Ir al contenido principal
CaptainDNS
NUEVO·Monitorización de seguridad y entregabilidad del correo. Recibe una alerta en cuanto un cambio de puntuación o de registro DNS pone en riesgo tu dominio.Más información

DKIM Selector Finder

Descubre los selectores DKIM activos de un dominio, sin tener que conocerlos

¿No conoces tus selectores DKIM? Simplemente introduce tu dominio. Esta herramienta sondea el DNS en busca de los nombres de selector DKIM conocidos, sin que necesites introducir ninguno. El descubrimiento nunca es exhaustivo: que no se encuentre ningún selector no prueba la ausencia de DKIM.

Descubrimiento automático

Sondea un amplio catálogo de nombres de selector DKIM conocidos directamente en el DNS. Detecta los selectores de Google, Microsoft, SendGrid, Mailchimp y de decenas de otros proveedores, sin enviar nada por correo.

Heurísticas MX

La herramienta detecta tus proveedores de correo mediante los registros MX y prueba con prioridad sus selectores. Resultados más rápidos y relevantes que un escaneo a ciegas.

Análisis completo

Cada selector encontrado se analiza en profundidad: tipo de clave (RSA/Ed25519), longitud, validez, alertas de seguridad y compatibilidad DMARC.

Identificación de proveedores

Identifica automáticamente qué proveedor de correo está asociado a cada selector DKIM encontrado: Google Workspace, Microsoft 365, SendGrid, etc.

Recomendaciones accionables

Recibe recomendaciones precisas: claves RSA a actualizar a 2048 bits, selectores inválidos a corregir, proveedores MX sin firma DKIM.

El problema: verificar DKIM sin conocer el selector

Las herramientas DKIM clásicas piden un dominio y un selector. Pero la mayoría de los usuarios no conocen su selector DKIM. Resultado: no pueden verificar su configuración.

El DKIM Selector Finder resuelve este problema. Introduce un dominio y la herramienta sondea el DNS para hacer aflorar los selectores DKIM activos entre los nombres conocidos, sin que tengas que introducir ninguno.

¿Cómo funciona el descubrimiento?

1. Detección de proveedores mediante los MX

La herramienta consulta los registros MX de tu dominio para identificar tus proveedores de correo y luego prueba con prioridad sus selectores conocidos:

  • *.google.com → Google Workspace → selector google
  • *.outlook.com → Microsoft 365 → selectores selector1, selector2
  • *.mcsv.net → Mailchimp → selectores k1, k2, k3

2. Sondeo del catálogo de nombres conocidos

La herramienta prueba en paralelo los nombres de selector conocidos consultando:

selector._domainkey.tu-dominio

Para cada nombre se envía una consulta DNS TXT. Si un registro DKIM responde, se analiza. El escaneo sondea siempre el catálogo completo de nombres conocidos (genéricos y específicos de proveedor, cerca de un centenar en total): la detección de proveedores mediante los MX solo reordena la prioridad interna, no cambia el número de nombres sondeados. El escaneo no garantiza encontrar un selector personalizado, porque el descubrimiento nunca es exhaustivo (ver más abajo).

3. Análisis de cada selector encontrado

Cada selector encontrado se analiza con el mismo motor que nuestro DKIM Checker:

  • Tipo de clave: RSA o Ed25519
  • Longitud de clave en bits, decodificada desde la clave pública
  • Validez del registro
  • Alertas de seguridad (clave débil, clave revocada, modo de prueba, formato inválido)
  • Detección CNAME (delegación al proveedor)

Por qué «ningún selector encontrado» no prueba nada

Este es el punto más importante de entender. El DNS no permite enumerar los selectores de una zona: no existe ni un wildcard sobre *._domainkey, ni un registro central de selectores (RFC 6376). El valor de un selector lo elige libremente el operador del dominio firmante, así que es impredecible.

En concreto, esta herramienta solo puede probar una lista de nombres conocidos. Un resultado vacío significa únicamente que ninguno de esos nombres responde, nunca que el dominio no tenga DKIM. Un selector personalizado (campana-2024-q3), un token aleatorio (Amazon SES) o un identificador generado dinámicamente (hash, UUID) escapan por diseño al catálogo.

