Herramienta DKIM

Verificador DKIM y Analizador de Firmas Criptográficas de Email

Usa nuestro DKIM checker gratuito para verificar tus llaves públicas DNS en tiempo real y garantizar que tus correos electrónicos no sean alterados en tránsito.

Consultas DNS concurrentes a selectores comunes a través de tecnología segura DoH.

¿Qué es una firma DKIM (DomainKeys Identified Mail) y por qué es crucial?

DKIM (DomainKeys Identified Mail) es un estándar técnico y método avanzado de **email authentication** publicado en tus **DNS records**. Permite a los propietarios de dominios asociar de forma inequívoca el nombre de su marca a un mensaje de correo electrónico saliente mediante el uso de firmas criptográficas digitales.

A diferencia de SPF, que valida únicamente el servidor IP de origen, DKIM proporciona un sello de integridad sobre el contenido del mensaje. Esto asegura a los servidores destinatarios (como Gmail, Outlook o Apple Mail) que ni las cabeceras principales ni el cuerpo del correo electrónico han sido modificados, alterados o manipulados maliciosamente por terceros durante su tránsito por Internet.

Criptografía Asimétrica: ¿Cómo funciona DKIM en tránsito?

El funcionamiento de DKIM se basa en la potencia de la criptografía asimétrica de par de claves pública y privada:

  • 1. Firma con Clave Privada (Servidor Emisor): El servidor de correo de origen (ej: Google Workspace, HubSpot o tu propio servidor de correo corporativo) calcula un hash del mensaje y lo firma utilizando una clave privada que se mantiene en estricto secreto. Esta firma digital se inyecta en la cabecera invisible del email.
  • 2. Consulta de Clave Pública (DNS): El propietario del dominio publica la clave pública correspondiente en sus registros DNS TXT bajo un nombre de subdominio específico llamado "selector".
  • 3. Validación en Destino: Al recibir el correo electrónico, el servidor destinatario consulta el DNS para obtener la clave pública. Si consigue descifrar el hash de la firma y este coincide exactamente con el del contenido recibido, se certifica la autenticidad y el correo es validado con éxito.

¿Qué es un Selector DKIM y cómo ubicarlo en el DNS?

Dado que una empresa suele utilizar múltiples herramientas externas para el envío de correos corporativos (como Google para el día a día, Salesforce para CRM y ActiveCampaign para marketing), es necesario poder publicar diferentes claves públicas bajo un mismo dominio. Esto se logra gracias a los **Selectores DKIM**.

Cada selector apunta a un registro DNS TXT único ubicado con la siguiente estructura:

[selector]._domainkey.tudominio.com

Nuestro **DKIM checker** o **verificador DKIM** gratuito escanea simultáneamente más de 30 selectores comunes de la industria (como google, default, zoho, s1, mail, k1, etc.) para auditar la correcta publicación y disponibilidad de tus registros criptográficos.

Errores Comunes al Configurar Firmas DKIM

Configurar incorrectamente tus firmas criptográficas puede dañar gravemente tu **email deliverability** y reputación de dominio. Presta atención a estos fallos recurrentes:

1. Uso de Llaves de 512 o 1024 bits (Obsoletas)

Las llaves de longitud corta son vulnerables a ataques criptográficos de factoraje. Actualmente, los principales proveedores de correo consideran inseguras las firmas menores de 1024 bits. El estándar recomendado es utilizar llaves robustas de **2048 bits**.

2. Errores tipográficos y sintaxis rota

Al copiar y pegar claves públicas extensas en el panel de control DNS, es fácil cometer errores ortográficos o incluir saltos de línea y espacios accidentales. Esto invalida por completo el registro y causa que todos los emails fallen la prueba criptográfica.

Preguntas Frecuentes (FAQ) sobre el Verificador DKIM

¿Por qué mi correo sigue llegando a Spam si tengo DKIM activo?

DKIM garantiza la integridad del contenido, pero no la confianza general. Si tu dominio tiene mala reputación por haber enviado correo no deseado previamente, o si no tienes alineados adecuadamente tus registros **SPF** y **DMARC**, tus correos seguirán teniendo problemas de entregabilidad y podrían caer en la carpeta de spam.

¿Es seguro publicar mi clave pública DKIM en el DNS de forma abierta?

Sí, es completamente seguro. Por diseño técnico, la clave pública expuesta en el DNS solo sirve para verificar las firmas generadas, pero **nunca** puede ser utilizada para generar nuevas firmas fraudulentas. Tu clave privada sigue estando protegida en tus servidores de correo en todo momento.

¿Qué es la rotación de llaves DKIM y cada cuánto debe hacerse?

La rotación de llaves consiste en generar un nuevo par de claves (pública y privada) y actualizar los registros DNS para evitar que una llave antigua comprometida sea descifrada a largo plazo. Las mejores prácticas de seguridad de TI aconsejan rotar tus claves DKIM cada 6 a 12 meses.