Última actualización: julio de 2026
En resumen: Un selector DKIM subdivide el espacio de nombres de claves de un dominio, permitiendo que varias claves públicas coexistan de forma simultánea en el DNS. Es el mecanismo esencial que hace posible usar plataformas de envío de terceros y realizar la rotación de claves sin interrupción del servicio.
Cuando tu servidor de correo aplica una firma criptográfica DomainKeys Identified Mail (DKIM) a un correo saliente, añade la cabecera DKIM-Signature al mensaje. Dentro de esta cabecera, la etiqueta d= especifica tu dominio de firma y la etiqueta s= declara el selector exacto utilizado para firmar el mensaje. Los servidores receptores necesitan ambos datos para localizar y obtener la clave pública correcta en tus registros DNS.
Subdividir el espacio de nombres de claves
Según el RFC 6376, los selectores subdividen el espacio de nombres de claves (To support multiple concurrent public keys per signing domain, the key namespace is subdivided using "selectors".).
Sin selectores, un dominio solo podría publicar una única clave pública DKIM bajo _domainkey.example.com. Sin embargo, las organizaciones modernas envían correos habitualmente desde múltiples plataformas independientes de forma simultánea, como Google Workspace, una API de correo transaccional y una plataforma de automatización de marketing. El selector (s=) soluciona esto creando subdominios únicos bajo _domainkey.
Por ejemplo, si la cabecera de firma de un mensaje entrante especifica d=example.com y s=mail2026, el servidor receptor consulta el siguiente registro TXT:
mail2026._domainkey.example.com
Un registro de clave pública estándar devuelto por esa consulta DNS se ve así:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Claves simultáneas y rotación sin cortes
Los selectores permiten dos prácticas operativas fundamentales:
- Aislamiento de plataformas: Puedes asignar selectores independientes a cada proveedor de servicios, como
google._domainkeypara tu proveedor de buzones principal ycrm._domainkeypara tu sistema de gestión de clientes. - Rotación de claves fluida: Las mejores prácticas de seguridad exigen rotar las claves criptográficas con regularidad. Gracias a los selectores, puedes publicar una nueva clave bajo un nuevo selector (como
s=2026b), activar la firma en tu servidor de correo y dejar el selector antiguo (s=2026a) activo en el DNS hasta que todo el correo en tránsito haya sido entregado y verificado.
Etiquetas opcionales en el registro de clave
Más allá del nombre del selector que apunta al registro DNS, la propia cadena TXT publicada puede contener etiquetas opcionales de control. Según el RFC 6376, la etiqueta s= (s= Service Type (plain-text; OPTIONAL; default is "*")) restringe el registro a tipos de servicio concretos. Además, puedes desplegar nuevas claves de forma segura usando el modo de pruebas: la bandera t=y indica que un dominio está probando DKIM (y This domain is testing DKIM. Verifiers MUST NOT treat messages from Signers in testing mode differently from unsigned email, even should the signature fail to verify.). Un registro de pruebas se escribe así:
v=DKIM1; k=rsa; t=y; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Verificar tus selectores
Para confirmar que tus selectores DKIM se resuelven correctamente en el DNS y que la cadena de tu clave pública tiene una sintaxis válida, prueba tu dominio con el escáner gratuito MXAudit.
Para explorar más conceptos y detalles técnicos, visita la guía central de DKIM y tutoriales prácticos como configurar DKIM en IONOS.
Más información
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (consultado el 17 de julio de 2026)