Configura DKIM

Usuarios de Gmail: Si recibes mensajes de spam o phishing en Gmail, ve aquí. Si tienes problemas para enviar o recibir correos electrónicos en Gmail, ve aquí.

Remitentes de correos electrónicos: Si envías correos electrónicos a cuentas personales de Gmail, debes configurar la autenticación de correo electrónico para asegurarte de que se entreguen según lo previsto. Todos los remitentes deben configurar SPF o configurar DKIM. Los remitentes de distribución masiva (más de 5,000 mensajes por día) deben configurar SPF, configurar DKIM y configurar DMARC. Obtén más información en los Lineamientos para remitentes de correo electrónico.

DKIM ayuda a proteger tu dominio contra la falsificación de identidad, ya que autentica tu correo electrónico con una firma DKIM. Configura DKIM generando una clave pública DKIM y agregándola a tu dominio. Los servidores receptores usan tu clave pública de DKIM para leer la firma de DKIM y autenticar los mensajes que reciben de tu dominio.

En esta página

Antes de comenzar

  • Es posible que no necesites configurar DKIM si tu dominio ya lo tiene configurado de forma predeterminada o si compraste tu dominio a un socio de Google cuando te registraste en Google Workspace. Para verificar si ya se configuró DKIM para tu dominio, usa una de las muchas herramientas gratuitas disponibles en Internet.
  • Si usas puertas de enlace salientes, debes verificar que la configuración no interfiera con DKIM. Las puertas de enlace de salida se pueden configurar para modificar los mensajes salientes, por ejemplo, agregando un pie de página en la parte inferior de cada mensaje. Consulta Cómo configurar una puerta de enlace saliente para procesar el correo saliente.

¿Cómo funciona DKIM?

Para configurar DKIM, genera un par de claves DKIM para tu dominio:

  • Una clave pública que se almacena en el registro TXT de DNS de tu dominio para DKIM Esta es la clave que agregas a tu dominio.
  • Una clave privada que se sube a tu servidor de correo electrónico Esta clave genera y agrega una firma DKIM a cada mensaje saliente.
Servidor de correo electrónico del remitente con una clave privada.
Registro TXT de DKIM del remitente con una clave pública
La clave privada del remitente agrega una firma DKIM al encabezado del correo electrónico saliente.
Se envía el correo electrónico al dominio del destinatario.
El servidor de correo electrónico del receptor obtiene la clave pública del registro TXT de DKIM y la usa para leer la firma DKIM y autenticar el correo electrónico.

Paso 1: Genera un par de claves DKIM

  • Si utilizas Google Workspace, sigue las instrucciones de esta sección.
  • Si no usas Google Workspace, usa una herramienta disponible en Internet para hacer lo siguiente:
    • Busca tu prefijo selector de DKIM. Puedes enviar un correo electrónico de prueba a tu carpeta Recibidos, ver el código fuente del mensaje y ubicar el valor s en el encabezado DKIM-Signature.
    • Especifica el nombre de tu dominio, la longitud de la clave y el prefijo selector de DKIM para generar un par de claves DKIM.
    • Almacena la clave privada en la configuración de tu servidor de correo y agrega la clave pública a tu dominio.
Debes acceder como administrador avanzado para realizar esta tarea.

Importante: En Google Workspace, después de activar Gmail para tu organización, debes esperar entre 24 y 72 horas para poder obtener tu clave DKIM en la Consola del administrador. Si intentas generar una clave antes de este momento, es posible que recibas un error que indique que no se creó el registro DKIM.

  1. En la Consola del administrador de Google, ve a Menú Apps Google Workspace Gmail.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. Haz clic en Autenticar correo electrónico.
  3. En el menú Dominio seleccionado, selecciona el dominio en el que deseas configurar DKIM.
  4. Haz clic en el botón Generate New Record.
  5. En el cuadro Generar registro nuevo, selecciona la configuración de tu clave DKIM:
    • 2048: Si tu proveedor de dominio admite claves de 2048 bits, selecciona esta opción. Las claves más largas son más seguras que las más cortas. Si antes usabas una clave de 1024 bits, puedes cambiar a una de 2048 bits si tu proveedor de dominio las admite.
    • 1024: Si el host de tu dominio no admite claves de 2048 bits, selecciona esta opción.
    • Opciones del selector de prefijos:

  6. Haz clic en Generar. En la página Autenticar correo electrónico, se actualiza el valor del registro TXT y aparece este mensaje: Se actualizaron los parámetros de configuración de autenticación de DKIM.

    Importante: Es posible que en la página Autenticar correo electrónico de la Consola del administrador de Google se siga mostrando este mensaje durante un máximo de 48 horas: Debes actualizar los registros DNS de este dominio. Si agregaste correctamente tu clave DKIM en tu proveedor de dominio, puedes ignorar este mensaje.

