Autenticación de correo
Comprobador y validador de registros DKIM
Consulta el registro TXT selector._domainkey de cualquier dominio y valida las etiquetas DKIM, el tipo y la longitud de la clave.
¿Qué comprueba el validador DKIM?
- Introduce el selector DKIM (por ejemplo google, default o k1) y el dominio. La herramienta consulta el registro TXT {selector}._domainkey.{dominio} en DNS público.
- El registro se analiza etiqueta por etiqueta: versión v=DKIM1, tipo de clave k=, clave pública p=, algoritmos h=, tipos de servicio s= y flags t=, además de la longitud de la clave decodificada.
- Revisa el veredicto y las advertencias: un registro ausente, una etiqueta p= vacía (clave revocada), una clave débil de 1024 bits o el flag t=y reciben una explicación clara.
Etiquetas DKIM a revisar
El validador se centra en la mitad DNS de DKIM: el registro con la clave pública publicada. Confirma que existe, analiza cada etiqueta y marca claves débiles o revocadas — no firma ni recibe correo por ti.
| Etiqueta | Por qué importa | Ejemplo |
|---|---|---|
| v=DKIM1 | Etiqueta de versión con la que debe empezar todo registro DKIM válido | v=DKIM1 |
| k / p | Tipo de clave y clave pública en Base64 usada para verificar firmas | k=rsa; p=MIIBIjANBg… |
| Longitud de clave | Tamaño del módulo RSA — las claves de 1024 bits se consideran débiles hoy | 2048 bits |
| t=y | Flag de prueba: los receptores tratan las firmas como si el dominio no firmara | t=y |
Cuándo comprobar un registro DKIM
Comprueba justo después de añadir o cambiar el registro DNS de un proveedor de correo. Google Workspace suele usar el selector google, Microsoft 365 usa selector1 y selector2, Amazon SES emite tres selectores CNAME aleatorios, Mailchimp usa k1 (y k2/k3) y SendGrid suele usar s1 y s2.
Revisa DKIM cuando los mensajes acaban en spam o los informes DMARC muestran dkim=fail. Un registro ausente o mal formado es una de las causas más comunes.
Verifica ambos selectores durante una rotación de claves: los proveedores publican la clave nueva en un segundo selector antes de retirar la antigua, y ambos deben resolver mientras las firmas antiguas siguen en tránsito.
Arreglar registros DKIM ausentes o inválidos
Si no se encuentra ningún registro, confirma la ortografía exacta del selector y que el TXT (o CNAME) está en selector._domainkey.tudominio.com — un error muy habitual es publicarlo en el apex o duplicar el dominio en el campo host.
Si el registro existe pero es inválido, mira las etiquetas analizadas: un v=DKIM1 ausente, un valor p= truncado (los paneles DNS suelen partir las claves largas en varias cadenas entre comillas) o espacios sobrantes rompen la verificación.
Una etiqueta p= vacía significa que la clave fue revocada a propósito. El flag t=y indica modo de prueba: los receptores verifican la firma pero no la aplican estrictamente; elimínalo cuando confirmes el despliegue.
Selectores, claves y rotación DKIM
DKIM permite al servidor emisor firmar cada mensaje con una clave privada; los receptores obtienen la clave pública desde DNS usando el selector indicado en la cabecera DKIM-Signature (etiqueta s=). Los selectores permiten que un dominio publique varias claves a la vez.
La longitud importa: las claves RSA de 1024 bits aún se aceptan pero se consideran débiles, y la mayoría de proveedores emite ya claves de 2048 bits. Algunos paneles DNS necesitan dividir la cadena Base64 larga en dos fragmentos entre comillas.
Rota las claves publicando la nueva bajo un selector nuevo, cambiando la firma a esa clave y solo después retirando o revocando el registro antiguo. Comprobar cada selector por separado confirma cada paso.
Flujo de autenticación de correo
- Confirma los registros MX y SPF con el DNS Checker.
- Valida cada selector DKIM con el que firman tus proveedores.
- Revisa el registro TXT _dmarc y su política.
- Vuelve a comprobar tras cualquier migración de proveedor o rotación de claves.
Validador DKIM vs dig y cabeceras de correo
Puedes consultar el registro con dig TXT selector._domainkey.example.com, pero tendrás que analizar las etiquetas y decodificar la longitud de la clave a mano. El validador lo hace automáticamente y explica cada hallazgo.
Leer las cabeceras Authentication-Results de un mensaje recibido indica si ese mensaje concreto pasó. El validador responde la pregunta previa: ¿el registro publicado existe y es válido?
Las suites de entregabilidad completas prueban buzones semilla y reputación. Esta herramienta cubre la base DNS de la que depende todo lo demás — rápida, gratuita y automatizable vía API.
Por qué usar el validador DKIM de DN01
- Consulta por selector que analiza cada etiqueta DKIM e informa tipo y longitud de clave, no solo el TXT en bruto.
- Advertencias claras para claves revocadas (p= vacío), modo de prueba (t=y) y claves débiles de 1024 bits.
- Encaja en el flujo DN01 junto a las comprobaciones de DNS, SPF/TXT y listas negras, con interfaz en 8 idiomas.
FAQ
FAQ del validador DKIM
Selectores, registros TXT en DNS, longitud de clave y qué significan los flags de prueba o revocación.
