Configura DKIM

Con una firma DKIM, protege tu dominio contra la falsificación de identidad a través de la autenticación de tu correo electrónico. Para configurar DKIM, genera una clave pública DKIM y agrégala a tu dominio. Los servidores receptores usan tu clave pública DKIM para leer la firma de DKIM y autenticar los mensajes que reciben de tu dominio.

Contenido de esta página

Antes de comenzar

  • Es posible que no necesites configurar DKIM si tu dominio ya lo tiene configurado de forma predeterminada o si compraste el dominio a un socio de Google cuando te registraste en Google Workspace. Para verificar si DKIM ya está configurado para tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet.
  • Si usas puertas de enlace de salida, debes verificar que la configuración no interfiera con DKIM. Las puertas de enlace de salida se pueden configurar para modificar los mensajes salientes, por ejemplo, agregando un pie de página en la parte inferior de cada mensaje. Consulta Cómo configurar una puerta de enlace de salida para procesar el correo saliente.

¿Cómo funciona DKIM?

Para configurar DKIM, genera un par de claves DKIM para tu dominio:

  • Una clave pública que se almacena en el registro TXT de DNS de tu dominio para DKIM. Esta es la clave que agregas a tu dominio.
  • Una clave privada que se sube a tu servidor de correo electrónico. Esta clave genera y agrega una firma DKIM a cada mensaje saliente.
1. Servidor de correo electrónico del remitente con una clave privada
2. Registro TXT de DKIM del remitente con una clave pública
3. La clave privada del remitente agrega una firma DKIM al encabezado del correo electrónico saliente.
4. El correo electrónico se envía al dominio del receptor.
5. El servidor de correo electrónico del receptor obtiene la clave pública del registro TXT de DKIM y la usa para leer la firma de DKIM y autenticar el correo electrónico.

Paso 1: Genera un par de claves DKIM

  • Si usas Google Workspace, sigue las instrucciones de esta sección.
  • Si no usas Google Workspace, usa una herramienta disponible en Internet para hacer lo siguiente:
    • Encuentra tu prefijo selector de DKIM. Puedes enviar un correo electrónico de prueba a tu carpeta Recibidos, ver la fuente del mensaje y ubicar el valor s en el encabezado DKIM-Signature.
    • Especifica el nombre de tu dominio, la longitud de la clave y el prefijo selector de DKIM para generar un par de claves DKIM.
    • Almacena la clave privada en la configuración de tu servidor de correo y agrega la clave pública a tu dominio.
Debes acceder como administrador avanzado para realizar esta tarea.

Importante: En Google Workspace, después de activar Gmail para tu organización, debes esperar entre 24 y 72 horas para poder obtener tu clave DKIM en la Consola del administrador. Si intentas generar una clave antes de este tiempo, es posible que recibas un error que indique que no se creó el registro DKIM.

  1. En la Consola del administrador de Google, ve a Menú y luego Apps y luego Google Workspace y luego Gmail.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. Haz clic en Autenticar correo electrónico.
  3. En el menú Dominio seleccionado, selecciona el dominio en el que quieres configurar DKIM.
  4. Haz clic en el botón Generar registro nuevo.
  5. En el cuadro Generar registro nuevo, selecciona la configuración de tu clave DKIM:
    • Opciones de longitud en bits de la clave DKIM:
      • 2048: Si tu proveedor de dominio admite claves de 2048 bits, selecciona esta opción. Las claves más largas son más seguras que las más cortas. Si usaste una clave de 1024 bits con anterioridad, puedes cambiar a una de 2048 bits si tu proveedor de dominio las admite.
      • 1024: Si el host de tu dominio no admite claves de 2048 bits, selecciona esta opción.
    • Opciones de prefijo selector:
      • El prefijo selector predeterminado es google. Si usas Google Workspace, esta es la opción recomendada.
      • Si tu dominio ya usa una clave DKIM con el prefijo google, ingresa un prefijo diferente en este campo. Obtén más información sobre los selectores de DKIM.

  6. Haz clic en Generar. En la página Autenticar correo electrónico, se actualiza el valor del registro TXT y aparece este mensaje: Se actualizó la configuración de autenticación DKIM.

    Importante: Es posible que en la página Autenticar correo electrónico de la Consola del administrador de Google se siga mostrando este mensaje durante un máximo de 48 horas: Debes actualizar los registros DNS de este dominio. Si agregaste correctamente tu clave DKIM en tu proveedor de dominio, puedes ignorar este mensaje.

