Ir al contenido principal

Nuevo

Prueba la entregabilidad de tus correos

Envía un correo de prueba y obtén un diagnóstico completo de tu autenticación SPF, DKIM y DMARC en segundos.

  • Prueba de envío real
  • Diagnóstico instantáneo
  • Sin registro
Iniciar la prueba

Generador DKIM Gratuito

Crea un par de claves DKIM (RSA o Ed25519) en pocos clics

Generador DKIM gratuito con soporte RSA (2048/4096 bits) y Ed25519. Obtén instantáneamente tu clave privada y el registro DNS TXT a publicar. La clave privada se genera una sola vez y nunca se almacena en nuestros servidores.

El dominio para el que generar la clave DKIM

Identificador único para esta clave (ej: default, google, s1)

RSA y Ed25519

Soporte para algoritmos RSA (1024/2048/4096 bits) y Ed25519. RSA 2048 bits es recomendado para máxima compatibilidad con todos los servidores de correo.

Clave privada segura

La clave privada se genera en el servidor y se transmite una sola vez. Nunca se almacena ni se registra en logs. Descárgala inmediatamente en formato PEM.

Validación DNS

Verificación automática de la longitud del registro. Alerta si el registro supera 255 caracteres (límite DNS TXT) con RSA 4096 bits.

Copia en un clic

Copia el registro DNS TXT directamente o descarga la clave privada en formato PEM. Listo para la configuración de tu servidor de correo.

Guías por proveedor

Instrucciones de despliegue para Google Workspace, Microsoft 365 y servidores de correo personalizados (Postfix con OpenDKIM).

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) es un mecanismo de autenticación de correo electrónico definido en la RFC 6376. Permite firmar criptográficamente los correos salientes para demostrar su origen e integridad.

Por qué configurar DKIM:

  • Autenticar tus correos — Demuestra que el correo proviene realmente de tu dominio
  • Proteger contra la falsificación — La firma detecta cualquier modificación del contenido
  • Mejorar la entregabilidad — Los correos firmados con DKIM son mejor aceptados por Gmail, Outlook, Yahoo
  • Prerrequisito para DMARC — DKIM es uno de los dos pilares de la autenticación DMARC (junto con SPF)

¿Cómo funciona DKIM?

DKIM utiliza criptografía asimétrica (clave pública/privada):

  1. Firma al enviar: Tu servidor de correo calcula un hash del mensaje y lo firma con la clave privada
  2. Publicación DNS: La clave pública se publica en un registro TXT en selector._domainkey.dominio.com
  3. Verificación al recibir: El servidor destinatario recupera la clave pública vía DNS y verifica la firma
Envío:  Mensaje → Hash → Firma (clave privada) → Header DKIM-Signature
Recepción: Header → Clave pública (DNS) → Verificación de firma → Pass/Fail

Sintaxis de un registro DKIM

Un registro DKIM es un registro DNS TXT publicado en <selector>._domainkey.<dominio>:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Tags DKIM

TagDescripciónRequeridoValores
vVersiónRecomendadoDKIM1
kTipo de claveNo (defecto: rsa)rsa, ed25519
pClave públicaBase64 DER
hAlgoritmos de hashNosha256, sha1
tFlagsNoy (test), s (strict)
sTipos de servicioNoemail, *
nNotasNoTexto libre

Ejemplos de registros

RSA 2048 bits (recomendado):

default._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Ed25519:

default._domainkey.captaindns.com TXT "v=DKIM1; k=ed25519; p=MCowBQYDK2Vw..."

RSA vs Ed25519: ¿qué algoritmo elegir?

CriterioRSA 2048RSA 4096Ed25519
SeguridadBuenaExcelenteExcelente
SoporteUniversalUniversalParcial (~80%)
Longitud registro~400 chars~800 chars~90 chars
RendimientoBuenoLentoMuy rápido
RecomendaciónProducciónSensibleAvanzado

Recomendaciones

  • RSA 2048 bits: Estándar actual, máxima compatibilidad. Elige esta opción por defecto.
  • RSA 4096 bits: Para entornos muy sensibles. Atención a las limitaciones DNS.
  • Ed25519: Para configuraciones avanzadas. Considera un doble selector (RSA + Ed25519).
  • RSA 1024 bits: Obsoleto desde 2020. Evítalo.

