Soluciona problemas relacionados con DKIM

Sigue los pasos que se indican en este artículo si configuraste DomainKeys Identified Mail (DKIM), pero los mensajes que se envían desde tu dominio aún cumplen con las siguientes condiciones:

  • No se aprueba la autenticación DKIM
  • Los servidores receptores rechazaron el mensaje
  • Se envían a las carpetas de spam de los destinatarios

En esta página

Soluciones más habituales

Asegúrate de tener un registro DKIM

Comprueba si tienes un registro DKIM:

  • Si no usas Google Workspace, usa una herramienta disponible en Internet.
  • Si usas Google Workspace, sigue los pasos de esta sección.

  1. En la Consola del administrador de Google, ve a Menú y luego Apps y luego Google Workspace y luego Gmail.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. Haz clic en Autenticar correo electrónico.
  3. En el menú Dominio seleccionado, selecciona el dominio en el que deseas configurar DKIM.
  4. Si los valores del nombre de host DNS y del registro TXT están en blanco, no tienes un registro DKIM.

Para crear un nuevo registro DKIM, ve a Genera un par de claves DKIM. Luego, ve a Agrega el registro DKIM a tu dominio (en esta página).

Agrega el registro DKIM a tu dominio

Después de crear un registro DKIM, debes agregarlo (contiene la clave DKIM) a tu dominio.

  1. Accede al host de tu dominio.
  2. Ve a la página en la que actualizaste los registros TXT de DNS para tu dominio.
  3. Agrega o actualiza el registro TXT con tu nombre de host DKIM y el valor recomendado.

Ve a Agrega la clave DKIM a tu dominio.

Cómo corregir errores de autenticación

Si recibes un error que indica que no se está autenticando después de crear un registro DKIM y agregarlo a tu dominio, debes completar la configuración.

Paso recomendado: Ve a la página Autenticar correo electrónico y haz clic en Iniciar la autenticación. Consulta Cómo activar y verificar DKIM.

Verifica los valores de tu registro DKIM

Asegúrate de que tu registro DKIM contenga el nombre de host o el nombre del registro TXT correctos, y el valor del registro TXT o la clave DKIM correctos. Consulta Agrega la clave DKIM a tu dominio.

¿Qué significa tener éxito?

Una vez que crees un registro DKIM, agrégalo a tu dominio, corrige los errores de autenticación y verifica que tenga los valores correctos. El estado de DKIM debería aparecer como "Autenticando el correo electrónico con DKIM". Se completó la configuración.

Solución avanzada de problemas

Comprueba que los mensajes pasen la autenticación DKIM

Puedes ver si un correo electrónico pasó la autenticación DKIM en Gmail.

Pasos recomendados:

  1. Desde un navegador, abre Gmail.
  2. Abre el correo electrónico cuyos encabezados quieres ver.
  3. Junto a Responder , haz clic en Más y luego Mostrar el original.
    • En una ventana nueva, se muestra el encabezado completo.
  4. Haz clic en Copiar en el portapapeles.

Pasos adicionales:

Verifica la clave DKIM en tu proveedor de dominio

La mayoría de los registros TXT de DKIM pueden tener hasta 255 caracteres. No puedes ingresar una clave de 2,048 bits como una sola cadena de texto con un límite de 255 caracteres en el registro TXT. Es posible que tu clave DKIM esté truncada o que tus registros DKIM se envíen desordenados.

Pasos recomendados:

  • Si no puedes ingresar el valor completo de tu registro TXT de DKIM como una sola cadena de texto, sigue los pasos que se indican en Cómo verificar los límites de caracteres del registro TXT.
  • Compara el valor del registro TXT de DKIM en tu proveedor con el valor de la Consola del administrador y verifica que tu clave DKIM sea correcta:
    1. Obtén el valor del registro TXT de DKIM de la Consola del administrador, por ejemplo, google._domainkey.
    2. Ve a la herramienta Dig de la Caja de herramientas para administradores de Google.
    3. Haz clic en TXT.
    4. Ingresa el valor del registro TXT de DKIM del paso 1 y, luego, agrega un punto (.) y el nombre de tu dominio a este valor.
    5. Compara los resultados con el valor de la Consola del administrador. Si se incluyen todos los caracteres clave y en el orden correcto, la clave DKIM puede estar en 2 partes.

