El problema: verificar DKIM sin conocer el selector
Las herramientas DKIM clásicas piden un dominio y un selector. Pero la mayoría de los usuarios no conocen su selector DKIM. Resultado: no pueden verificar su configuración.
El DKIM Selector Finder resuelve este problema. Introduce un dominio y la herramienta descubre automáticamente todos los selectores DKIM configurados.
¿Cómo funciona el descubrimiento?
1. Detección de proveedores de correo (modo Smart)
La herramienta consulta los registros MX de tu dominio para identificar tus proveedores de correo:
*.google.com→ Google Workspace → selectorgoogle*.outlook.com→ Microsoft 365 → selectoresselector1,selector2*.mcsv.net→ Mailchimp → selectoresk1,k2,k3
2. Brute-force DNS inteligente
La herramienta prueba en paralelo los selectores conocidos consultando:
<selector>._domainkey.<tu-dominio>
Para cada selector se envía una consulta DNS TXT. Si existe un registro DKIM, se analiza.
3. Análisis en profundidad
Cada selector encontrado se analiza con el mismo motor que nuestro DKIM Checker:
- Tipo de clave: RSA o Ed25519
- Longitud de clave: 1024, 2048, 4096 bits
- Validez del registro
- Alertas de seguridad (clave débil, formato inválido)
- Detección CNAME (delegación al proveedor)
¿Cuándo usar esta herramienta?
| Situación | Esta herramienta es para ti |
|---|---|
| No conoces tu selector DKIM | Descubrimiento automático |
| Auditoría de seguridad de un dominio ajeno | Visión completa de la configuración DKIM |
| Migración de proveedor de correo | Verificar qué selectores siguen activos |
| Despliegue de DMARC en modo reject | Asegurarte de que todos los flujos de correo firman con DKIM |
| Debugging de entregabilidad | Identificar selectores inválidos o claves débiles |
Selectores DKIM de los principales proveedores
| Proveedor | Selectores DKIM | Patrón MX |
|---|---|---|
| Google Workspace | google | *.google.com |
| Microsoft 365 | selector1, selector2 | *.outlook.com |
| SendGrid | s1, s2, smtpapi | *.sendgrid.net |
| Mailchimp | k1, k2, k3 | *.mcsv.net |
| Amazon SES | amazonses | *.amazonses.com |
| Postmark | pm | *.mtasv.net |
| HubSpot | hs1, hs2 | — |
| Brevo (Sendinblue) | mail, sendinblue | *.sendinblue.com |
| Zoho Mail | zoho, zmail | *.zoho.com |
| OVH | ovhmo* | *.ovh.net |
Esta tabla cubre los proveedores más comunes. La herramienta prueba más de 100 selectores en total.
Limitaciones del descubrimiento por brute-force
El DNS no permite listar los subdominios de una zona (no hay enumeración wildcard en *._domainkey). El descubrimiento se basa en un catálogo de selectores conocidos.
Lo que se encontrará:
- Selectores estándar de los más de 35 proveedores del catálogo
- Selectores genéricos (
default,dkim,mail,s1,selector1, etc.) - Selectores numéricos comunes (
dkim1,dkim2,k1,k2)
Lo que no se encontrará:
- Selectores personalizados o aleatorios (ej.:
campaign-2024-q3) - Selectores generados dinámicamente (hash, UUID)
- Selectores en subdominios (ej.:
bounce.tudominio.com)
En esos casos, consulta los encabezados de tus correos enviados: DKIM-Signature: s=selector.
FAQ - Preguntas frecuentes
P: ¿Qué es un selector DKIM?
R: Un selector DKIM es un identificador que permite localizar la clave pública DKIM en el DNS. Se publica en la dirección selector._domainkey.tudominio.com. Cada proveedor de correo utiliza su propio selector, lo que permite tener varias firmas DKIM activas simultáneamente.
P: ¿Cómo encontrar mis selectores DKIM sin enviar un correo?
R: Esta herramienta descubre tus selectores por brute-force DNS: prueba de 50 a 120 selectores conocidos directamente en tu zona DNS. No se envía ningún correo. El modo Smart detecta primero tus proveedores mediante los MX para priorizar los selectores adecuados.
P: ¿Cuáles son los selectores DKIM por defecto de los principales proveedores?
R: Google Workspace usa google. Microsoft 365 usa selector1 y selector2. SendGrid usa s1 y s2. Mailchimp usa k1, k2 y k3. Postmark usa pm. Consulta la tabla de proveedores anterior para la lista completa.
P: ¿Se puede verificar DKIM sin conocer el selector?
R: Sí, eso es exactamente lo que hace esta herramienta. A diferencia de los DKIM checkers clásicos, el Selector Finder prueba automáticamente los selectores conocidos por brute-force DNS.
P: ¿Qué significa «selector DKIM no encontrado»?
R: No existe ningún registro TXT para ese selector en el DNS. Causas posibles: DKIM no configurado, selector personalizado ausente del catálogo, registro eliminado o propagación DNS incompleta.
P: ¿Cuál es la diferencia entre el modo Smart y el modo Full?
R: El modo Smart detecta tus proveedores mediante los MX y prueba ~50 selectores. El modo Full prueba ~120 selectores sin filtrado. Usa Full si Smart no encuentra todos tus selectores.
P: ¿Puede la herramienta encontrar todos los selectores DKIM?
R: No. Los selectores personalizados o generados dinámicamente no serán detectados. En esos casos, consulta los encabezados de tus correos (DKIM-Signature: s=selector).
Herramientas complementarias
| Herramienta | Utilidad |
|---|---|
| DKIM Checker | Analizar un selector DKIM específico en profundidad |
| Verificador de sintaxis DKIM | Validar la sintaxis de un registro DKIM antes de publicarlo |
| Generador DKIM | Generar pares de claves DKIM (RSA/Ed25519) |
| Auditoría de entregabilidad | Verificar SPF, DKIM, DMARC y MX de un dominio |
| Inspector DMARC | Probar tu política DMARC |
| Analizador de encabezados de correo | Extraer los selectores DKIM desde un correo recibido |
Recursos útiles
- RFC 6376 - DKIM Signatures (especificación oficial)
- RFC 8463 - Ed25519 para DKIM (firmas Ed25519)
- Google - Configurar DKIM (guía de Google Workspace)
- Microsoft - DKIM en Exchange Online (guía de Microsoft 365)