Última actualización: julio de 2026
En resumen: Al terminar esta guía Gandi firmará tu correo saliente con DKIM, y los servidores receptores podrán verificar la firma a través de tu zona DNS.
Requisitos previos
- Un dominio y buzones de correo en Gandi (Gandi Mail)
- Acceso a tu cuenta de Gandi (admin.gandi.net)
¿Qué es DKIM?
DKIM (DomainKeys Identified Mail), en palabras de Gandi, permite adjuntar a tu correo una firma que demuestra que el email está autorizado. El servidor receptor obtiene la clave pública correspondiente de tu DNS y comprueba así que el mensaje viene de verdad de tu dominio y no fue alterado en tránsito.
Para ponerlo en contexto: mientras SPF autoriza el servidor, DKIM asegura el mensaje en sí. Solo junto con DMARC se convierte en una base sólida — DKIM es el segundo de tres bloques.
El punto de partida en Gandi
Los servidores de correo de Gandi admiten firmas DKIM. Cómo se activa depende de dónde vive tu DNS:
- Dominio y correo en Gandi, con Gandi LiveDNS → un simple interruptor en tu cuenta. Gandi publica las claves por ti.
- Correo en Gandi, pero DNS en otro proveedor → añades tres registros CNAME a mano, apuntando a los hosts de claves de Gandi.
Lo ingenioso está en el mecanismo: las claves reales viven en Gandi (gm1.gandimail.net y compañía), y tu DNS solo apunta allí por CNAME. Así Gandi puede rotar las claves sin que vuelvas a tocar nada.
Guía paso a paso
1. Con Gandi LiveDNS: activa el interruptor
Si tu dominio y tu correo están alojados en Gandi y el dominio usa Gandi LiveDNS, puedes activar DKIM en tu cuenta siguiendo estos pasos:
- Inicia sesión en admin.gandi.net y abre tu dominio.
- Haz clic en la pestaña Email.
- Junto a Settings & Security pulsa Edit.
- Activa el interruptor junto a DKIM Signature y pulsa Update.
Eso es todo — Gandi crea los registros DNS necesarios. Salta a Verifica el resultado.
2. Con DNS externo: los 3 registros CNAME
Si tu dominio y correo están en Gandi pero no usas Gandi LiveDNS (el dominio apunta a otros servidores de nombres), puedes activar DKIM manualmente añadiendo estos tres registros CNAME en tu proveedor de DNS:
gm1._domainkey CNAME gm1.gandimail.net.
gm2._domainkey CNAME gm2.gandimail.net.
gm3._domainkey CNAME gm3.gandimail.net.
Hacen falta los tres registros CNAME — existen para que Gandi pueda renovar la clave de firma sin romper tu DKIM.
3. Espera hasta que el cambio esté activo
Los cambios de CNAME, como todo registro DNS, tardan; Gandi indica que puede llevar hasta 72 horas en todas partes.
Verifica el resultado
Comprueba tu configuración con el escáner MXAudit gratuito — te muestra si DKIM firma correctamente y si los selectores se resuelven en el DNS, junto con SPF y DMARC de un vistazo. O en el terminal, si conoces el selector:
dig CNAME gm1._domainkey.example.com +short
Si vuelve gm1.gandimail.net., el primer CNAME de DKIM está puesto.
Errores habituales
Crear un TXT en vez de un CNAME. Para DNS externo, Gandi funciona con registros CNAME que apuntan a *.gandimail.net — no con una clave TXT introducida a mano. Una clave antigua en TXT bloquea la rotación automática.
Crear solo uno de los tres CNAME. Los tres (gm1, gm2, gm3) son necesarios para que la renovación de claves siga funcionando. Crea los tres.
El interruptor y los CNAME manuales. Con Gandi LiveDNS el interruptor ya lo hace todo — no añadas además los CNAME a mano. La vía manual es solo para DNS externo.
Olvidar el punto final. Los destinos CNAME terminan en punto (gm1.gandimail.net.) — un nombre absoluto. Algunos paneles lo añaden automáticamente; comprueba que el tuyo lo haga.
Más información
- Docs de Gandi: How To Protect Your Email Against Being Spoofed (consultado el 10 de julio de 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
