Ir al contenido principal

Nuevo

Prueba la entregabilidad de tus correos

Envía un correo de prueba y obtén un diagnóstico completo de tu autenticación SPF, DKIM y DMARC en segundos.

  • Prueba de envío real
  • Diagnóstico instantáneo
  • Sin registro
Iniciar la prueba

DKIM Checker

DKIM check y lookup con consulta DNS en directo - corrige tus fallos DKIM

¿Por qué está fallando tu DKIM? Introduce tu dominio y selector para un DKIM check completo con lookup DNS, validación de clave y detección de errores.

Lookup DNS en directo

Consulta el DNS exactamente como lo hacen los servidores receptores. Sin simulación, sin caché local - el estado real de tu registro.

Rotación de claves segura

Verifica que el nuevo selector está activo y funcional antes de desactivar el antiguo. Evita interrupciones del servicio.

Diagnóstico detallado

Identifica con precisión por qué fallan tus correos: clave truncada, selector incorrecto, registro ausente o conflicto DNS.

Compatibilidad DMARC

Verifica que tu firma DKIM es compatible con la alineación DMARC requerida para proteger tu dominio contra el spoofing.

Acciones recomendadas

Cada problema detectado incluye instrucciones precisas para corregirlo. Sigue la guía paso a paso.

Verifica tu configuración DKIM en segundos

DKIM (DomainKeys Identified Mail) es uno de los pilares de la autenticación de correo electrónico. Correctamente configurado, permite a los servidores receptores verificar que tus correos provienen realmente de un sistema autorizado y no han sido alterados en tránsito.

Mal configurado, DKIM se convierte en un asesino silencioso de la entregabilidad.

El inspector DKIM de CaptainDNS verifica tu registro DNS exactamente como lo ven los servidores receptores. Sin suposiciones. Sin atajos. El estado DNS real de tu dominio.

¿Cómo funciona DKIM?

DKIM responde una pregunta simple para el servidor receptor:

«¿Puedo confiar criptográficamente en este mensaje?»

El proceso en 3 pasos:

  1. Firma: Tu servidor de envío firma cada correo con una clave privada
  2. Publicación: Tu dominio publica la clave pública correspondiente en un registro DNS TXT
  3. Verificación: El servidor receptor obtiene la clave pública y verifica la firma

Si el registro DNS falta, está mal formado, truncado o publicado bajo el selector incorrecto, la verificación falla - incluso si tu ESP indica que todo está correcto.

Cómo usar el inspector en 3 pasos

Paso 1: Identificar dominio y selector

  • Dominio: Tu dominio de envío (ej: captaindns.com)
  • Selector: El identificador de la clave DKIM (ej: google, selector1, s1)

¿Cómo encontrar el selector?

  • En los encabezados de un correo enviado, busca DKIM-Signature: s=selector
  • En la documentación de tu ESP (Google Workspace, Microsoft 365, etc.)

Paso 2: Ejecutar la inspección

Introduce el dominio y el selector arriba. La herramienta realiza una consulta DNS a:

selector._domainkey.captaindns.com

Paso 3: Analizar los resultados

El inspector muestra:

  • El registro sin procesar tal como está publicado en DNS
  • Las etiquetas decodificadas (versión, tipo de clave, clave pública)
  • Los errores detectados con explicaciones y recomendaciones
  • Compatibilidad DMARC (alineación del dominio)

Qué verifica el inspector DKIM

La herramienta va más allá de una simple consulta DNS. Verifica si tu configuración DKIM es operativa, no solo si existe.

VerificaciónDescripción
ExistenciaEl registro TXT existe para el selector especificado
Formato TXTEl registro es un TXT válido (no un CNAME huérfano)
SintaxisLas etiquetas obligatorias (v, k, p) están presentes y son correctas
Clave públicaLa clave está completa, es legible y tiene formato base64 correcto
Longitud de claveMínimo recomendado: RSA 2048 bits
PropagaciónEl registro es visible desde los servidores DNS públicos

Cuando DKIM parece correcto pero falla

Es uno de los casos más frecuentes en producción.

Problema 1: Selector incorrecto

Síntoma: El inspector no encuentra el registro

Diagnóstico: Estás consultando google._domainkey.captaindns.com pero el registro está en selector1._domainkey.captaindns.com

Solución: Verifica el selector exacto en los encabezados de tus correos (DKIM-Signature: s=...)

