Soluciona problemas relacionados con DKIM

Sigue los pasos para solucionar problemas de este artículo si los mensajes enviados desde tu dominio cumplen con alguna de las siguientes condiciones:

  • No se aprueba la autenticación DKIM
  • Los servidores receptores rechazaron el mensaje
  • Se envían a las carpetas de spam de los destinatarios

Muchos problemas relacionados con DKIM se pueden identificar y resolver siguiendo los pasos que se indican en este artículo.

En esta página, encontrarás lo siguiente:

Verifica que DKIM esté configurado correctamente

Para verificar que DKIM esté configurado correctamente, sigue los pasos que se indican en Cómo configurar DKIM.

Verifica que los mensajes pasen la autenticación DKIM

Puedes consultar los encabezados de los mensajes de correo electrónico para ver si los mensajes enviados desde tu dominio pasan las verificaciones de autenticación DKIM.

Pasos recomendados:

  • Comprueba los encabezados de un mensaje enviado desde tu dominio para verificar si pasó DKIM.
  • Si el mensaje no pasa la autenticación DKIM, intenta enviarlo a otro destinatario, por ejemplo, una dirección personal de Gmail. Esto puede ayudar a descartar problemas con el servidor receptor.
  • En Gmail, haz clic en Mostrar el original de un mensaje y, luego, verifica el estado de DKIM en el mensaje original. Obtén más información para consultar los encabezados de los mensajes en Gmail.
  • Ingresa los encabezados de mensajes en la herramienta Messageheader de la Caja de herramientas para administradores de Google y verifica el estado de DKIM.

Consulta también Cómo comprobar si tu mensaje de Gmail está autenticado.

Verifica que la clave DKIM sea correcta en el proveedor de dominio

La mayoría de los registros TXT de DKIM pueden tener hasta 255 caracteres. No puedes ingresar una clave de 2,048 bits como una sola cadena de texto con un límite de 255 caracteres en el registro TXT. Es posible que tu clave DKIM esté truncada o que tus registros DKIM se envíen desordenados.

Pasos recomendados:

  • Si no puedes ingresar el valor completo de tu registro TXT de DKIM como una sola cadena de texto, sigue los pasos que se indican en Cómo verificar los límites de caracteres del registro TXT de tu proveedor de dominio.
  • Compara el valor del registro TXT de DKIM en tu proveedor con el valor de la Consola del administrador y verifica que tu clave DKIM sea correcta:
    1. Obtén el valor del registro TXT de DKIM de la Consola del administrador, por ejemplo, google._domainkey.
    2. Ve a la herramienta Dig de la Caja de herramientas para administradores de Google.
    3. Haz clic en TXT.
    4. Ingresa el valor del registro TXT de DKIM del paso 1 y, luego, agrega un punto (.) y el nombre de tu dominio a este valor.
    5. Compara los resultados con el valor de la Consola del administrador. Si se incluyen todos los caracteres clave y en el orden correcto, la clave DKIM puede estar en 2 partes.

Cómo verificar el reenvío de mensajes

Incluso cuando DKIM está configurado correctamente para tu dominio, los mensajes reenviados pueden fallar en la autenticación DKIM. Esto puede deberse a la forma en que un servidor de correo reenvía los mensajes.

Paso recomendado para los remitentes de correos electrónicos:

  • Asegúrate de que el mensaje no haya cambiado durante el tránsito. Busca el encabezado Authentication-results:. Si el texto junto a la entrada dkim es body hash did not verify,significa que el mensaje se modificó durante el tránsito.
  • Si usas una puerta de enlace de salida, asegúrate de que no modifique los mensajes salientes antes de que se envíen. Por ejemplo, algunas puertas de enlace salientes agregan un pie de página en la parte inferior de cada mensaje saliente. Esto puede provocar que falle la autenticación DKIM, ya que el contenido del mensaje se cambia después de que se envía.

Pasos recomendados para los destinatarios de correos electrónicos:

  • Usa la Búsqueda en el registro de correos electrónicos para verificar que se haya reenviado el mensaje. Si la persona que denunció el mensaje como spam no es el destinatario original, es probable que el mensaje se haya reenviado.
  • Comunícate con el servicio que reenvió el mensaje para averiguar si puede cambiar la forma en que reenvía los mensajes.

Consulta también las prácticas recomendadas para reenviar correos electrónicos a Gmail.

Verifica los límites de caracteres del registro TXT del proveedor de dominio

Si recibes un error cuando ingresas el valor de DKIM, es posible que tu proveedor de dominio limite la cantidad de caracteres permitidos en el registro TXT de DNS.

Pasos recomendados:

Si usas una clave DKIM de 2048 bits, no puedes ingresarla como una sola cadena de texto en un registro DNS con un límite de 255 caracteres. En su lugar, sigue estos pasos:

  1. Divide los caracteres clave en varias cadenas de texto.
  2. Coloca cada cadena entre comillas.
  3. Ingresa las cadenas una tras otra en el campo Valor del registro TXT de tu proveedor de dominio.

En este ejemplo, una clave DKIM larga se divide en dos cadenas de texto, y cada cadena se encuentra entre comillas:

También puedes probar lo siguiente:

  • Usar una clave de 1024 bits seleccionando esa opción cuando generas un par de claves DKIM
  • Comunícate con el host de tu dominio para averiguar si se pueden admitir registros TXT con más de 255 caracteres. Si es así, puedes actualizar tu registro DNS con una clave DKIM de 2,048 bits siguiendo los pasos que se indican en Genera un par de claves DKIM.

Te recomendamos que no agregues más de 49 registros TXT en tu proveedor de dominio, ya que esta es la cantidad máxima que admiten la mayoría de los proveedores.

Verifica la cantidad de firmas DKIM

Los mensajes se pueden firmar con más de una firma DKIM. Sin embargo, Gmail solo verifica las primeras 5 firmas que se indican en el encabezado Authentication-Results: del mensaje. Gmail verifica las firmas en el orden en que aparecen en el encabezado. Si la firma de autenticación no es una de las primeras 5 firmas que se indican en el encabezado, el mensaje no pasa la autenticación DKIM. Esto también podría hacer que el mensaje no pase la autenticación DMARC.

Para verificar las firmas que Gmail comprueba en cualquier mensaje, consulta el encabezado Authentication-Results: en el mensaje. Si quieres conocer los pasos detallados para verificar los encabezados de los mensajes de Gmail, consulta Cómo rastrear un correo electrónico con su encabezado completo.

Revisa tus prácticas de envío de correos electrónicos

Si DKIM está configurado correctamente, pero los mensajes se envían a la carpeta de spam, la causa podría ser otra que no sea DKIM.

Paso recomendado:

Comunícate con los administradores de los servidores que rechazan mensajes firmados con DKIM

Si DKIM está configurado correctamente, es posible que los servidores receptores rechacen los mensajes enviados desde tu dominio o los envíen a la carpeta de spam de los destinatarios.

Pasos recomendados:

  • Comunícate con el administrador del servidor de correo electrónico que rechaza los mensajes.
  • Configura DMARC para recibir informes sobre los resultados de la autenticación DKIM. Consulta Configura DMARC.
  • Si configuras DKIM con un sistema de correo electrónico que no sea Google Workspace, no uses la etiqueta de longitud DKIM (l=) en los mensajes salientes. Los mensajes que usan esta etiqueta son vulnerables al abuso. Obtén más información en la sección 8.2 de RFC 6376.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.