  7. Copia los valores DKIM que se muestran en la ventana Autenticar correo electrónico. Lo agregarás a tu proveedor de dominio en el siguiente paso:

    1. Nombre del host de DNS (nombre del registro TXT): Este texto es el nombre del registro TXT de DKIM. Agregarás este nombre al registro TXT de tu proveedor de dominio en el campo Host.
    2. Valor del registro TXT: Este texto es la clave DKIM. Agregarás esta clave al registro TXT de tu proveedor de dominio en el campo Valor TXT.

Importante: Aún no hagas clic en Iniciar la autenticación. Eso lo harás más adelante.

Paso 2: Agrega la clave DKIM a tu dominio

Cuando hayas generado tu par de claves DKIM, agrega la clave pública DKIM a tu dominio creando un registro TXT de DKIM.

Para obtener ayuda con tu información de acceso al dominio, configuración o registros TXT, comunícate con tu proveedor de dominio. Google no brinda asistencia técnica para los proveedores de dominio de terceros.
  1. Accede al host de tu dominio, por lo general, donde compraste el nombre del dominio. Si no sabes bien cuál es tu host de dominio, consulta Cómo identificar el registrador de tu dominio.
  2. Ve a la página en la que actualizaste los registros TXT de DNS para tu dominio. Para obtener ayuda sobre cómo encontrar esta página, consulta la documentación para tu dominio.

  3. Agrega o actualiza el registro TXT con esta información (consulta la documentación de tu dominio):

    Mismo nombre del campo Valor para ingresar
    Tipo El tipo de registro es TXT.
    Host (nombre, nombre de host, alias)

    Es la cadena que conforma el nombre del registro TXT. Por ejemplo: google._domainkey

    Consulta este paso (anterior en esta página).
    Valor Es la cadena que conforma el valor del registro TXT. Debe comenzar con algo como v=DKIM1. Consulta este paso (anterior en esta página).

    Nota: Algunos proveedores de dominio limitan la longitud del registro TXT. Si el tuyo lo hace, consulta Verifica los límites de caracteres del registro TXT de tu proveedor de dominio.

  4. Guarda los cambios.

  5. Si usas subdominios, consulta con tu proveedor de dominio para saber cómo agregar un registro TXT para tus subdominios.

  6. Si configuras DKIM para más de un dominio, completa estos pasos para cada dominio. Debes obtener una clave DKIM única desde la Consola del administrador para cada dominio.

Después de agregar la clave DKIM, el funcionamiento de la autenticación DKIM puede demorar hasta 48 horas.

Paso 3: Activa y verifica DKIM

  • Si usas Google Workspace, sigue las instrucciones de esta sección.
  • Si no usas Google Workspace, usa una de las herramientas disponibles en Internet.

  1. En la Consola del administrador de Google, ve a Menú y luego Apps y luego Google Workspace y luego Gmail.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. Haz clic en Autenticar correo electrónico.
  3. En el menú Dominio seleccionado, selecciona el dominio en el que quieres activar DKIM.
  4. Haz clic en Iniciar la autenticación. Cuando la configuración de DKIM esté completa y funcione correctamente, el estado en la parte superior de la página cambiará a Autenticando el correo electrónico con DKIM.
  5. Envía un correo electrónico a alguien que use Gmail o Google Workspace. (No puedes verificar que DKIM esté activado enviándote un mensaje de prueba).

  6. Abre el mensaje en la carpeta Recibidos del destinatario y busca el encabezado completo del mensaje.

    Nota: Los pasos para ver el encabezado del mensaje difieren según la aplicación de correo electrónico. Para mostrar los encabezados de los mensajes en Gmail, junto a Responder, haz clic en Más y luego Mostrar original.

  7. En el encabezado del mensaje, busca Authentication-Results. Los servicios receptores usan diferentes formatos para los encabezados de los mensajes. Sin embargo, los resultados de DKIM deberían indicar algo como DKIM=pass o DKIM=OK.

    Si el encabezado del mensaje no incluye una línea sobre DKIM, los mensajes enviados desde tu dominio no están firmados con DKIM:

Próximos pasos

  • Google recomienda que también configures la autenticación SPF y DMARC para tu organización. Los remitentes de distribución masiva deben configurar DKIM, SPF y DMARC. Para obtener más información, consulta los Lineamientos para remitentes de correo electrónico.
  • Si no puedes determinar si DKIM funciona o si los mensajes enviados desde tu dominio se envían a la carpeta de spam, consulta Soluciona problemas de DKIM issues.
  • De manera opcional, considera configurar BIMI para agregar el logotipo de tu organización a los mensajes enviados desde tu dominio.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.