Saltar al contenido
D1
ES

Autenticación de correo

Comprobador y validador de registros DKIM

Consulta el registro TXT selector._domainkey de cualquier dominio y valida las etiquetas DKIM, el tipo y la longitud de la clave.

Este formulario llama al endpoint relativo: /site-api/tools/dkim

¿Qué comprueba el validador DKIM?

  1. Introduce el selector DKIM (por ejemplo google, default o k1) y el dominio. La herramienta consulta el registro TXT {selector}._domainkey.{dominio} en DNS público.
  2. El registro se analiza etiqueta por etiqueta: versión v=DKIM1, tipo de clave k=, clave pública p=, algoritmos h=, tipos de servicio s= y flags t=, además de la longitud de la clave decodificada.
  3. Revisa el veredicto y las advertencias: un registro ausente, una etiqueta p= vacía (clave revocada), una clave débil de 1024 bits o el flag t=y reciben una explicación clara.

Etiquetas DKIM a revisar

El validador se centra en la mitad DNS de DKIM: el registro con la clave pública publicada. Confirma que existe, analiza cada etiqueta y marca claves débiles o revocadas — no firma ni recibe correo por ti.

EtiquetaPor qué importaEjemplo
v=DKIM1Etiqueta de versión con la que debe empezar todo registro DKIM válidov=DKIM1
k / pTipo de clave y clave pública en Base64 usada para verificar firmask=rsa; p=MIIBIjANBg…
Longitud de claveTamaño del módulo RSA — las claves de 1024 bits se consideran débiles hoy2048 bits
t=yFlag de prueba: los receptores tratan las firmas como si el dominio no firmarat=y

Cuándo comprobar un registro DKIM

Comprueba justo después de añadir o cambiar el registro DNS de un proveedor de correo. Google Workspace suele usar el selector google, Microsoft 365 usa selector1 y selector2, Amazon SES emite tres selectores CNAME aleatorios, Mailchimp usa k1 (y k2/k3) y SendGrid suele usar s1 y s2.

Revisa DKIM cuando los mensajes acaban en spam o los informes DMARC muestran dkim=fail. Un registro ausente o mal formado es una de las causas más comunes.

Verifica ambos selectores durante una rotación de claves: los proveedores publican la clave nueva en un segundo selector antes de retirar la antigua, y ambos deben resolver mientras las firmas antiguas siguen en tránsito.

Arreglar registros DKIM ausentes o inválidos

Si no se encuentra ningún registro, confirma la ortografía exacta del selector y que el TXT (o CNAME) está en selector._domainkey.tudominio.com — un error muy habitual es publicarlo en el apex o duplicar el dominio en el campo host.

Si el registro existe pero es inválido, mira las etiquetas analizadas: un v=DKIM1 ausente, un valor p= truncado (los paneles DNS suelen partir las claves largas en varias cadenas entre comillas) o espacios sobrantes rompen la verificación.

Una etiqueta p= vacía significa que la clave fue revocada a propósito. El flag t=y indica modo de prueba: los receptores verifican la firma pero no la aplican estrictamente; elimínalo cuando confirmes el despliegue.

Selectores, claves y rotación DKIM

DKIM permite al servidor emisor firmar cada mensaje con una clave privada; los receptores obtienen la clave pública desde DNS usando el selector indicado en la cabecera DKIM-Signature (etiqueta s=). Los selectores permiten que un dominio publique varias claves a la vez.

La longitud importa: las claves RSA de 1024 bits aún se aceptan pero se consideran débiles, y la mayoría de proveedores emite ya claves de 2048 bits. Algunos paneles DNS necesitan dividir la cadena Base64 larga en dos fragmentos entre comillas.

Rota las claves publicando la nueva bajo un selector nuevo, cambiando la firma a esa clave y solo después retirando o revocando el registro antiguo. Comprobar cada selector por separado confirma cada paso.

Flujo de autenticación de correo

  1. Confirma los registros MX y SPF con el DNS Checker.
  2. Valida cada selector DKIM con el que firman tus proveedores.
  3. Revisa el registro TXT _dmarc y su política.
  4. Vuelve a comprobar tras cualquier migración de proveedor o rotación de claves.

Validador DKIM vs dig y cabeceras de correo

Puedes consultar el registro con dig TXT selector._domainkey.example.com, pero tendrás que analizar las etiquetas y decodificar la longitud de la clave a mano. El validador lo hace automáticamente y explica cada hallazgo.

Leer las cabeceras Authentication-Results de un mensaje recibido indica si ese mensaje concreto pasó. El validador responde la pregunta previa: ¿el registro publicado existe y es válido?

Las suites de entregabilidad completas prueban buzones semilla y reputación. Esta herramienta cubre la base DNS de la que depende todo lo demás — rápida, gratuita y automatizable vía API.

Por qué usar el validador DKIM de DN01

  • Consulta por selector que analiza cada etiqueta DKIM e informa tipo y longitud de clave, no solo el TXT en bruto.
  • Advertencias claras para claves revocadas (p= vacío), modo de prueba (t=y) y claves débiles de 1024 bits.
  • Encaja en el flujo DN01 junto a las comprobaciones de DNS, SPF/TXT y listas negras, con interfaz en 8 idiomas.

FAQ

FAQ del validador DKIM

Selectores, registros TXT en DNS, longitud de clave y qué significan los flags de prueba o revocación.

¿Qué es un selector DKIM?

El selector es la etiqueta indicada en el tag s= de la cabecera DKIM-Signature del mensaje. El receptor la combina con tu dominio para consultar el registro TXT selector._domainkey.tudominio.com, de modo que un dominio puede publicar varias claves a la vez.

¿Cómo encuentro mi selector DKIM?

Abre un mensaje enviado y mira la cabecera DKIM-Signature: el tag s= es el selector. Valores habituales: google en Google Workspace, selector1/selector2 en Microsoft 365, k1 en Mailchimp y s1/s2 en SendGrid. Puedes confirmar que el TXT existe con el DNS Checker.

¿Por qué mi registro DKIM es inválido?

Causas frecuentes: falta el tag v=DKIM1, el valor p= quedó truncado al dividir mal la clave larga en el panel DNS, hay comillas o espacios sobrantes, o el registro se publicó en el hostname equivocado. El validador analiza cada etiqueta y señala el problema exacto.

¿Qué significa t=y en un registro DKIM?

Es el flag de prueba: los receptores verifican la firma pero tratan los fallos como si el mensaje no estuviera firmado. Está bien durante el despliegue, pero elimínalo cuando los informes DMARC muestren DKIM aprobando de forma estable.

¿Clave DKIM de 1024 o de 2048 bits?

Usa 2048 bits. Las claves RSA de 1024 bits aún se verifican pero se consideran débiles, y los grandes proveedores ya emiten 2048 bits por defecto. Si tu panel DNS rechaza el valor largo, divide la cadena Base64 en dos fragmentos entre comillas.

¿Puede un dominio tener varios selectores DKIM?

Sí, y normalmente debería. Cada proveedor de correo firma con su propio selector, y la rotación de claves consiste en publicar la nueva bajo un selector nuevo antes de revocar la antigua. Valida cada selector por separado.

Cambiar herramienta

Elige el siguiente paso en tu flujo de trabajo de dominio o seguridad.

Catálogo completo de herramientas

Guías

Guías prácticas para tareas habituales con Validador DKIM: registros DNS, pasos de diagnóstico y enlaces a nuestras herramientas gratuitas.

Volver a Validador DKIM