Última actualización: julio de 2026

En resumen: Un registro de clave DKIM es un registro TXT DNS que publica tu clave pública junto con etiquetas de control del protocolo (v=, k=, p=, s= y t=). Estos parámetros indican a los servidores de correo receptores cómo procesar y validar tus firmas criptográficas.

Para permitir que los servidores receptores verifiquen una firma DomainKeys Identified Mail (DKIM), un dominio debe publicar su clave pública en el DNS. Esta entrada se publica como un registro TXT bajo el subdominio <selector>._domainkey.<dominio> y consta de una lista de pares etiqueta=valor separados por punto y coma.

Un registro de clave DKIM estándar se ve así:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Principales etiquetas explicadas

Según el RFC 6376, cada etiqueta define una propiedad operativa específica de la clave publicada:

La etiqueta de versión (v=)

La etiqueta v= declara la versión del registro de clave DKIM (v= Version of the DKIM key record (plain-text; RECOMMENDED, default is "DKIM1")).

Si se especifica, esta etiqueta debe establecerse como DKIM1 y debe ubicarse justo al principio de la cadena. Según el RFC 6376: If specified, this tag MUST be set to "DKIM1" (without the quotes). This tag MUST be the first tag in the record. Records beginning with a "v=" tag with any other value MUST be discarded.

La etiqueta del tipo de clave (k=)

La etiqueta k= identifica el algoritmo criptográfico utilizado para generar la clave (k= Key type (plain-text; OPTIONAL, default is "rsa")).

Si se omite, los servidores receptores asumen el algoritmo rsa por defecto. El estándar exige una amplia compatibilidad entre las implementaciones: Signers and Verifiers MUST support the "rsa" key type.

La etiqueta de datos de clave pública (p=)

La etiqueta p= contiene la clave pública codificada en base64 (p= Public-key data (base64; REQUIRED)).

Una característica crítica de esta etiqueta es la revocación de claves: cuando se publica con un valor vacío (An empty value means that this public key has been revoked.), indica a los verificadores que la clave ha sido revocada y no debe considerarse válida. Un registro de clave revocada se publica así:

v=DKIM1; p=

La etiqueta de tipo de servicio (s=)

La etiqueta opcional s= restringe el ámbito de la clave (s= Service Type (plain-text; OPTIONAL; default is "*")). Acepta una lista de tipos de servicio separados por dos puntos. Para restringir una clave pública de modo que solo sea válida para la autenticación de correo, define s=email:

v=DKIM1; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

La etiqueta de banderas (t=)

La etiqueta t= contiene banderas operativas (t= Flags, represented as a colon-separated list of names (plain-text; OPTIONAL, default is no flags set)). Si un verificador encuentra banderas no reconocidas, el estándar exige que sean ignoradas (Unrecognized flags MUST be ignored.).

Durante el despliegue inicial, los administradores suelen utilizar la bandera y para activar el modo de pruebas (y This domain is testing DKIM. Verifiers MUST NOT treat messages from Signers in testing mode differently from unsigned email, even should the signature fail to verify.). Un registro de pruebas se escribe como:

v=DKIM1; k=rsa; t=y; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Verificar tu configuración

Para comprobar que tus etiquetas están formateadas limpiamente y confirmar que tu clave pública en base64 se lee sin truncamientos, inspecciona tu dominio con el escáner gratuito MXAudit.

Para obtener orientación técnica sobre la gestión de claves y configuraciones específicas por proveedor, explora la guía central de DKIM y tutoriales prácticos como configurar DKIM en IONOS.

Más información