¿Qué es un selector DKIM?
El selector es la etiqueta indicada en el tag s= de la cabecera DKIM-Signature del mensaje. El receptor la combina con tu dominio para consultar el registro TXT selector._domainkey.tudominio.com, de modo que un dominio puede publicar varias claves a la vez.
¿Cómo encuentro mi selector DKIM?
Abre un mensaje enviado y mira la cabecera DKIM-Signature: el tag s= es el selector. Valores habituales: google en Google Workspace, selector1/selector2 en Microsoft 365, k1 en Mailchimp y s1/s2 en SendGrid. Puedes confirmar que el TXT existe con el DNS Checker.
¿Por qué mi registro DKIM es inválido?
Causas frecuentes: falta el tag v=DKIM1, el valor p= quedó truncado al dividir mal la clave larga en el panel DNS, hay comillas o espacios sobrantes, o el registro se publicó en el hostname equivocado. El validador analiza cada etiqueta y señala el problema exacto.
¿Qué significa t=y en un registro DKIM?
Es el flag de prueba: los receptores verifican la firma pero tratan los fallos como si el mensaje no estuviera firmado. Está bien durante el despliegue, pero elimínalo cuando los informes DMARC muestren DKIM aprobando de forma estable.
¿Clave DKIM de 1024 o de 2048 bits?
Usa 2048 bits. Las claves RSA de 1024 bits aún se verifican pero se consideran débiles, y los grandes proveedores ya emiten 2048 bits por defecto. Si tu panel DNS rechaza el valor largo, divide la cadena Base64 en dos fragmentos entre comillas.
¿Puede un dominio tener varios selectores DKIM?
Sí, y normalmente debería. Cada proveedor de correo firma con su propio selector, y la rotación de claves consiste en publicar la nueva bajo un selector nuevo antes de revocar la antigua. Valida cada selector por separado.
Cambiar herramienta
Continúa con otra comprobación
Elige el siguiente paso en tu flujo de trabajo de dominio o seguridad.
- Comprobador DNSTodos los tipos de registro principales en un solo pasoAbrir
- DIGUn tipo de registro, respuesta estilo resolverAbrir
- WHOISRegistrador, caducidad y estado del dominioAbrir
- Buscar IP de dominioIP A y AAAA de un dominioAbrir
- Comprobador de listas negrasReputación DNSBL para IP y dominioAbrir
- Comprobador de certificados SSLCadena de certificados, SAN y versión TLSAbrir
- Probador HTTP/2Soporte HTTP/2, ALPN y TLSAbrir
- Comprobador de cabeceras HTTPCabeceras de respuesta, redirecciones y cachéAbrir
- Conversor PunycodeUnicode ↔ Punycode para dominios IDNAbrir
- Calculadora IPCálculo de subredes para CIDR IPv4 e IPv6Abrir
- BIN CheckerMarca, banco y país de la tarjeta por BIN/IINAbrir
- Codec Base64Codifica y decodifica texto Base64Abrir
- Generador de contraseñasContraseñas aleatorias fuertes para operacionesAbrir
- Generador de frases de contraseñaFrases aleatorias memorables para pruebas segurasAbrir
Artículos relacionados
Guías prácticas para tareas habituales con Validador DKIM: registros DNS, pasos de diagnóstico y enlaces a nuestras herramientas gratuitas.
DKIM selector, what is DKIM selector, selector._domainkey
DKIM Selector Explained: How selector._domainkey Works
What a DKIM selector is, where it appears in DNS, and why mail providers use different selectors for signing keys.
Leer artículo →find DKIM selector, DKIM selector lookup, Google Workspace DKIM selector
How to Find Your DKIM Selector
Practical places to find DKIM selectors in Google Workspace, Microsoft 365, Amazon SES, Mailchimp, SendGrid and email headers.
Leer artículo →DKIM p tag, DKIM public key, DKIM TXT p=
DKIM p= Tag: Public Key Checks That Matter
How to read the DKIM p= public key tag, why empty p= revokes a key, and what truncated DNS TXT records look like.
Leer artículo →DKIM 1024 vs 2048, DKIM key length, weak DKIM key
DKIM 1024 vs 2048 Bit Keys: What to Use
Why 2048-bit DKIM keys are preferred, when 1024-bit keys still appear, and how key length affects DNS TXT records.
Leer artículo →DKIM t=y, DKIM testing mode, DKIM flags
DKIM t=y Testing Mode: When to Remove It
What the DKIM t=y flag means, why it is useful during rollout, and why it should not stay forever.
Leer artículo →rotate DKIM keys, DKIM key rotation, multiple DKIM selectors
How to Rotate DKIM Keys Safely
A safe workflow for publishing a new selector, switching signing, waiting out TTL, and retiring the old DKIM key.
Leer artículo →Google Workspace DKIM, google DKIM selector, Gmail DKIM record
Google Workspace DKIM Check: Selector and TXT Record
How Google Workspace DKIM records are named, what the google selector means, and how to troubleshoot missing or invalid records.
Leer artículo →Microsoft 365 DKIM selector1 selector2, Office 365 DKIM, M365 DKIM CNAME
Microsoft 365 DKIM: selector1 and selector2 Explained
Why Microsoft 365 uses selector1 and selector2, how CNAME-based DKIM publishing works, and what to check when validation fails.
Leer artículo →