← Blog

Cómo generar una clave DKIM (y publicar la correcta)

Por Thomas · CISO virtual · 2026-07-10

Activar DKIM empieza por una pregunta aparentemente simple: ¿cómo se genera una clave DKIM? La respuesta depende de quién firma tu correo — en la gran mayoría de los casos, tu plataforma de envío genera la clave por ti, y tu trabajo se reduce a publicar el registro DNS correcto. Pero hay decisiones que importan (el tamaño de clave, el CNAME frente al TXT, la alineación) y trampas que evitar. Esta guía explica cómo obtener una clave DKIM válida, adónde va cada pieza y cómo verificar que todo está correcto.

Qué es realmente una «clave DKIM»

Una clave DKIM no es un objeto único, sino un par:

  • una clave privada, que sirve para firmar tus mensajes en el momento del envío. Permanece secreta, almacenada por tu plataforma de envío. Nunca abandona ese entorno.
  • una clave pública, derivada de la privada, que publicas en DNS. Los destinatarios la recuperan para verificar la firma.

Generar una clave DKIM es, por tanto, crear ese par. La parte visible de tu lado — el registro DNS — solo contiene la clave pública. Si ves tu clave privada en un registro DNS, es un error grave: nunca debe figurar ahí.

El caso más frecuente: tu plataforma la genera por ti

Para Microsoft 365, Google Workspace, un enrutador de marketing o la mayoría de los SaaS, no tienes que lanzar ningún comando criptográfico. La plataforma genera el par, guarda la clave privada, y te proporciona el registro DNS a publicar. El procedimiento:

  1. Activa DKIM en la consola de la plataforma.
  2. Recupera el registro que te da — a menudo uno o dos CNAME, a veces un TXT con la clave pública, en un selector preciso (ver el selector DKIM).
  3. Publícalo en tu DNS, sin modificar el valor (las claves son largas; cópialas íntegramente).
  4. Activa la firma en el lado de la plataforma una vez propagado el DNS.

Es la vía recomendada: la plataforma gestiona la clave privada y, a menudo, su rotación.

El CNAME antes que el TXT, cuando sea posible

Muchos proveedores ofrecen publicar un CNAME que apunta a un registro que ellos mantienen, en lugar de un TXT con la clave fija. Prioriza el CNAME: permite al proveedor rotar la clave sin que retoques tu DNS cada vez. Publicas una vez, y la rotación de claves se vuelve transparente para ti. El TXT en bruto sigue siendo válido, pero te obliga a intervenir en cada renovación.

Generar una clave tú mismo (caso avanzado)

Si operas tu propia infraestructura de envío (un servidor Postfix, por ejemplo), generas el par tú mismo. Conceptualmente, creas una clave RSA, extraes la parte pública y construyes el registro DNS. El registro publicado se parece a:

selecteur._domainkey.ton-domaine.fr.  IN TXT
  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQ... (clave pública)"

El p= contiene la clave pública codificada. La clave privada correspondiente, por su parte, permanece en tu servidor, leída por tu herramienta de firma. Dos reglas de oro en este caso: protege la clave privada como un secreto crítico, y elige un tamaño adecuado (ver más abajo).

Qué tamaño de clave elegir

La pregunta vuelve siempre: ¿1024 o 2048 bits? La respuesta corta: 2048 bits es el estándar recomendado hoy, más robusto. El 1024 sigue aceptándose pero está envejeciendo. Hay, no obstante, un matiz técnico (la longitud del registro DNS) que merece una guía dedicada — mira 1024 o 2048 bits. Si empiezas desde cero, elige 2048.

La trampa que lo anula todo: la alineación

Aquí está el error más costoso. Puedes generar y publicar una clave DKIM perfectamente válida, ver cómo la firma «pasa», y sin embargo no aportar nada a DMARC. ¿Por qué? Porque DMARC exige que el dominio firmante (d= en la firma) se alinee con el de tu From:. La firma DKIM por defecto de muchas plataformas usa su dominio (d=plateforme.com), no el tuyo. Resultado: la firma es válida, pero para el dominio equivocado.

La solución es configurar una firma con tu marca: la mayoría de los proveedores ofrecen una opción de «dominio de firma personalizado» o «DKIM autenticado», que hace firmar con d=ton-domaine.fr. Es precisamente lo que hace útil tu clave DKIM para DMARC. El mecanismo completo está en cómo funcionan juntos los tres protocolos.

Verificar que tu clave funciona

Una vez publicada la clave y activada la firma, controla tres cosas:

  1. La clave pública está ahí, completa y en el selector correcto (dig TXT selecteur._domainkey.ton-domaine.fr).
  2. La firma pasa sobre un mensaje real — mira cómo verificar una firma de correo.
  3. Se alinea con tu From:, visible en tus informes agregados.