Problema 2: Clave truncada

Síntoma: Error public_key_parse_error o firma inválida

Diagnóstico: La clave pública se cortó durante el copiar y pegar en la interfaz DNS

Solución: Vuelve a publicar la clave completa. Una clave RSA de 2048 bits tiene aproximadamente 400 caracteres.

Problema 3: Múltiples registros en conflicto

Síntoma: Error lookup_multiple_dkim

Diagnóstico: Existen varios registros TXT para el mismo selector

Solución: Elimina los registros obsoletos, conserva solo el correcto.

Problema 4: CNAME vs TXT

Síntoma: Error lookup_cname_alias

Diagnóstico: El registro es un CNAME que apunta a tu ESP, pero el destino no existe o no resuelve

Solución: Verifica que el destino del CNAME es correcto y está activo en tu proveedor.

Problema 5: Propagación DNS incompleta

Síntoma: El inspector ve el registro, pero algunos destinatarios no

Diagnóstico: El TTL aún no ha expirado en todos los servidores DNS

Solución: Espera la propagación completa (hasta 48h según el TTL anterior).

DKIM solo no es suficiente

DKIM es esencial, pero no funciona aislado.

ProtocoloFunciónRelación con DKIM
SPFDefine quién puede enviarIndependiente pero complementario
DKIMProtege la integridad del mensaje-
DMARCDefine qué hacer si falla la autenticaciónRequiere SPF o DKIM alineado

Un registro DKIM válido no alineado con DMARC puede resultar en correos en cuarentena o rechazados. La alineación DMARC verifica que el dominio de la firma DKIM (d=) coincide con el dominio From: del correo.

Diferencia entre sintaxis e inspección DNS

AspectoVerificador de sintaxisInspector (esta herramienta)
EntradaValor DKIM copiadoDominio + selector
MétodoAnálisis localConsulta DNS real
CuándoAntes de publicarDespués de publicar
DetectaErrores de formatoPropagación, resolución, conflictos

Flujo de trabajo recomendado:

  1. Sintaxis: Usa el verificador de sintaxis DKIM antes de publicar
  2. Publicación: Añade el registro TXT a tu zona DNS
  3. Inspección: Usa este inspector para confirmar la propagación

FAQ - Preguntas frecuentes

P: ¿Qué es un selector DKIM?

R: El selector es un identificador que permite a un dominio publicar múltiples claves DKIM simultáneamente. Forma parte del nombre DNS: selector._domainkey.captaindns.com. Cada ESP o sistema de envío puede usar su propio selector, lo que permite rotaciones de claves y configuraciones con múltiples proveedores.

P: Mi ESP dice que DKIM es válido, pero el inspector encuentra un error. ¿Por qué?

R: Los ESP validan su configuración interna, no necesariamente lo que es visible públicamente en DNS. El inspector verifica lo que realmente ven los servidores receptores - eso es lo único que importa para la entregabilidad.

P: ¿Es seguro probar mis registros?

R: Sí. La herramienta solo realiza consultas DNS de solo lectura. No se envían correos. No se modifica tu configuración.

P: DKIM es válido, pero mis correos van a spam. ¿Por qué?

R: La validez de DKIM es necesaria pero no suficiente. La llegada a bandeja de entrada también depende de: SPF, alineación DMARC, reputación de IP/dominio, comportamiento de envío y contenido del mensaje.

P: ¿Con qué frecuencia debo verificar mi configuración DKIM?

R: Verifica después de cada cambio DNS, migración de ESP o rotación de claves. Se recomiendan verificaciones periódicas en producción, especialmente con múltiples proveedores de envío.

P: ¿Cómo sé si DKIM está alineado con DMARC?

R: La alineación DKIM verifica que el dominio d= de la firma DKIM coincide con el dominio From: del correo. El inspector indica si tu configuración es compatible con la alineación DMARC.

Herramientas complementarias

HerramientaUtilidad
Verificador de sintaxis DKIMValidar un valor DKIM antes de publicarlo en DNS
Inspector SPFVerificar tu registro SPF
Inspector DMARCProbar tu política DMARC
Analizador de encabezados emailDiagnosticar fallos de autenticación en un correo recibido
Propagación DNSVerificar la propagación mundial de tus registros

Recursos útiles