugerimos cada 12 meses. Genera una nueva clave con un nuevo selector, añádela al DNS, cambia tu servidor de correo para que la use y luego elimina la anterior después de unos días.
¿Puedo usar la misma clave DKIM para varios dominios?
Técnicamente sí, pero no lo hagas. Cada dominio debería tener su propio par de claves DKIM. Compartir claves entre dominios debilita la seguridad y complica la rotación de claves.
¿Cuál es un buen nombre para el selector DKIM? Cualquier cosa corta y descriptiva funciona. Opciones comunes: default, mail, s1, google, o algo como marketing2025 si manejas múltiples fuentes de envío. Tu proveedor de correo electrónico podría asignarte uno automáticamente.
Contenido relacionado
- Cómo escribir un correo electrónico profesional
- Frases que nunca deberías usar en un correo electrónico profesional
- Cómo crear una dirección de correo electrónico profesional
- 12 reglas útiles para mejorar tu etiqueta de correo electrónico
Términos relacionados
- Autenticación de correo electrónico
- Filtro de spam
- Correo de phishing
- Lista negra de correo electrónico