Volver al menú principal

Entregabilidad

Configura DKIM en 3 pasos y mejora la entregabilidad del email

DKIM (DomainKeys Identified Mail) es un protocolo de autenticación de correo electrónico que ayuda a evitar la suplantación de marcas y los ataques de phishing. Aquí te explicaremos cómo funciona y cómo puedes configurar DKIM para lograr una mejor seguridad y entregabilidad en el email.

Hermes entrega un email a una diosa junto a un número tres gigante sobre un fondo verde.

Sabemos que no decidiste convertirte en profesional del email marketing para dedicar tu tiempo a descifrar códigos complicados. Y seguro que cuando oyes estos acrónimos (DKIM, SPF y DMARC), tu primer impulso es salir corriendo.

Pero luego aprendes un poco más y descubres las posibles consecuencias de no configurar la autenticación de tus emails correctamente, con lo que resulta que sí que es algo a lo que parece interesante dedicarle un poco de atención. Más aun desde este año, 2024, cuando Gmail y Yahoo han implementado cambios que aplican a todos los remitentes de envíos masivos.

Y aunque DKIM no puede garantizar una tasa de entrega del 100 %, sí que puede mejorar tus cifras.

DKIM se ha convertido con el paso de los años en un estándar de seguridad del correo electrónico a nivel global. Y, junto con SPF, en algo indispensable para remitentes de envíos masivos de emails. En este artículo, te enseñaremos a configurar DKIM y a mejorar aún más la seguridad de tus mensajes salientes.

¿Qué es DKIM?

DKIM es un protocolo de autenticación de email que funciona como una firma digital. Tiene sus inicios en el año 2004, cuando varias empresas de envío de emails buscaron una forma de proteger a los usuarios de los correos no deseados.

Yahoo creó una herramienta llamada Domain Keys y Cisco desarrolló otra a la que le puso el nombre de Identified Internet Mail. Cuando estas dos herramientas similares se combinaron, nació DKIM.

Desde entonces, DKIM ha gozado de una gran aceptación y popularidad como método de autenticación de los emails, ya que verifica que el remitente sea quien dice ser. De hecho, según nuestro informe Estado de la entregabilidad del email en 2025, un 69,5 % de los encuestados asegura utilizar DKIM.

DKIM es un mecanismo de autenticación de correos electrónicos. Permite a los proveedores validar que el remitente de los emails es legítimo y dificulta la suplantación de su identidad.

DKIM ayuda a los proveedores de servicios de email a decidir qué emails bloquear, cuáles filtrar a la carpeta de spam y cuáles entregar.

Para ello, el protocolo DKIM inserta un código en el encabezado del email que después se encripta. Gracias a DKIM, los proveedores de servicios de correo electrónico como Yahoo o Gmail pueden comprobar si un email procede realmente de un usuario autorizado del dominio de envío especificado.

Y es que este problema ha empeorado en los últimos años, sobre todo por la suplantación de identidad que sufren las marcas por email, también conocida como spoofing. Estafadores se hacen pasar por una empresa real para intentar convencerte de que hagas clic en un archivo adjunto o que les proporciones tu información personal confidencial.

Captura de pantalla con un ataque de phishing. Texto en español con CTA.

Email de spoofing en el que alguien se hace pasar por Amazon.

Los registros DKIM son un tipo de registro DNS que contribuyen a proteger a los destinatarios de las estafas, ya que ayudan a los proveedores de servicios de email a distinguir si los remitentes son reales o falsos. También garantizan que nadie haya manipulado los emails por el camino.

Y esta es una de las razones por las que las tasas de entregabilidad del email no deberían alcanzar el 100 %, porque algunos emails sí deberían bloquearse, los que no son legítimos. Tu trabajo es asegurarte de que tus emails se entregan, y DKIM marca una gran diferencia a la hora de ayudar a que esto suceda.

¿Por qué deberías utilizar DKIM?

La razón principal por la que deberías utilizar la verificación DKIM es porque, junto con SPF y DMARC, es el método principal para autenticar emails y verificar la identidad de los remitentes. Es una de las formas más eficaces de evitar el phishing y la suplantación de marcas por email, prácticas que han dañado gravemente la confianza de los clientes en las marcas.

Pero esta no es la única ventaja de DKIM. La implementación de estos protocolos también mejora la entregabilidad del email, ya que fortalece tu reputación de remitente ante los proveedores de email y las blocklists (o listas de direcciones de email bloqueadas).

Gracias a DKIM, los proveedores de email de tus suscriptores confirmarán que tus emails son legítimos, lo cual aumentará las probabilidades de que lleguen a la bandeja de entrada de tus contactos en vez de a la carpeta de correo no deseado.