  7. Copia los valores DKIM que se muestran en la ventana Autenticar correo electrónico. Lo agregarás a tu proveedor de dominio en el siguiente paso:

    Nombre del host de DNS (nombre del registro TXT): Este texto es el nombre del registro DKIM TXT. Agregarás este nombre al registro TXT de tu proveedor de dominio en el campo Host.
    Valor del registro TXT: Este texto es la clave DKIM. Agregarás esta clave al registro TXT de tu proveedor de dominio en el campo Valor TXT.

Importante: Aún no hagas clic en Iniciar autenticación. Lo harás más adelante.

Paso 2: Agrega la clave DKIM a tu dominio

Cuando hayas generado tu par de claves DKIM, agrega la clave pública DKIM a tu dominio creando un registro TXT de DKIM.

Para obtener ayuda con tu información de acceso al dominio, configuración o registros TXT, comunícate con tu proveedor de dominio. Google no brinda asistencia técnica para los proveedores de dominio de terceros.
  1. Accede a tu host de dominio, por lo general, donde compraste el nombre de dominio. Si no sabes cuál es el host de tu dominio, consulta Cómo identificar el registrador de tu dominio.
  2. Ve a la página en la que actualizaste los registros TXT de DNS para tu dominio. Para obtener ayuda sobre cómo encontrar esta página, consulta la documentación para tu dominio.

  3. Agrega o actualiza el registro TXT con esta información (consulta la documentación de tu dominio):

    Nombre del campo Valor para ingresar
    Tipo El tipo de registro es TXT.
    Host (nombre, nombre de host, alias) Es la cadena que conforma el nombre del registro TXT. Por ejemplo: google._domainkey Consulta [este paso](#dkim-values) (anterior en esta página).
    Valor Es la cadena que conforma el valor del registro TXT. Debería comenzar con algo como v=DKIM1. Consulta [este paso](#dkim-values) (anterior en esta página).

    Nota: Algunos proveedores de dominio limitan la longitud del registro TXT. Si es así, lee Verifica los límites de caracteres del registro TXT de tu proveedor de dominio.

  4. Guarda los cambios.

  5. Si usas subdominios, consulta con tu proveedor de dominio para saber cómo agregar un registro TXT para tus subdominios.

  6. Si configuras DKIM para más de un dominio, completa estos pasos para cada dominio. Debes obtener una clave DKIM única desde la Consola del administrador para cada dominio.

    Después de agregar una clave DKIM, el funcionamiento de la autenticación DKIM puede demorar hasta 48 horas.

Paso 3: Activa y verifica DKIM

  • Si utilizas Google Workspace, sigue las instrucciones de esta sección.
  • Si no usas Google Workspace, usa una de las herramientas disponibles en Internet.

  1. En la Consola del administrador de Google, ve a Menú Apps Google Workspace Gmail.

    Se debe tener el privilegio de administrador de configuración de Gmail.

  2. Haz clic en Autenticar correo electrónico.
  3. En el menú Dominio seleccionado, selecciona el dominio en el que deseas activar DKIM.
  4. Haz clic en Iniciar autenticación. Cuando la configuración de DKIM esté completa y funcione correctamente, el estado en la parte superior de la página cambiará a Autenticando el correo electrónico con DKIM.
  5. Envía un correo electrónico a alguien que use Gmail o Google Workspace. (No puedes verificar si DKIM está activado enviándote un mensaje de prueba).

  6. Abre el mensaje en la carpeta Recibidos del destinatario y busca el encabezado completo del mensaje.

    Nota: Los pasos para ver el encabezado del mensaje varían según la aplicación de correo electrónico. Para mostrar los encabezados de los mensajes en Gmail, junto a Responder, haz clic en Más Mostrar original.

  7. En el encabezado del mensaje, busca Authentication-Results. Los servicios de recepción usan diferentes formatos para los encabezados de los mensajes. Sin embargo, los resultados de DKIM deberían indicar algo como DKIM=pass o DKIM=OK. Si el encabezado del mensaje no incluye una línea sobre DKIM, los mensajes enviados desde tu dominio no están firmados con DKIM:

Próximos pasos

  • Google recomienda que también configures la autenticación SPF y DMARC para tu organización. Los remitentes de distribución masiva deben configurar DKIM, SPF y DMARC. Para obtener más información, consulta los Lineamientos para remitentes de correo electrónico.
  • Si no puedes determinar si DKIM funciona o si los mensajes que se envían desde tu dominio se marcan como spam, consulta Soluciona problemas de DKIM.
  • De manera opcional, considera configurar BIMI para agregar el logotipo de tu organización a los mensajes enviados desde tu dominio.


Google, Google Workspace y las marcas y los logotipos relacionados son marcas de Google LLC. Todos los demás nombres de productos y empresas son marcas de las empresas con las que se encuentran asociados.