Cuando el catálogo no encuentra nada, el método fiable consiste en leer el selector directamente en un correo recibido (ver la sección dedicada más abajo). Es la única forma de obtener el selector real sin adivinarlo.

¿Cuándo usar esta herramienta?

SituaciónEsta herramienta es para ti
No conoces tu selector DKIMDescubrimiento automático
Auditoría de seguridad de un dominio ajenoVisión completa de la configuración DKIM
Migración de proveedor de correoVerificar qué selectores siguen activos
Despliegue de DMARC en modo rejectAsegurarte de que todos los flujos de correo firman con DKIM
Debugging de entregabilidadIdentificar selectores inválidos o claves débiles

Selectores DKIM de los principales proveedores

Estos valores son comunes u observados, no garantías: un proveedor puede cambiar de convención, permitir un selector personalizado o publicar su clave mediante un token CNAME aleatorio. Ninguna entrada de abajo es «el» selector oficial garantizado de un proveedor.

ProveedorSelectores comunesObservación
Google WorkspacegoogleValor documentado por defecto; prefijo personalizable
Microsoft 365selector1, selector2Par de rotación; publicados en CNAME
SendGrids1, s2Valor por defecto de Automated Security (CNAME)
Mailchimpk1, k2, k3-
Mandrill (Mailchimp Transactional)mte1, mte2mandrill heredado
Amazon SEStokens aleatorios (CNAME)Easy DKIM publica 3 tokens hacia *.dkim.amazonses.com, sin selector fijo
Postmarksufijo pmSelector con fecha, ej. 20260128pm
Brevo (ex-Sendinblue)brevo1, brevo2mail heredado (antigua era Sendinblue)
Mailgunpdk1, pdk2, smtppdk1/pdk2 = valor por defecto moderno (CNAME)
HubSpoths1, hs2-
Klaviyokm1, km2Variantes por dominio
Zoho Mailzoho, zmail-
ProtonMailprotonmail, protonmail2, protonmail3-
Apple iCloud (dominio propio)sig1Publicado en CNAME hacia *.at.icloudmailadmin.com

Esta tabla cubre los proveedores más comunes. La herramienta sondea en total cerca de un centenar de nombres de selector, sin garantía de exhaustividad.

Por qué selector1 y selector2 (la rotación de claves)

Muchos dominios exponen dos selectores (selector1/selector2 en Microsoft, s1/s2 en SendGrid, brevo1/brevo2 en Brevo). No es un duplicado: es el mecanismo de rotación de claves.

En un momento dado, un selector lleva la clave activa (la que firma los correos salientes); el otro lleva una clave de reserva, ya publicada en el DNS. Para rotar la clave sin interrupción, el operador cambia la firma a la clave de reserva, ya propagada, y luego reemplaza la antigua. Ningún correo queda sin firma válida durante la transición.

El M3AAWG recomienda una rotación anual o semestral (frecuencia observada, no una regla universal ni «obligatoria»); una clave corta o antigua justifica una rotación más frecuente. Si el descubrimiento solo devuelve un único selector, la rotación sin corte es imposible: prever un segundo selector es una buena práctica de higiene.

Encontrar el selector real desde un correo recibido

Es el método más fiable, sin ningún falso negativo: el selector va inscrito en el encabezado DKIM-Signature que el servidor remitente añade a cada mensaje firmado. Abre un correo recibido del dominio y busca el tag s=:

DKIM-Signature: v=1; a=rsa-sha256; d=ejemplo.com; s=selector1; ...

Aquí, el selector es selector1 y el dominio firmante (d=) es ejemplo.com: la clave vive por tanto en selector1._domainkey.ejemplo.com.

Dónde mostrar el encabezado en bruto según el webmail:

  • Gmail: abre el mensaje, menú (tres puntos) arriba a la derecha, luego Mostrar original. Busca la línea DKIM-Signature y lee s=.
  • Outlook / Microsoft 365: abre el mensaje, Archivo → Propiedades (cliente de escritorio) o menú Ver → Ver origen del mensaje (web). Localiza DKIM-Signature.
  • Apple Mail: menú Visualización → Mensaje → Todos los encabezados.