Estos protocolos de autenticación se han convertido en el estándar del mundo del email, por lo que es probable que las diferentes herramientas de análisis de emails marquen como sospechosos los mensajes que se envíen sin DKIM o SPF.

¿Quieres saber más sobre las mejores prácticas de entregabilidad?

¡Échale un vistazo a nuestro ebook! Llegar a la bandeja de entrada: Principios básicos de la entregabilidad

¿Cómo funciona DKIM?

DKIM se asemeja un poco a una búsqueda del tesoro. Solo que no eres tú quien lo busca. Es el servidor que recibe tus emails. El servidor busca una "clave pública" que le permitirá confirmar la legitimidad del remitente de los emails.

La configuración de DKIM comienza cuando el remitente del email, es decir, tú, selecciona los campos del email que quiere incluir en su firma DKIM. Estos campos pueden ser el asunto, el cuerpo, el "de", el preencabezado, etc.

La razón de hacer esto es que, si cualquiera de ellos se modifica mientras el email está en tránsito, incluso aunque solo cambie un carácter, la autenticación DKIM fallará. Esto solo tienes que configurarlo una vez. No tienes que hacerlo cada vez que quieras enviar un email.

Cuando envías un correo electrónico, tu servidor de email genera lo que se conoce como un "valor hash", que es como una versión codificada de los campos que has seleccionado. Este valor hash se encuentra en el encabezado del correo y es a lo que nos referimos cuando hablamos de firma DKIM del email.

El valor hash se encripta con una clave privada, y solo puede acceder a ella el remitente del email.

Esquema del funcionamiento de la autenticación DKIM con sus distintos pasos.

Sin embargo, existe otra clave, la clave pública. Y a esta sí que puede acceder el servidor de correo electrónico receptor, que la busca y la utiliza para desbloquear la firma DKIM. Esta clave está en tu DNS, y ahí es donde la buscará el servidor de email receptor.

Una vez que encuentra tu clave pública, esta tiene que coincidir con la clave privada del encabezado de tu email. Si coincide, se valida la firma del email y se confirma la legitimidad del mismo y del remitente. En ese momento, se desencripta el valor hash para que el servidor pueda verificar que el email no ha sufrido ninguna alteración y se entrega el email.

Distintas claves de encriptación para DKIM

Las claves de DKIM pueden tener distintas longitudes, pero las de 1024 bits y las de 2048 bits son las más comunes. La longitud de la clave importa ya que afecta a la dificultad que tiene un posible atacante de desencriptar la clave. Igual que con las contraseñas normales, cuanto más larga sea la clave DKIM, más difícil será de superar.

A día de hoy, las claves de 1024 bits son las que se utilizan más frecuentemente en la autenticación del correo electrónico con DKIM, pero desde Sinch Mailjet recomendamos empezar a utilizar ya las claves de 2048 bits. Al duplicar la longitud de las claves, se logra una encriptación mucho más sólida y deberían ser seguras durante mucho más tiempo.

Todos los dominios de envío de los usuarios de Sinch Mailjet utilizan ahora autenticación DKIM de 2048 bits por defecto, mientras que los dominios ya existentes que utilicen 1024 bits pueden adoptar el nuevo estándar, con lo que se logra una seguridad mayor contra posibles amenazas.

¿Qué es un selector DKIM?

Aquí entramos en detalles más específicos. El selector DKIM es la manera que tiene el servidor de email receptor para encontrar la clave pública de DKIM. El selector se incluye en el encabezado del email como parte de tu firma DKIM y le indica al servidor dónde puede encontrar la clave.

¿Quieres ver tu selector DKIM y asegurarte de que has configurado DKIM correctamente?

Para encontrar el selector de tu dominio, primero envíate un email a ti mismo. A continuación, abre el email y mira el "mensaje original" o "mensaje sin procesar”, también llamado encabezado completo en algunos clientes de email. Ahí verás el encabezado y podrás buscar la firma DKIM y el valor s=. Ese es el selector DKIM.

Ejemplo del encabezado donde puede verse la sección de la firma DKIM y el selector.

Después, introduce ese valor de selector en esta herramienta de verificación de DKIM para confirmar que has configurado DKIM correctamente.

DKIM vs. DMARC

DKIM y DMARC son dos protocolos de autenticación que frecuentemente se presentan asociados, pero en realidad son muy diferentes.

DKIM se parece más al protocolo SPF que a DMARC, del cual hablaremos en un momento. Pero antes que nada, ¿qué es SPF? Y no, no nos referimos al factor de protección solar.

SPF son las siglas de “Sender Policy Framework”, es decir, marco de directivas de remitente. Es otra herramienta de autenticación de email que permite que los propietarios de los dominios especifiquen qué direcciones IP pueden enviar emails desde sus dominios.

Esto es importante porque solo puedes utilizar DMARC una vez que hayas configurado DKIM y SPF.