Puedes confirmar todo esto de una vez pasando tu dominio por nuestro analizador DMARC gratuito, que verifica la presencia, la validez y la alineación de tus claves.

Activar DKIM en las plataformas más habituales

El procedimiento exacto depende de tu plataforma, pero el esquema es el mismo en todas partes: activar DKIM en la consola, recuperar el registro, publicarlo, esperar, firmar. Algunas referencias concretas:

  • Microsoft 365. En el portal de seguridad, bajo la autenticación del correo, activas DKIM para tu dominio. Microsoft te proporciona dos CNAME (selector1 y selector2) a publicar; ambos sirven para permitir la rotación alternada de las claves. Una vez publicados y propagados, activas la firma.
  • Google Workspace. En la consola de administración, bajo la autenticación del correo, generas una clave (elige 2048 bits) para tu dominio. Google te da un TXT a publicar en el selector google. Tras la propagación, inicias la autenticación.
  • Enrutadores y SaaS (Brevo, SendGrid, Mailchimp…). Casi todos ofrecen un dominio de firma personalizado mediante uno o varios CNAME. También es ahí donde activas la alineación (d=ton-domaine.fr) — el paso que hace la firma útil para DMARC.

En todos los casos, la regla es la misma: copia el valor íntegramente, espera la propagación antes de activar la firma, y verifica después que el d= es de verdad el tuyo y no el del proveedor.

Los errores de generación más frecuentes

Tres fallos vuelven una y otra vez. Primero, activar la firma antes de la propagación DNS: las primeras firmas apuntan a una clave aún no visible y fallan — espera a que dig muestre la clave antes de firmar. Segundo, truncar la clave al copiar y pegar, sobre todo en 2048 bits, donde es larga: un solo carácter que falte rompe toda la verificación. Por último, olvidar la alineación: activas DKIM, la firma pasa, pero con el d= del proveedor — crees estar protegido cuando DMARC no se apoya en nada. Verifica sistemáticamente estos tres puntos tras cada activación, y te ahorrarás la abrumadora mayoría de los fallos de arranque de DKIM.

Preguntas frecuentes

¿Debo generar la clave yo mismo? Rara vez. Si envías a través de una plataforma (Microsoft, Google, un SaaS), ella genera el par y guarda la clave privada. Solo la generas tú mismo si operas tu propia infraestructura de firma.

¿Adónde va la clave privada? Permanece en el entorno que firma (la plataforma o tu servidor). Nunca se publica en DNS y no debe abandonar jamás ese entorno. El DNS solo contiene la clave pública.

¿Puedo reutilizar la misma clave para varios dominios? A evitar. Cada dominio debería tener su propia clave (y su propio selector), para aislar los riesgos y simplificar la rotación.

¿Cuánto tiempo antes de que funcione? El tiempo de la propagación DNS (de unos minutos a unas horas). No actives la firma en el lado de la plataforma hasta que la clave pública sea visible, o las primeras firmas fallarán.

¿1024 o 2048 bits? 2048 para un nuevo despliegue. El 1024 todavía funciona pero es menos robusto; a reemplazar en la próxima rotación.

DKIM y entregabilidad: por qué importa de verdad

Más allá de la seguridad, DKIM tiene un efecto concreto en la entregabilidad de tus correos. Los grandes proveedores de correo (Gmail, Outlook, Yahoo) integran la presencia y la alineación de DKIM en sus puntuaciones de reputación: un dominio que firma correctamente desde hace tiempo, con una clave alineada, construye un historial de confianza que los filtros antispam tienen en cuenta. A la inversa, un dominio sin DKIM (o con una firma no alineada) se trata con más desconfianza, sobre todo si su reputación es todavía joven. DKIM no impide el spam — un spammer puede perfectamente firmar sus mensajes — pero le dice al receptor «este mensaje viene realmente de quien dice venir», lo que es una señal de legitimidad importante. Combinado con SPF y DMARC, constituye el trío de base que todo remitente serio debe tener implantado antes de buscar optimizar cualquier otra cosa. Bien configurado una vez, DKIM trabaja de forma invisible para ti, acumulando reputación con cada correo legítimo que envías.

Deja que Thomas genere el registro correcto

Entre el tamaño de clave, el CNAME frente al TXT y sobre todo la alineación, una clave DKIM mal puesta pasa desapercibida hasta el día en que DMARC falla. Thomas, tu CISO virtual, te dice para cada plataforma el registro exacto a publicar, verifica que la firma se alinea con tu dominio, y te guía hasta un DKIM que cuenta de verdad para DMARC.

Analiza tu dominio gratis → o crea una cuenta para un DKIM correcto a la primera.

¿Listo para aplicar DMARC?

Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.

Alcanzar p=reject — gratis

Guías relacionadas

Sobre el autor

ThomasThomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.