Última actualización: julio de 2026

En resumen: Al terminar esta guía tu dominio publicará una clave pública DKIM válida en Route 53 — bien como los registros CNAME que te entrega tu servicio de correo, bien como registro TXT para tu propio servidor.

Requisitos previos

  • Una zona alojada pública en Amazon Route 53
  • Un servicio de correo que firme tus envíos (Amazon SES, Google Workspace, Microsoft 365 o tu propio servidor)

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) añade una firma digital al correo saliente. Los servidores receptores comprueban así que un correo viene de verdad de tu dominio y no fue alterado en tránsito. DKIM funciona con un par de claves: la privada está en el servidor de correo y firma; la pública está en el DNS y sirve al receptor para la verificación.

Para ponerlo en contexto: mientras SPF autoriza el servidor, DKIM asegura el mensaje. Solo con DMARC se convierte en una base aplicable.

El punto de partida en Route 53

Route 53 es solo DNS — nunca genera un par de claves. Las claves vienen de tu servicio de correo; Route 53 solo publica la mitad pública. Hay dos formas habituales:

A) Delegación CNAME (Amazon SES Easy DKIM, Microsoft 365). El proveedor aloja la clave y te da unos registros CNAME (tres en SES Easy DKIM) que apuntan a su dominio. Los recreas en Route 53. La ventaja: el proveedor puede rotar las claves sin que vuelvas a tocar el DNS.

B) Clave pública TXT propia (tu propio servidor, Google Workspace). Tu servidor de correo (p. ej. OpenDKIM, o Google Workspace que te muestra un valor TXT) genera el par de claves. Publicas la clave pública como registro TXT en selector._domainkey.

Guía paso a paso

A) Delegación CNAME (p. ej. Amazon SES)

1. Consigue los destinos CNAME. En la consola de tu proveedor, activa DKIM y copia las parejas host/destino CNAME que muestre.

2. Crea cada CNAME en Route 53. Abre tu zona alojada y pulsa Create record por cada pareja:

CampoValor
Record name<token>._domainkey (tal como lo muestre el proveedor)
Record typeCNAME
Valueel nombre de host de destino que te dio el proveedor

Ten presente una regla de AWS: si creas un CNAME para un subdominio, no puedes crear ningún otro registro para ese subdominio — y un CNAME no está permitido en el vértice de la zona (el protocolo DNS no permite un CNAME en el nodo superior del espacio de nombres, el «zone apex»). Ninguna de las dos cosas es un problema para DKIM, porque el host del selector (<token>._domainkey) siempre es un subdominio dedicado.

B) Clave pública TXT propia

1. Genera la clave en el servidor. Tu servidor produce un selector y un par de claves. Obtienes una clave pública en formato v=DKIM1; k=rsa; p=....

2. Crea el registro TXT en Route 53:

CampoValor
Record name<selector>._domainkey (p. ej. dkim._domainkey)
Record typeTXT
Value"v=DKIM1; k=rsa; p=<tu-clave-publica>"

Como con el registro SPF, se aplica la regla de Route 53: el valor TXT va entre comillas dobles (un registro TXT contiene una o varias cadenas encerradas entre comillas dobles). Una clave DKIM supera fácilmente el límite de 255 caracteres de una sola cadena — Route 53 permite partirla: una cadena puede tener hasta 255 caracteres, así que divide una clave larga en varias cadenas entrecomilladas en la misma línea ("v=DKIM1; k=rsa; " "p=MIIBI..."). El valor total puede llegar a 4.000 caracteres.

Espera hasta que el cambio esté activo

Según la documentación de AWS, los cambios se propagan generalmente a todos los servidores de nombres de Route 53 en 60 segundos — los cachés intermedios siguen al expirar el TTL.

Verifica el resultado

El registro DNS por sí solo no basta — el servidor de correo tiene que firmar de verdad con la clave privada. Comprueba el conjunto con el escáner MXAudit gratuito — muestra DKIM, SPF y DMARC de un vistazo.

Errores habituales

Clave partida mal introducida. Una clave RSA larga debe dividirse en cadenas de ≤255 caracteres entre comillas en una línea — no pegarse como una única cadena de 300 caracteres.

Olvidar las comillas. En el campo Value de Route 53 el valor TXT va entre comillas dobles.

El selector no coincide. El nombre en el DNS (selector._domainkey) debe coincidir exactamente con el selector con el que firma el servidor.

Más registros bajo un host CNAME. Con delegación CNAME no puedes añadir otros registros bajo ese mismo subdominio — Route 53 (y el propio DNS) lo prohíbe.

DNS puesto, pero sin firma. DKIM necesita las dos mitades: la clave pública en el DNS y la firma activa en el servidor. Comprueba ambas.

Más información