¿Y qué es DMARC entonces? DMARC (del inglés, Domain-based Message Authentication, Reporting and Conformance) significa autenticación de mensajes basada en dominios, informes y conformidad. La idea detrás de DMARC es responder a la pregunta: ¿Qué ocurre si un email no pasa las autenticaciones SPF y DKIM?

DMARC te permite especificar una de estas tres opciones:

  • Reject (rechazar): El email no se entregará y nadie lo verá nunca.

  • Quarantine (poner en cuarentena): El destinatario no recibirá el email, pero los administradores sí pueden verlo y revisar el mensaje.

  • None (nada): El mensaje se entregará igualmente.

Recuerda que tanto Google como Yahoo aplicaron cambios a los requisitos para remitentes de envíos masivos y requieren que se utilice SPF y DKIM. Además, en el caso de DMARC, requieren que exista una política de, al menos, p=none. Puedes aprender más sobre las diferentes políticas DMARC y cómo implementarlo en nuestro post “Qué es DMARC y cómo implementarlo: Una guía detallada”.

Cómo configurar DKIM en tres pasos sencillos

Sigue estos pasos para activar la firma DKIM en tus emails:

1. Configura DKIM para que genere las dos claves

La herramienta que necesitas para este paso depende de tu sistema operativo. Si utilizas Microsoft Windows, puedes usar PUTTYGen (aquí encontrarás un tutorial). Para Linux y Mac, puedes emplear ssh-keygen, para el que hay un tutorial excelente en Github.

2. Colocar la clave pública como un registro TXT en los ajustes del DNS

A continuación hemos recopilado una lista de proveedores de DNS junto con enlaces a su documentación oficial y de terceros. Te podrán ayudar a configurar los registros TXT y DNS:

Con algunos proveedores de DNS, la configuración puede resultar bastante tediosa, pero estaremos encantados de ayudarte. Contacta con nuestro equipo de asistencia si necesitas ayuda.

3. Generar y guardar la firma

Si utilizas servidores SMTP de código abierto como Sendmail o Postfix, o cualquier otro servidor SMTP que sea compatible con los milter (= filtros de email), puedes usar un milter especial, el milter DKIM.

Este milter, desarrollado por Sendmail, es de código abierto y te permite firmar los encabezados de los emails con una clave DKIM privada generada. Si quieres saber más, puedes consultar su extensa documentación.

Cómo configurar DKIM con Mailjet

Para establecer a Mailjet como remitente legítimo para tus campañas de email, tienes que configurar tus registros SPF y DKIM para cada uno de tus dominios de envío.

Recuerda que esto solo lo puedes hacer en dominios personalizados o dominios de tu propiedad. No podrás configurar la autenticación DKIM en cuentas de correo web como Gmail, Hotmail o Yahoo.

Configurar DKIM con Mailjet es muy sencillo. Mailjet te da la clave pública para que la registres a través de la interfaz del host de tu página web. Allí, puedes integrar la clave pública en tu zona DNS, a través del panel de control.

Ejemplo de cómo utilizar la información de DKIM que se encuentra en Mailjet para configurar DKIM en un proveedor de alojamiento.

No te preocupes, si necesitas ayuda, puedes encontrar toda la información necesaria y los procesos paso a paso en nuestra documentación. Incluye guías de asistencia para los principales proveedores de alojamiento (OVH, Gandi, Cloudflare, HostGator, etc.).

En resumen

Pues eso es todo. Esperamos que DKIM ya no resulte tan difícil de entender.

Ahora sabes que DKIM se utiliza para validar a los remitentes de los emails y proteger tus emails en tránsito, y que permite que el servidor receptor utilice herramientas de encriptación para confirmar la autenticidad del remitente.

Además, tienes todas las herramientas e instrucciones para configurar DKIM y confirmar que lo has hecho correctamente. Recuerda que siempre puedes acudir a la organización que creó esta infraestructura, dkim.org, si quieres obtener más información.

El siguiente paso lógico, si no lo has hecho aun, es configurar la autenticación SPF para mejorar significativamente la entregabilidad de tus emails.

Crea y envía tus campañas de email con Mailjet

Crea y envía emails increíbles fácilmente y llega a la bandeja de entrada con Mailjet. Optimiza tu estrategia de email marketing y aumenta el rendimiento de tu inversión.

Puestos populares

God watching woman with computer wires

Email best practices

6 min

What is an SMTP relay and why do we use it?

Leer más

Hermes and two goddesses hang up some spheres in front of a painter

Marketing

17 min

Big Data: What is it and how does it work?

Leer más

Hermes sitting on books while reading

Email best practices

Leer más

Nunca ha sido tan fácil conectar con tu audiencia. Empieza a enviar emails con Mailjet hoy mismo.Empieza tu camino
CTA icon