Una vez que tengas el selector, pégalo en el DKIM Checker para inspeccionar la clave en profundidad.

Método manual: dig / nslookup

Si conoces (o sospechas) un selector, puedes consultar el DNS directamente, sin esta herramienta:

dig TXT selector._domainkey.ejemplo.com +short

En Windows, el equivalente es:

nslookup -type=TXT selector._domainkey.ejemplo.com

Una respuesta que contenga v=DKIM1; ...; p=... confirma que el selector existe y expone la clave pública. La ausencia de respuesta solo significa que ese nombre concreto no resuelve, no que el dominio carezca de DKIM.

El DNS no permite listar los subdominios de una zona (no hay enumeración wildcard sobre *._domainkey). El descubrimiento se basa en un catálogo de selectores conocidos.

Lo que se encontrará:

  • Selectores comunes de los proveedores del catálogo
  • Selectores genéricos (default, dkim, mail, s1, selector1, etc.)
  • Selectores numéricos comunes (dkim1, dkim2, k1, k2)

Lo que no se encontrará:

  • Selectores personalizados o aleatorios (ej. campana-2024-q3)
  • Selectores generados dinámicamente (hash, UUID, tokens de Amazon SES)
  • Selectores publicados en un subdominio de envío o de bounce (ej. bounce.tudominio.com, mail.tudominio.com). Para esos, relanza el descubrimiento sobre el subdominio afectado, o lee el d= y el s= en el encabezado de un correo salido de ese flujo.

Para estos casos, la vía segura sigue siendo el encabezado DKIM-Signature de un correo recibido (ver más arriba).

Trampas detrás de un registro «no encontrado»

Un selector conocido puede existir sin responder correctamente. Antes de concluir que falta DKIM, comprueba estas causas frecuentes:

  • CNAME aún sin propagar: muchos proveedores (Microsoft 365, SendGrid, Brevo, Amazon SES) publican la clave mediante un CNAME que apunta a su infraestructura. Mientras la delegación no se haya propagado, o si se ha retirado, la resolución falla.
  • Clave revocada: un registro presente pero con un valor p= vacío significa que la clave ha sido revocada (RFC 6376). El selector existe, pero la clave está muerta. Es normal durante una rotación, sospechoso si se prolonga.
  • Registro partido o truncado: una clave de 2048 bits supera el límite de 255 octetos de una cadena TXT y debe trocearse en varios segmentos concatenados. Un troceado incorrecto invalida la clave.
  • Selector en otro dominio: el tag d= de la firma puede apuntar a un subdominio o a un dominio de envío distinto. La clave no está entonces bajo tu apex.

Entender la fuerza de la clave de un selector

Encontrar el selector es solo la mitad del trabajo: aún hace falta que la clave sea sólida. Para cada selector descubierto, la herramienta decodifica la clave pública y deduce su tipo y su longitud.

ClaveVeredictoA recordar
RSA 1024 bitsDébil, a rotarAceptada hoy pero al final de su vida; planifica el paso a 2048
RSA 2048 bitsRecomendadaEl estándar práctico en producción
RSA 4096 bitsFuerteRobusta; verifica el registro multisegmento
Ed25519 (256 bits)Fuerte, interop limitadaVer la nota de abajo

Las claves RSA muy cortas son otra historia: 512 bits se factoriza en pocas horas y 768 bits fue roto públicamente ya en 2009 (Red Sift). Ahí hablamos de claves rotas, que nunca hay que confundir con los 1024 bits, simplemente débiles y a rotar.

Ed25519 produce una clave fija de 256 bits, criptográficamente fuerte, pero su interoperabilidad es limitada: según las pruebas de Red Sift, Gmail, Microsoft 365 y Yahoo no validan (o rechazan) las firmas Ed25519. En la práctica, publica Ed25519 en paralelo con una clave RSA 2048, nunca solo.

