Cómo verificar la firma DKIM de un email
Por Thomas · CISO virtual · 2026-07-13
Has activado DKIM, publicado tu clave, y ahora quieres la pregunta que de verdad cuenta: ¿funciona? Verificar una firma DKIM es confirmar que un mensaje se ha firmado bien, que la firma es válida y —para DMARC— que se alinea con tu dominio. Esta guía muestra dónde leer el resultado, cómo interpretar las etiquetas de la firma, cómo verificarlo tú mismo, y por qué una firma legítima puede fallar a veces.
El método más sencillo: leer Authentication-Results
No necesitas rehacer los cálculos criptográficos a mano: el servidor destinatario ya lo ha hecho, y escribe su veredicto en una cabecera del mensaje, Authentication-Results. Abre un email que hayas enviado (en un buzón que no sea el tuyo) y muestra sus cabeceras completas (a menudo «Mostrar original» o «Ver código fuente»). Busca una línea como:
Authentication-Results: mx.google.com;
dkim=pass header.d=ton-domaine.fr;
spf=pass ...; dmarc=pass ...
Tres informaciones clave aquí: dkim=pass (la firma es válida), header.d=ton-domaine.fr (el dominio firmante: comprueba que es el tuyo), y dmarc=pass (el conjunto se alinea y satisface DMARC). Si dkim=pass pero header.d es el de un proveedor, tu firma es válida pero no está alineada: no cuenta para DMARC.
Leer la cabecera DKIM-Signature
Para ir más allá, mira directamente la cabecera DKIM-Signature del mensaje. Contiene varias etiquetas:
d=: el dominio firmante. Es el que debe alinearse con tuFrom:para DMARC.s=: el selector, que apunta a la clave pública a utilizar (consulta el selector).h=: la lista de cabeceras cubiertas por la firma.bh=: el hash del cuerpo del mensaje.b=: la firma criptográfica en sí.
El destinatario recupera la clave pública en s=._domainkey.d=, recalcula el hash del cuerpo y de las cabeceras firmadas, y lo compara con b=. Si todo coincide, dkim=pass. Esta mecánica explica la mayoría de los fallos (ver más abajo).
Verificarlo tú mismo, sin esperar un email
Puedes controlar la mitad de la ecuación sin siquiera enviar un mensaje: la clave pública. Consulta el selector en DNS:
dig TXT selecteur._domainkey.ton-domaine.fr
Debes encontrar ahí un registro v=DKIM1; k=rsa; p=... con una clave pública completa y no vacía. Una clave ausente, truncada o un p= vacío (clave revocada) garantiza el fallo. Para la verificación de extremo a extremo —firma incluida— un analizador lo abarca todo: nuestro analizador DMARC gratuito confirma la presencia y la validez de tu clave, y, junto con tus informes, la alineación real de tus fuentes.
La alineación: lo único que cuenta para DMARC
Repitámoslo, porque es el error nº 1: una firma DKIM válida solo le sirve a DMARC si está alineada. La alineación DKIM significa que el dominio d= de la firma corresponde al dominio de tu From:. Muchas plataformas firman por defecto con su dominio (d=plataforma.com): dkim=pass, pero sin alineación, así que DMARC no se apoya en ello. La prueba definitiva de la alineación se lee en tus informes agregados, fuente por fuente. Para el concepto completo, mira cómo funcionan juntos los tres protocolos.
Por qué una firma legítima falla a veces
Una firma puede fallar aunque el mensaje sea perfectamente legítimo. Las causas clásicas:
- El cuerpo del mensaje se ha modificado en tránsito. Una lista de distribución que añade un pie de página, una pasarela que reescribe el contenido: el hash
bh=ya no coincide, la firma se rompe. Es frecuente con las listas y algunos reenvíos. - La clave pública está ausente o truncada en el selector indicado (por falta de publicación, clave cortada al copiar y pegar).
- El selector no corresponde a nada: típicamente tras una rotación donde el antiguo selector se retiró demasiado pronto.
- La clave está revocada (
p=vacío) o la propagación DNS no ha terminado para una clave recién publicada.
Buena noticia: DKIM sobrevive mejor al reenvío que SPF (la firma viaja con el mensaje), lo que lo convierte en el anclaje más fiable para la alineación DMARC, cuando el cuerpo no se modifica.
El caso de los reenvíos y las listas
Un punto que desconcierta: un mensaje reenviado o pasado por una lista de distribución puede ver su firma DKIM romperse si el contenido se altera. No es un defecto de tu configuración: es la lista la que modifica el mensaje tras la firma. Para estos casos, existen mecanismos complementarios (como ARC, que preserva el resultado de autenticación a través de los intermediarios), pero lo esencial a recordar es no entrar en pánico ante fallos DKIM aislados que proceden manifiestamente de reenvíos: mira el volumen y la fuente antes de concluir que hay un problema.
Desmenuzar un Authentication-Results completo
Esta cabecera condensa el veredicto de los tres mecanismos, y saber leerla te ahorra muchas suposiciones. Toma un ejemplo:
Authentication-Results: mx.exemple.com;
dkim=pass header.d=entreprise.fr header.s=mail2025;
spf=fail smtp.mailfrom=routeur.com;
dmarc=pass (p=reject) header.from=entreprise.fr
Descodifiquemos. dkim=pass header.d=entreprise.fr: la firma es válida y alineada con tu dominio, perfecto. spf=fail: aquí SPF falla, porque el sobre pertenece al enrutador, no a ti; no es grave, porque DMARC solo necesita una única alineación. dmarc=pass (p=reject): pese al fallo SPF, el mensaje satisface DMARC gracias al DKIM alineado. Es la ilustración concreta de por qué la alineación DKIM es el caballo de tiro de los despliegues reales: salva la autenticación allí donde SPF, a causa del sobre de un tercero, no se alinea. Leer esta cabecera entera, en lugar de detenerse en el primer pass, te dice exactamente por qué un mensaje pasa o falla.
