Última actualización: julio de 2026

En resumen: Al terminar esta guía Gandi firmará tu correo saliente con DKIM, y los servidores receptores podrán verificar la firma a través de tu zona DNS.

Requisitos previos

  • Un dominio y buzones de correo en Gandi (Gandi Mail)
  • Acceso a tu cuenta de Gandi (admin.gandi.net)

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail), en palabras de Gandi, permite adjuntar a tu correo una firma que demuestra que el email está autorizado. El servidor receptor obtiene la clave pública correspondiente de tu DNS y comprueba así que el mensaje viene de verdad de tu dominio y no fue alterado en tránsito.

Para ponerlo en contexto: mientras SPF autoriza el servidor, DKIM asegura el mensaje en sí. Solo junto con DMARC se convierte en una base sólida — DKIM es el segundo de tres bloques.

El punto de partida en Gandi

Los servidores de correo de Gandi admiten firmas DKIM. Cómo se activa depende de dónde vive tu DNS:

  • Dominio y correo en Gandi, con Gandi LiveDNS → un simple interruptor en tu cuenta. Gandi publica las claves por ti.
  • Correo en Gandi, pero DNS en otro proveedor → añades tres registros CNAME a mano, apuntando a los hosts de claves de Gandi.

Lo ingenioso está en el mecanismo: las claves reales viven en Gandi (gm1.gandimail.net y compañía), y tu DNS solo apunta allí por CNAME. Así Gandi puede rotar las claves sin que vuelvas a tocar nada.

Guía paso a paso

1. Con Gandi LiveDNS: activa el interruptor

Si tu dominio y tu correo están alojados en Gandi y el dominio usa Gandi LiveDNS, puedes activar DKIM en tu cuenta siguiendo estos pasos:

  1. Inicia sesión en admin.gandi.net y abre tu dominio.
  2. Haz clic en la pestaña Email.
  3. Junto a Settings & Security pulsa Edit.
  4. Activa el interruptor junto a DKIM Signature y pulsa Update.

Eso es todo — Gandi crea los registros DNS necesarios. Salta a Verifica el resultado.

2. Con DNS externo: los 3 registros CNAME

Si tu dominio y correo están en Gandi pero no usas Gandi LiveDNS (el dominio apunta a otros servidores de nombres), puedes activar DKIM manualmente añadiendo estos tres registros CNAME en tu proveedor de DNS:

gm1._domainkey    CNAME    gm1.gandimail.net.
gm2._domainkey    CNAME    gm2.gandimail.net.
gm3._domainkey    CNAME    gm3.gandimail.net.

Hacen falta los tres registros CNAME — existen para que Gandi pueda renovar la clave de firma sin romper tu DKIM.

3. Espera hasta que el cambio esté activo

Los cambios de CNAME, como todo registro DNS, tardan; Gandi indica que puede llevar hasta 72 horas en todas partes.

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra si DKIM firma correctamente y si los selectores se resuelven en el DNS, junto con SPF y DMARC de un vistazo. O en el terminal, si conoces el selector:

dig CNAME gm1._domainkey.example.com +short

Si vuelve gm1.gandimail.net., el primer CNAME de DKIM está puesto.

Errores habituales

Crear un TXT en vez de un CNAME. Para DNS externo, Gandi funciona con registros CNAME que apuntan a *.gandimail.net — no con una clave TXT introducida a mano. Una clave antigua en TXT bloquea la rotación automática.

Crear solo uno de los tres CNAME. Los tres (gm1, gm2, gm3) son necesarios para que la renovación de claves siga funcionando. Crea los tres.

El interruptor y los CNAME manuales. Con Gandi LiveDNS el interruptor ya lo hace todo — no añadas además los CNAME a mano. La vía manual es solo para DNS externo.

Olvidar el punto final. Los destinos CNAME terminan en punto (gm1.gandimail.net.) — un nombre absoluto. Algunos paneles lo añaden automáticamente; comprueba que el tuyo lo haga.

Más información