Cómo verificar el reenvío de mensajes

Incluso cuando DKIM está configurado correctamente para tu dominio, los mensajes reenviados pueden no pasar la autenticación DKIM. Esto puede deberse a la forma en que un servidor de correo reenvía los mensajes.

Paso recomendado para los remitentes de correos electrónicos:

  • Asegúrate de que el mensaje no haya cambiado durante el tránsito. Busca el encabezado Authentication-results:. Si el texto junto a la entrada dkim es body hash did not verify,significa que el mensaje se modificó durante el tránsito.
  • Si usas una puerta de enlace de salida, asegúrate de que no modifique los mensajes salientes antes de que se envíen. Por ejemplo, algunas puertas de enlace salientes agregan un pie de página en la parte inferior de cada mensaje saliente. Esto puede provocar que falle la autenticación DKIM, ya que el contenido del mensaje se cambia después de que se envía.

Pasos recomendados para los destinatarios de correos electrónicos:

  • Usa la Búsqueda en el registro de correos electrónicos para verificar que se haya reenviado el mensaje. Si la persona que denunció el mensaje como spam no es el destinatario original, es probable que el mensaje se haya reenviado.
  • Comunícate con el servicio que reenvió el mensaje para averiguar si puede cambiar la forma en que reenvía los mensajes.

Consulta también las prácticas recomendadas para reenviar correos electrónicos a Gmail.

Verifica los límites de caracteres del registro TXT

Si recibes un error cuando ingresas un valor de DKIM, es posible que tu proveedor de dominio limite la cantidad de caracteres permitidos en el registro TXT de DNS.

Pasos recomendados:

Si usas una clave DKIM de 2048 bits, no puedes ingresarla como una sola cadena de texto en un registro DNS con un límite de 255 caracteres. En su lugar, sigue estos pasos:

  1. Divide los caracteres clave en varias cadenas de texto.
  2. Coloca cada cadena entre comillas.
  3. Ingresa las cadenas una tras otra en el campo Valor del registro TXT de tu proveedor de dominio.

En este ejemplo, una clave DKIM larga se divide en dos cadenas de texto, y cada cadena se encuentra entre comillas:

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

También puedes probar lo siguiente:

  • Usar una clave de 1,024 bits seleccionando esa opción cuando generas un par de claves DKIM
  • Comunícate con el host de tu dominio para averiguar si se pueden admitir registros TXT con más de 255 caracteres. Si es así, puedes actualizar tu registro DNS con una clave DKIM de 2,048 bits siguiendo los pasos que se indican en Genera un par de claves DKIM.

Te recomendamos que no agregues más de 49 registros TXT en tu proveedor de dominio, ya que esta es la cantidad máxima que admiten la mayoría de los proveedores.

Verifica la cantidad de firmas DKIM

Los mensajes se pueden firmar con más de una firma DKIM. Sin embargo, Gmail solo verifica las primeras 5 firmas que se indican en el encabezado Authentication-Results: del mensaje. Gmail verifica las firmas en el orden en que aparecen en el encabezado. Si la firma de autenticación no es una de las primeras 5 firmas que se indican en el encabezado, el mensaje no pasa la autenticación DKIM. Esto también podría hacer que el mensaje no pase la autenticación DMARC.

Para verificar las firmas que Gmail comprueba en cualquier mensaje, consulta el encabezado Authentication-Results: en el mensaje. Si quieres conocer los pasos detallados para verificar los encabezados de los mensajes de Gmail, visita Cómo rastrear un correo electrónico con su encabezado completo.

Revisa tus prácticas de envío de correos electrónicos

Si DKIM está configurado correctamente, pero los mensajes se envían a la carpeta de spam, la causa podría ser otra que no sea DKIM.

Paso recomendado:

Comunícate con los administradores de los servidores que rechazan mensajes firmados con DKIM

Si DKIM está configurado correctamente, es posible que los servidores receptores rechacen los mensajes enviados desde tu dominio o los envíen a la carpeta de spam de los destinatarios.

Pasos recomendados:

  • Comunícate con el administrador del servidor de correo electrónico que rechaza los mensajes.
  • Configura DMARC para recibir informes sobre los resultados de la autenticación DKIM. Consulta Configura DMARC.
  • Si configuras DKIM con un sistema de correo electrónico que no sea Google Workspace, no uses la etiqueta de longitud DKIM (l=) en los mensajes salientes. Los mensajes que usan esta etiqueta son vulnerables al abuso. Obtén más información en la sección 8.2 del RFC 6376.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.