Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará una clave DKIM correcta en el KAS, para que los servidores receptores puedan verificar la firma de tu correo.

Requisitos previos

  • Un paquete de All-Inkl con acceso al KAS (administración técnica)
  • La clave pública DKIM de tu servidor de correo de envío (para el envío externo, la proporciona el proveedor)

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) añade una firma digital al correo saliente. El servidor receptor consulta la clave DKIM almacenada en el servidor de nombres del dominio y la usa para verificar la firma. All-Inkl señala expresamente en su propia documentación: DKIM solo garantiza que el correo llega sin alterar — no hace expresamente ninguna afirmación sobre el spam. Justo por eso necesitas adicionalmente SPF y DMARC.

El punto de partida en All-Inkl

Dos vías, según quién envíe tu correo:

  • Envío a través de los servidores de correo de All-Inkl: activas la firma DKIM en la configuración del KAS de tu dominio o buzón — All-Inkl crea entonces por su cuenta la entrada DNS correspondiente. (Comprueba en el KAS, bajo tu dominio/buzón, si la opción DKIM está activa.)
  • Envío a través de un servidor de correo externo (tu propio servidor, servicio de newsletter): introduces tú mismo la clave pública proporcionada por el proveedor como registro TXT (DKIM) en el KAS. La siguiente guía describe esta vía — es la ruta de DNS documentada oficialmente por All-Inkl.

Guía paso a paso (servidor de correo externo)

1. Abre la configuración de DNS en el KAS

Inicia sesión en el KAS (administración técnica) y haz clic en HerramientasConfiguración de DNS. Edita el dominio y haz clic en crear nueva entrada DNS.

2. Introduce el registro DKIM

Rellena el formulario así:

CampoValor
Nombretu selector + ._domainkey, p. ej. mail._domainkey
TipoTXT
Datosv=DKIM1; k=rsa; p=<your-public-key-from-the-mail-server>

El nombre del selector (aquí mail) lo dicta tu servidor de correo o servicio de envío — debe coincidir exactamente, porque el servidor receptor busca precisamente selector._domainkey.tu-dominio. Para DKIM no hay PRIO.

Sobre la sintaxis: v=DKIM1 es la versión y debe — si se especifica — ir primero. p contiene la clave pública. k=rsa indica el tipo de clave (en All-Inkl actualmente solo rsa).

3. Ten en cuenta el límite de caracteres

El campo DATOS admite hasta 512 caracteres — eso permite claves de hasta 2048 bits. Así que una clave RSA de 2048 bits cabe justo; claves más grandes (4096 bits) rebasarían el límite. En caso de duda, usa una clave de 2048 bits.

4. Guarda y comprueba

Tras guardar, la entrada aparece en la tabla. Los cambios de DNS en All-Inkl pueden tardar hasta 24 horas hasta que sean visibles en todas partes.

Verifica el resultado

El registro DNS por sí solo no basta — tu servidor de correo debe firmar realmente el correo saliente con la clave privada correspondiente. Comprueba la interacción con el escáner MXAudit gratuito: muestra si la firma funciona y el selector se resuelve en el DNS — junto con SPF y DMARC.

Errores habituales

El selector no coincide. El nombre en el DNS (selector._domainkey) debe coincidir exactamente con el selector con el que firma tu servidor de correo. Una errata y la firma no se puede encontrar.

Clave demasiado grande para el campo. El campo DATOS no admite más de 512 caracteres — una clave de 4096 bits no cabe. Elige 2048 bits.

DNS definido, pero el servidor no firma. DKIM consta de dos mitades: la clave pública en el DNS y la firma por el servidor de correo con la clave privada. Sin la segunda, el registro TXT más bonito no hace nada.

Espacios alrededor del =. En v=DKIM1 y p=... no hay espacio alrededor del signo de igual — parámetro y valor pegados, separados por un punto y coma.

Más información