Última actualización: julio de 2026
En resumen: Al terminar esta guía tu dominio publicará una clave pública DKIM válida en la zona DNS de Cloudflare — generada por Cloudflare Email Service o proporcionada por tu propio servidor de correo.
Requisitos previos
- Un dominio cuyo DNS se gestiona en Cloudflare (DNS > Records)
- Una configuración de correo que firme con DKIM: Cloudflare Email Routing/Sending o tu propio servidor
¿Qué es DKIM?
DKIM (DomainKeys Identified Mail) añade una firma digital al correo saliente. En palabras de Cloudflare, DKIM garantiza que los emails no han sido manipulados en tránsito firmándolos criptográficamente con la clave privada de tu dominio. DKIM funciona con un par de claves: la privada está en el servidor de correo y firma; la pública está en el DNS y sirve al receptor para la verificación.
Para ponerlo en contexto: mientras SPF autoriza el servidor, DKIM asegura el mensaje. Solo con DMARC se convierte en una base aplicable.
El punto de partida en Cloudflare
Dos escenarios, según quién envía tu correo:
A) Cloudflare Email Service (Routing o Sending). Cloudflare genera y gestiona las claves DKIM automáticamente; tú añades los registros DNS que te da el dashboard. Email Service usa selectores DKIM distintos para envío y enrutamiento:
- Email Sending:
cf-bounce._domainkey.tudominio.com - Email Routing:
cf2024-1._domainkey.tudominio.com
B) Tu propio servidor de correo detrás de Cloudflare DNS. Tu servidor (p. ej. Mailcow, OpenDKIM) genera el selector y el par de claves. Tú publicas la clave pública como registro TXT en tu zona DNS de Cloudflare.
Guía paso a paso
A) Cloudflare Email Service
1. Encuentra el registro. En el dashboard, ve a Compute > Email Service, elige tu dominio y consulta la página Settings del servicio correspondiente — Email Sending muestra el registro cf-bounce._domainkey, Email Routing el registro cf2024-1._domainkey.
2. Añade el registro. Ve a DNS > Records y añade el registro TXT de DKIM con el nombre de selector correcto y la clave pública. Un registro DKIM verificado se ve así (del ejemplo dig de Cloudflare):
v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
B) Tu propio servidor detrás de Cloudflare DNS
1. Genera la clave en el servidor. Tu servidor genera el selector y el par de claves (con Mailcow, p. ej. en la interfaz). Obtienes una clave pública de la forma v=DKIM1; k=rsa; p=<tu-clave-publica>.
2. Crea el registro TXT en el dashboard de Cloudflare. Ve a DNS > Records, elige Add record:
| Campo | Valor |
|---|---|
| Type | TXT |
| Name | <selector>._domainkey (p. ej. dkim._domainkey) |
| Content | v=DKIM1; k=rsa; p=<tu-clave-publica> |
| TTL | Auto |
Cloudflare usa un campo Content normal — sin comillas. Y asegúrate de que no haya espacios ni caracteres de más en el registro, o la clave larga no validará.
Espera hasta que el cambio esté activo
Los cambios de DNS tardan: según el TTL y el caché puede pasar un rato hasta que todos los servidores vean la nueva entrada.
Verifica el resultado
El registro DNS por sí solo no basta — el servidor de correo tiene que firmar de verdad con la clave privada. Comprueba el conjunto con el escáner MXAudit gratuito — muestra DKIM, SPF y DMARC de un vistazo.
O directamente:
dig TXT dkim._domainkey.example.com +short
Errores habituales
Espacios o caracteres de más. Cloudflare advierte: sin espacios ni caracteres sobrantes en el registro — una clave rota falla la verificación en silencio.
El selector no coincide. El nombre en el DNS (selector._domainkey) debe coincidir exactamente con el selector con el que firma el servidor. Con Email Service, usa exactamente cf-bounce._domainkey o cf2024-1._domainkey.
DNS puesto, pero sin firma. DKIM necesita las dos mitades: la clave pública en el DNS y la firma activa en el servidor. Comprueba ambas.
Más información
- Docs de Cloudflare: Email authentication (SPF, DKIM, DMARC) (consultado el 10 de julio de 2026)
- Docs de Cloudflare: Email Service troubleshooting (consultado el 10 de julio de 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
