Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará una clave pública DKIM válida — generada automáticamente con konsoleH, proporcionada por ti con tu propio servidor de correo.

Requisitos previos

  • Un paquete de hosting web de Hetzner (konsoleH) o una zona DNS en Hetzner más tu propio servidor de correo
  • Acceso a la gestión de DNS correspondiente

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) añade una firma digital al correo saliente. Los servidores receptores la usan para comprobar si un correo procede realmente de tu dominio y no fue alterado en tránsito. DKIM funciona con un par de claves: la clave privada está en el servidor de correo y firma; la clave pública está en el DNS y sirve al destinatario para la verificación.

Para ponerlo en contexto: mientras que SPF autoriza el servidor, DKIM asegura el mensaje. Solo con DMARC se convierte en una base aplicable.

El punto de partida en Hetzner

Dos escenarios, según quién envíe tu correo:

A) Hosting web konsoleH (Hetzner es tu servidor de correo). La función Activar DKIM genera automáticamente un par de claves. Si usas los servidores de nombres de konsoleH, el sistema define el registro DNS necesario de inmediato — si usas servidores de nombres externos, konsoleH te muestra el registro TXT a introducir manualmente.

B) Tu propio servidor de correo detrás de Hetzner DNS. Tu servidor de correo (p. ej. Mailcow, OpenDKIM) genera el par de claves. Introduces la clave pública como registro TXT en tu zona DNS de Hetzner.

Guía paso a paso

A) Hosting web konsoleH

1. Activa DKIM. En la configuración de seguridad de correo de konsoleH de tu dominio, activa la función Activar DKIM. Esto genera automáticamente un par de claves.

2. Define el registro DNS.

  • Con servidores de nombres de konsoleH: el sistema crea el registro DNS de DKIM automáticamente — ya está.
  • Con servidores de nombres externos: konsoleH te muestra un registro TXT. Introdúcelo en tu proveedor de DNS exactamente como se muestra (nombre de host selector._domainkey, valor v=DKIM1; ...).

3. Opcional: tu propio par de claves. También puedes usar tu propio par de claves. Importante: la clave privada no debe estar protegida con contraseña, de lo contrario el servidor de correo no puede firmar con ella.

B) Tu propio servidor de correo detrás de Hetzner DNS

1. Genera la clave en el servidor de correo. Tu servidor de correo genera el selector y el par de claves (con Mailcow, p. ej. en la interfaz). Obtienes una clave pública en el formato v=DKIM1; k=rsa; p=....

2. Crea el registro TXT en la Hetzner Console:

CampoValor
TipoTXT
Nombre<selector>._domainkey (p. ej. dkim._domainkey)
Valor"v=DKIM1; k=rsa; p=<your-public-key>"

Como con el registro SPF, rige la peculiaridad de Hetzner: el valor TXT debe ir entre comillas.

Espera hasta que el cambio esté activo

Los cambios de DNS tardan: según el TTL y el caché puede tardar unas horas hasta que todos los servidores vean la nueva entrada.

Verifica el resultado

El registro DNS por sí solo no basta — el servidor de correo debe firmar realmente con la clave privada. Comprueba la interacción con el escáner MXAudit gratuito — te muestra DKIM, SPF y DMARC de un vistazo.

Errores habituales

Clave privada protegida con contraseña. Si usas tu propio par de claves, la clave privada no debe tener contraseña — de lo contrario el servidor de correo no puede firmar.

Olvidar las comillas. En la Hetzner Console el valor TXT va entre comillas. Sin ellas la larga cadena DKIM no se almacena correctamente.

El selector no coincide. El nombre en el DNS (selector._domainkey) debe coincidir exactamente con el selector con el que firma el servidor de correo.

DNS definido, pero sin firma. DKIM necesita ambas mitades: la clave pública en el DNS y la firma activa en el servidor de correo. Comprueba ambas.

Más información