Última actualización: julio de 2026
En resumen: Al terminar esta guía tu Mailcow generará un par de claves DKIM y publicarás la parte pública como registro TXT, para que los servidores receptores puedan verificar tus firmas.
Requisitos previos
- Un servidor Mailcow en marcha con acceso a la interfaz de administración
- Acceso a la gestión de DNS de tu(s) dominio(s)
¿Qué es DKIM?
DKIM (DomainKeys Identified Mail) añade una firma digital al correo saliente. La clave privada firma en el servidor de correo, la pública está en el DNS y sirve al destinatario para la verificación. Al autoalojar tienes ambos lados en tu mano — Mailcow genera el par de claves, tú publicas la parte pública.
Para ponerlo en contexto: mientras que SPF autoriza el servidor, DKIM asegura el mensaje. La documentación de Mailcow recomienda expresamente DKIM además de SPF y DMARC.
El punto de partida en Mailcow
Mailcow trae consigo la gestión de DKIM directamente: generas la clave en la interfaz de mailcow e introduces el registro TXT resultante en tu DNS. La documentación es inequívoca aquí: “crea un registro TXT de DKIM en tu interfaz de mailcow y define el registro TXT correspondiente en tus registros DNS.”
El selector por defecto es dkim, así que el host de DNS es dkim._domainkey.
Guía paso a paso
1. Genera la clave DKIM en la interfaz de mailcow
Inicia sesión en la interfaz de administración de mailcow y abre Configuración → Opciones → Claves ARC/DKIM (la etiqueta del menú depende de la versión). Elige el dominio, un selector (por defecto: dkim) y una longitud de clave (recomendada 2048 bits), y genera la clave. Mailcow te muestra entonces la clave pública como un valor TXT de DNS listo.
2. Crea el registro TXT en el DNS
Introduce el valor mostrado por Mailcow en tu proveedor de DNS:
dkim._domainkey IN TXT "v=DKIM1; k=rsa; t=s; s=email; p=..."
La parte p= es la larga clave pública de la interfaz de mailcow. Dónde exactamente creas el registro depende del proveedor de DNS — p. ej. Hetzner DNS (no olvides las comillas) o Netcup.
3. Cada dominio individualmente
Como con la configuración de SPF: cada dominio gestionado en Mailcow necesita su propia clave DKIM y registro TXT. Genera una clave por dominio en la interfaz y publícala por separado.
4. Espera hasta que el cambio esté activo
Los cambios de DNS tardan — unas horas según el TTL y el caché hasta que todos los servidores vean la entrada.
Verifica el resultado
DKIM solo funciona cuando el registro DNS y la firma en Mailcow encajan. Comprueba eso con el escáner MXAudit gratuito — te muestra DKIM, SPF y DMARC de un vistazo.
Errores habituales
Clave generada, pero TXT no definido (o viceversa). Ambas mitades deben encajar: la clave en la interfaz de mailcow y el TXT dkim._domainkey en el DNS. Si falta una, la verificación falla.
Clave regenerada después de la entrada DNS. Si generas una nueva clave en la interfaz, la parte pública cambia — el registro TXT antiguo ya no encaja. Actualiza el registro DNS tras cada regeneración.
Discrepancia de selector. El host de DNS (dkim._domainkey) debe coincidir con el selector elegido en Mailcow. Si te desvías del dkim por defecto, la entrada DNS tiene que seguirlo.
Olvidar dominios adicionales. Cada dominio necesita su propia clave DKIM y registro — un segundo dominio olvidado envía sin firmar.
Más información
- Documentación de Mailcow: Configuración de DNS (DKIM, SPF, DMARC) (consultado el 10 de julio de 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
