Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará una clave DKIM correcta en el KAS, para que los servidores receptores puedan verificar la firma de tu correo.
Requisitos previos
- Un paquete de All-Inkl con acceso al KAS (administración técnica)
- La clave pública DKIM de tu servidor de correo de envío (para el envío externo, la proporciona el proveedor)
¿Qué es DKIM?
DKIM (DomainKeys Identified Mail) añade una firma digital al correo saliente. El servidor receptor consulta la clave DKIM almacenada en el servidor de nombres del dominio y la usa para verificar la firma. All-Inkl señala expresamente en su propia documentación: DKIM solo garantiza que el correo llega sin alterar — no hace expresamente ninguna afirmación sobre el spam. Justo por eso necesitas adicionalmente SPF y DMARC.
El punto de partida en All-Inkl
Dos vías, según quién envíe tu correo:
- Envío a través de los servidores de correo de All-Inkl: activas la firma DKIM en la configuración del KAS de tu dominio o buzón — All-Inkl crea entonces por su cuenta la entrada DNS correspondiente. (Comprueba en el KAS, bajo tu dominio/buzón, si la opción DKIM está activa.)
- Envío a través de un servidor de correo externo (tu propio servidor, servicio de newsletter): introduces tú mismo la clave pública proporcionada por el proveedor como registro TXT (DKIM) en el KAS. La siguiente guía describe esta vía — es la ruta de DNS documentada oficialmente por All-Inkl.
Guía paso a paso (servidor de correo externo)
1. Abre la configuración de DNS en el KAS
Inicia sesión en el KAS (administración técnica) y haz clic en Herramientas → Configuración de DNS. Edita el dominio y haz clic en crear nueva entrada DNS.
2. Introduce el registro DKIM
Rellena el formulario así:
| Campo | Valor |
|---|---|
| Nombre | tu selector + ._domainkey, p. ej. mail._domainkey |
| Tipo | TXT |
| Datos | v=DKIM1; k=rsa; p=<your-public-key-from-the-mail-server> |
El nombre del selector (aquí mail) lo dicta tu servidor de correo o servicio de envío — debe coincidir exactamente, porque el servidor receptor busca precisamente selector._domainkey.tu-dominio. Para DKIM no hay PRIO.
Sobre la sintaxis: v=DKIM1 es la versión y debe — si se especifica — ir primero. p contiene la clave pública. k=rsa indica el tipo de clave (en All-Inkl actualmente solo rsa).
3. Ten en cuenta el límite de caracteres
El campo DATOS admite hasta 512 caracteres — eso permite claves de hasta 2048 bits. Así que una clave RSA de 2048 bits cabe justo; claves más grandes (4096 bits) rebasarían el límite. En caso de duda, usa una clave de 2048 bits.
4. Guarda y comprueba
Tras guardar, la entrada aparece en la tabla. Los cambios de DNS en All-Inkl pueden tardar hasta 24 horas hasta que sean visibles en todas partes.
Verifica el resultado
El registro DNS por sí solo no basta — tu servidor de correo debe firmar realmente el correo saliente con la clave privada correspondiente. Comprueba la interacción con el escáner MXAudit gratuito: muestra si la firma funciona y el selector se resuelve en el DNS — junto con SPF y DMARC.
Errores habituales
El selector no coincide. El nombre en el DNS (selector._domainkey) debe coincidir exactamente con el selector con el que firma tu servidor de correo. Una errata y la firma no se puede encontrar.
Clave demasiado grande para el campo. El campo DATOS no admite más de 512 caracteres — una clave de 4096 bits no cabe. Elige 2048 bits.
DNS definido, pero el servidor no firma. DKIM consta de dos mitades: la clave pública en el DNS y la firma por el servidor de correo con la clave privada. Sin la segunda, el registro TXT más bonito no hace nada.
Espacios alrededor del =. En v=DKIM1 y p=... no hay espacio alrededor del signo de igual — parámetro y valor pegados, separados por un punto y coma.
Más información
- Guía de All-Inkl: DKIM (al enviar por servidores de correo externos) (en alemán) (consultado el 10 de julio de 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