Cuando un mensaje lleva varias firmas
No te sorprendas de encontrar varias cabeceras DKIM-Signature en un mismo mensaje: es común y perfectamente legítimo. Muchas plataformas firman dos veces: una vez con su propio dominio, para el seguimiento de su reputación, y una vez con el tuyo, para tu alineación DMARC. Cada firma se verifica de forma independiente, y Authentication-Results muestra entonces un veredicto dkim= por firma. La regla a recordar: DMARC solo necesita una única firma válida y alineada para pasar. Una firma fallida o no alineada junto a un pass alineado no es un problema que corregir: es simplemente la firma propia de la plataforma haciendo su trabajo por su lado. Al leer las cabeceras, localiza la firma cuyo d= corresponde a tu From:: es esa cuya suerte cuenta para ti.
Cuando DKIM por sí solo no basta
DKIM verifica la integridad y el origen, pero no dice nada, por sí solo, de lo que un destinatario debe hacer con un mensaje sin firmar o suplantado. Ese es el papel de DMARC, que se apoya en la alineación DKIM (o SPF) y aplica tu política. Dicho de otro modo, verificar que tu firma DKIM pasa es necesario pero no suficiente: mientras tu política DMARC siga en p=none, un mensaje que suplanta tu dominio —sin ninguna firma válida por tu parte— llega igualmente a los buzones. La verificación DKIM es, pues, una pieza de un edificio más amplio; una vez tus firmas fiables y alineadas, el siguiente paso es endurecer DMARC hasta p=reject, para que la ausencia de firma válida tenga por fin consecuencias reales para los suplantadores.
Preguntas frecuentes
¿Dónde veo si DKIM pasa? En la cabecera Authentication-Results del mensaje recibido (dkim=pass/fail), y de forma agregada en tus informes DMARC. «Mostrar original» en la mayoría de los webmails da acceso a las cabeceras.
¿Basta con dkim=pass? Para la validez de la firma, sí. Para DMARC, no: hace falta además que header.d (el dominio firmante) se alinee con tu From:. Comprueba siempre los dos.
¿Por qué mi DKIM falla solo en algunos emails? A menudo porque esos mensajes pasan por una lista o un reenvío que modifica el cuerpo, rompiendo el hash. Los envíos directos, en cambio, pasan. El perfil (listas, bajo volumen disperso) delata la causa.
¿Puedo verificar el DKIM de un dominio de un tercero? Puedes verificar su clave pública (el DNS es público) y leer el resultado en las cabeceras de un email que te haya enviado. Es útil para diagnosticar a un socio.
Una clave con p= vacío, ¿es normal? No: un p= vacío señala una clave revocada. Si tus firmas apuntan a un selector cuya clave está vacía, fallarán: vuelve a publicar una clave válida.
¿Cuánto tiempo hace falta para que DKIM sea visible en los informes? Los informes DMARC se envían al final del periodo de informe (a menudo 24 h). Espera ver las primeras firmas verificadas al día siguiente de la activación. Si el volumen de envío es bajo, quizá hagan falta unos días para tener una muestra representativa.
Integrar la verificación en tu rutina
La verificación DKIM no debería ser un gesto puntual que se hace en el momento de la configuración y luego se olvida. Tres momentos clave merecen una verificación activa: al activar (confirmar que la clave está publicada, la firma pasa y se alinea); tras cada rotación (confirmar que el nuevo selector firma correctamente y que el antiguo no ha dejado ningún fallo); y periódicamente, a través de tus informes agregados DMARC (confirmar que todas tus fuentes mantienen su alineación en el tiempo, sin deriva silenciosa). Los informes agregados son especialmente útiles porque cubren el conjunto de tus fuentes de envío sin que tengas que enviar un email de prueba a cada una: te dan una visión sistemática, dominio por dominio, fuente por fuente. Poner la lectura de los informes en una rutina mensual —aunque sea rápida, aunque sea parcial— es la única forma de detectar una firma que se degrada antes de que impacte en tu entregabilidad o en tu postura DMARC.
Deja que Thomas confirme tus firmas
Leer cabeceras a mano para cada fuente es tedioso e incompleto. Thomas, tu CISO virtual, verifica por ti que cada fuente firma en DKIM, que la firma es válida y está alineada con tu dominio, y te señala las fuentes cuya firma se rompe —listas y reenvíos aparte— antes de que hundan tu preparación para p=reject.
Analiza tu dominio gratis → o crea una cuenta para firmas DKIM verificadas de forma continua.
¿Listo para aplicar DMARC?
Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.
Alcanzar p=reject — gratisGuías relacionadas
- DKIM 1024 o 2048 bits: qué tamaño de clave elegir
El de 2048 bits es el estándar DKIM recomendado, más robusto que el envejecido 1024. Pero el 2048 plantea una trampa DNS (el límite de 255 caracteres). Cómo elegir y publicar sin error.
- Rotación de claves DKIM: por qué, cuándo y cómo (sin romper nada)
Rotar regularmente tus claves DKIM limita el impacto de una fuga. El método correcto (doble selector), la frecuencia, la trampa de la retirada prematura, y dónde almacenar tus claves privadas.
- Cómo generar una clave DKIM (y publicar la correcta)
Generar una clave DKIM es crear un par clave privada / clave pública, mantener una en secreto y publicar la otra en DNS. Los pasos, la elección del tamaño y la trampa de la alineación.
Sobre el autor
Thomas — Thomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.