Longitud de claves y límites DNS

El límite de 255 caracteres

Los registros DNS TXT están limitados a 255 caracteres por cadena. Este es el impacto por algoritmo:

AlgoritmoLongitud registroCompatible DNS
Ed25519~90 chars✅ Siempre
RSA 1024~230 chars✅ Siempre
RSA 2048~400 chars⚠️ División automática
RSA 4096~800 chars⚠️ Verificar proveedor

Cómo gestionan los proveedores los registros largos

La mayoría de los proveedores DNS (Cloudflare, AWS Route 53, Google Cloud DNS) dividen automáticamente los registros largos en varias cadenas. El protocolo DNS las concatena al leerlas.

Si tu proveedor no soporta registros largos, prefiere RSA 2048 bits o Ed25519.

Casos de uso concretos

Nuevo dominio: primera configuración DKIM

Contexto: Estás configurando un nuevo servidor de correo (Postfix, etc.)

Solución:

  1. Genera una clave RSA 2048 bits con el selector default
  2. Descarga la clave privada y configura OpenDKIM
  3. Publica el registro TXT en tu zona DNS
  4. Verifica con el DKIM Checker

Rotación de clave DKIM

Contexto: Tu clave DKIM tiene más de 12 meses o ha sido comprometida

Solución:

  1. Genera una nueva clave con un nuevo selector (ej: s2, 202602)
  2. Configura la nueva clave en tu servidor de correo
  3. Publica el nuevo registro DNS
  4. Espera 24-48h de propagación DNS
  5. Elimina el registro anterior

Doble selector: RSA + Ed25519

Contexto: Quieres aprovechar Ed25519 manteniendo la compatibilidad RSA

Solución:

  1. Genera una clave RSA 2048 con el selector rsa
  2. Genera una clave Ed25519 con el selector ed
  3. Configura tu servidor para firmar con ambas claves
  4. Los servidores modernos verificarán Ed25519, los antiguos usarán RSA

Flags DKIM: modo test y strict

Flag t=y (modo test)

Activa el modo test DKIM. Los fallos de verificación se tratan como neutros (ni pass ni fail).

Uso: Prueba tu configuración sin arriesgar rechazos. Retira el flag una vez validado.

Flag t=s (modo strict)

Exige una alineación estricta entre el dominio de firma DKIM y el dominio From. Por defecto, la alineación relaxed autoriza subdominios.

Uso: Refuerza la seguridad en producción. Asegúrate de que todos tus correos están firmados desde el dominio exacto.

❓ FAQ - Preguntas frecuentes

P: ¿Cómo generar una clave DKIM para mi dominio?

R: Usa nuestro generador: introduce tu dominio y un selector, elige RSA 2048 bits, haz clic en Generar. Descarga la clave privada y publica el registro TXT en tu DNS.

P: ¿Cuál es la diferencia entre RSA y Ed25519?

R: RSA está soportado por todos los servidores. Ed25519 es más moderno con claves más cortas, pero el soporte no es universal (~80%). Recomendación: RSA 2048 bits para producción.

P: ¿Qué longitud de clave RSA elegir?

R: RSA 2048 bits es el estándar. RSA 1024 está obsoleto. RSA 4096 ofrece más seguridad pero genera registros muy largos.

P: ¿Qué es un selector DKIM?

R: Un identificador que permite tener varias claves DKIM. Ejemplos: default, google, s1. El registro se publica en selector._domainkey.dominio.com.

P: ¿Se almacena la clave privada?

R: No. Se genera una sola vez, se transmite y luego se elimina. Descárgala de inmediato.

P: ¿Por qué mi registro supera 255 caracteres?

R: RSA 4096 genera registros de más de 800 caracteres. La mayoría de los proveedores dividen automáticamente. Si no, prefiere RSA 2048 o Ed25519.

P: ¿Cómo configurar DKIM con Google Workspace?

R: Google genera sus propias claves. Admin Console > Gmail > Authenticate email > Generate new record. Nuestra herramienta es para servidores personalizados.

Herramientas complementarias

HerramientaUtilidad
DKIM Record CheckVerifica que tu DKIM esté publicado y sea válido
DKIM Syntax CheckValida la sintaxis de un registro DKIM
SPF GeneratorCrea tu registro SPF
DMARC GeneratorConfigura DMARC para completar la autenticación
Mail TesterPrueba la entregabilidad de tus correos

Recursos útiles