La herramienta también señala dos estados a vigilar: una clave revocada (p= vacío) dejada en el DNS, y un selector en modo de prueba (t=y) a menudo olvidado tras la puesta en producción, que hace que el mensaje se trate como no firmado.

¿Qué herramienta para qué?

El descubrimiento de selectores es el primer paso cuando no conoces el término «selector» ni el valor a introducir. Te da la lista de los selectores activos. Para ir más lejos:

  1. No conoces ningún selector → empieza aquí, por el descubrimiento. La herramienta levanta el inventario de los selectores y proveedores activos.
  2. Tienes un selector concreto que inspeccionar → pasa al DKIM Checker para analizar su clave, su validez y su configuración en detalle.
  3. Tienes un correo a mano → el Analizador de encabezados de correo extrae directamente el s= y el d= de la firma, sin adivinar.
  4. Estás preparando una nueva clave → el Generador DKIM crea un par RSA o Ed25519 listo para publicar.

FAQ - Preguntas frecuentes

P: ¿Qué es un selector DKIM?

R: Un selector DKIM es un identificador que permite localizar la clave pública DKIM en el DNS. Se publica en la dirección selector._domainkey.tudominio.com. Cada proveedor de correo utiliza su propio selector, lo que permite tener varias firmas DKIM activas simultáneamente.

P: ¿Cómo encontrar mis selectores DKIM sin enviar un correo?

R: Esta herramienta sondea el DNS: prueba un catálogo de nombres de selector conocidos directamente en tu zona, sin enviar ningún correo. Detecta primero tus proveedores mediante los MX para priorizar los selectores adecuados. Si no aparece nada, lo más fiable sigue siendo leer el tag s= en el encabezado DKIM-Signature de un correo que hayas recibido de ese dominio.

P: ¿Cuáles son los selectores DKIM por defecto de los principales proveedores?

R: Google Workspace usa google. Microsoft 365 usa selector1 y selector2. SendGrid usa s1 y s2. Mailchimp usa k1, k2 y k3. Brevo usa brevo1 y brevo2. Amazon SES Easy DKIM publica tokens aleatorios en CNAME (sin selector fijo). Son valores comunes, no garantías. Consulta la tabla de proveedores anterior.

P: ¿Se puede verificar DKIM sin conocer el selector?

R: Sí, eso es exactamente lo que hace esta herramienta. A diferencia de los DKIM checkers clásicos que exigen un selector, prueba automáticamente los nombres conocidos en el DNS, teniendo en cuenta que un selector personalizado puede escapar a esta lista.

P: ¿Qué significa «selector DKIM no encontrado»?

R: Ningún registro TXT responde para los nombres probados. Esto no prueba la ausencia de DKIM: el DNS no permite enumerar los selectores de una zona (RFC 6376), la herramienta solo prueba una lista de nombres conocidos. Causas posibles: selector personalizado ausente del catálogo, CNAME aún sin propagar, clave revocada (p= vacío), o DKIM realmente sin configurar. Para salir de dudas, lee el encabezado DKIM-Signature de un correo recibido.

P: ¿Puede la herramienta encontrar todos los selectores DKIM?

R: No, y ninguna herramienta puede hacerlo. Los selectores personalizados o generados dinámicamente (hash, UUID, tokens aleatorios) no se detectarán. Para esos casos, lee el encabezado DKIM-Signature de un correo recibido (tag s=) o consulta directamente el selector con dig TXT selector._domainkey.tudominio.com.

Herramientas complementarias

HerramientaUtilidad
DKIM CheckerAnalizar un selector DKIM específico en profundidad
Verificador de sintaxis DKIMValidar la sintaxis de un registro DKIM antes de publicarlo
Generador DKIMGenerar pares de claves DKIM (RSA/Ed25519)
Auditoría de entregabilidadVerificar SPF, DKIM, DMARC y MX de un dominio
Inspector DMARCProbar tu política DMARC
Analizador de encabezados de correoExtraer los selectores DKIM desde un correo recibido

Recursos útiles