Última actualización: julio de 2026

En resumen: Al terminar esta guía Microsoft 365 firmará tu correo saliente con DKIM — mediante dos selectores CNAME que apuntan a claves gestionadas por Microsoft.

Requisitos previos

  • Un tenant de Microsoft 365 con un dominio personalizado
  • Acceso al portal de Microsoft Defender (un rol para la autenticación de email)
  • Acceso a la gestión de DNS de tu dominio (en el proveedor de dominio)

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) añade una firma digital al correo saliente, que el destinatario comprueba mediante una clave pública publicada en el DNS. Microsoft 365 almacena estas claves como entradas CNAME — otros sistemas de correo usan a menudo entradas TXT en su lugar.

Para ponerlo en contexto: mientras que SPF autoriza el servidor, DKIM asegura el mensaje. Solo con DMARC se convierte en una base aplicable.

El punto de partida en Microsoft 365

Dos cosas por adelantado:

El dominio *.onmicrosoft.com se firma automáticamente — para el correo que solo pasa por él, no tienes que hacer nada. Para tu dominio personalizado (example.com) activas DKIM una vez en el portal de Defender y creas dos entradas CNAME en el proveedor de dominio.

Microsoft genera dos pares de claves y proporciona los selectores selector1._domainkey y selector2._domainkey — los nombres de host son idénticos para todas las organizaciones de Microsoft 365. Las claves privadas se quedan en Microsoft; los CNAMEs apuntan a las públicas.

Atención, cambio de formato: desde mayo de 2025 Microsoft usa un nuevo formato de destino CNAME para dominios nuevos, con un carácter de partición asignado dinámicamente. Así que deberías obtener siempre los valores de destino exactos de tu propio tenant y no copiarlos de una guía más antigua.

Guía paso a paso

1. Abre DKIM en el portal de Defender

Ve a security.microsoft.com/authentication y selecciona la pestaña DKIM. Haz clic en tu dominio personalizado — el panel de detalle muestra los dos valores CNAME a crear.

2. Obtén los valores de destino CNAME exactos

Los nombres de host son fijos:

  • selector1._domainkey
  • selector2._domainkey

Los valores de destino dependen de tu tenant. Para dominios nuevos (desde mayo de 2025) tienen la forma:

selector1-<CustomDomainWithDashes>._domainkey.<InitialDomainPrefix>.<DynamicPartitionCharacter>-v1.dkim.mail.microsoft

Para dominios existentes sigue aplicando el formato antiguo:

selector1-contoso-com._domainkey.contoso.onmicrosoft.com

El carácter de partición dinámico lo asigna Microsoft y no es configurable. En lugar de adivinar, obtén los valores exactos mediante PowerShell:

Get-DkimSigningConfig -Identity contoso.com | Format-List Name,Enabled,Status,Selector1CNAME,Selector2CNAME

(reemplaza contoso.com por tu dominio). Los dos valores SelectorXCNAME son los destinos de tus entradas CNAME.

3. Crea las entradas CNAME en el proveedor de dominio

En el proveedor de DNS de tu dominio, crea dos registros CNAME: selector1._domainkey y selector2._domainkey, cada uno con el valor de destino correspondiente del paso 2. Dónde exactamente lo muestran nuestras guías de proveedores — p. ej. IONOS, Strato o Netcup.

Importante con Cloudflare: desactiva el proxy de Cloudflare (la nube naranja) para las entradas CNAME de DKIM — los CNAMEs con proxy no se resuelven correctamente y la validación de Microsoft falla.

4. Activa DKIM

De vuelta en el portal de Defender: en la pestaña DKIM, desliza el interruptor de tu dominio de Deshabilitado a Habilitado. Si el estado no cambia de inmediato, elige Actualizar — entonces el valor salta a Habilitado.

5. Espera hasta que el cambio esté activo

La propagación de DNS puede tardar de unos minutos a 48 horas según el proveedor y el TTL. Si el estado se queda en CnameMissing más tiempo, comprueba las entradas (y el proxy de Cloudflare).

Verifica el resultado

Comprueba tu configuración con el escáner MXAudit gratuito — te muestra DKIM, SPF y DMARC de un vistazo.

Errores habituales

Copiar valores CNAME antiguos de una guía. Desde mayo de 2025 el formato es distinto y específico del tenant. Obtén siempre tus propios valores del portal o mediante Get-DkimSigningConfig — el formato antiguo y el nuevo no deben existir simultáneamente para el mismo selector.

Dejar el proxy de Cloudflare activado. Los CNAMEs de DKIM con proxy (naranja) no se resuelven; el estado se queda en CnameMissing. Pon el proxy en “Solo DNS” (nube gris).

Crear solo un selector. Microsoft 365 necesita ambos (selector1 y selector2._domainkey).

Accionar el interruptor antes de que los CNAMEs se propaguen. Crea primero los CNAMEs y deja que se resuelvan, luego acciona el interruptor — de lo contrario la activación falla.

Más información