Ir al contenido principal

Nuevo

Prueba la entregabilidad de tus correos

Envía un correo de prueba y obtén un diagnóstico completo de tu autenticación SPF, DKIM y DMARC en segundos.

  • Prueba de envío real
  • Diagnóstico instantáneo
  • Sin registro
Iniciar la prueba

DKIM Validator

Validate DKIM syntax before publishing - corrige errores en segundos

¿Cómo corregir errores de sintaxis DKIM? Pega tu registro DKIM abajo y valida su sintaxis instantáneamente. Detecta etiquetas faltantes, claves truncadas y errores de formato antes de que rompan tu autenticación de correo.

Validación instantánea

Pega tu valor DKIM y obtén un diagnóstico completo en menos de un segundo. Sin esperas, sin consultas DNS.

Detección de errores

Identifica etiquetas faltantes, claves truncadas, comillas residuales y separadores incorrectos antes de la publicación.

Análisis completo

Verificación de etiquetas obligatorias (v, k, p), formato base64, longitud de clave RSA y sintaxis de separadores.

Verificación de clave

Detecta claves RSA demasiado cortas (menos de 2048 bits) y soporta claves Ed25519 para una seguridad mejorada.

Análisis local

Ningún dato enviado a un servidor. El análisis se ejecuta completamente en tu navegador para total privacidad.

¿Por qué validar la sintaxis DKIM antes de publicar?

Acabas de generar un nuevo par de claves DKIM o copiaste un registro de tu proveedor de correo. Antes de publicarlo en tu zona DNS, un error de sintaxis puede arruinarlo todo: etiqueta faltante, clave truncada, comillas mal ubicadas.

El verificador de sintaxis DKIM analiza tu valor localmente - sin consultas DNS - para detectar estos problemas antes de que afecten tu entregabilidad.

Tres casos de uso principales:

  • Nueva configuración DKIM: Valida la clave pública generada por tu servidor o ESP antes de agregarla al DNS
  • Migración de proveedor: Verifica que el valor copiado esté completo y correctamente formateado
  • Rotación de claves: Asegúrate de que el nuevo selector esté listo antes de reemplazar el anterior

Cómo usar el verificador en 3 pasos

Paso 1: Obtener el valor DKIM

Copia el valor del registro DKIM desde:

  • Tu servidor de correo (Postfix, Exchange, etc.)
  • Tu ESP (Google Workspace, Microsoft 365, Mailchimp, SendGrid...)
  • Un generador de claves DKIM en línea

Formato esperado:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Paso 2: Pegar en el verificador

Pega el valor completo en el campo de arriba. La herramienta analiza instantáneamente:

  • ✅ Presencia de etiquetas obligatorias (v, k, p)
  • ✅ Formato de la clave pública (base64 válido)
  • ✅ Sintaxis de separadores y valores
  • ✅ Longitud y tipo de clave (RSA 2048+ bits recomendado)

Paso 3: Corregir y publicar

El informe indica:

  • Errores (rojo): El registro es inutilizable - corrige antes de publicar
  • Advertencias (naranja): Técnicamente válido pero riesgoso - evalúa
  • Éxito (verde): Listo para publicar en tu zona DNS

¿Qué es un registro DKIM?

Un registro DKIM (DomainKeys Identified Mail) es un registro TXT publicado en tu zona DNS. Contiene la clave pública que permite a los servidores destinatarios verificar la firma criptográfica de tus correos.

Anatomía de un registro DKIM:

EtiquetaObligatoriaDescripciónEjemplo
vVersión del protocolov=DKIM1
kTipo de clavek=rsa o k=ed25519
pClave pública en base64p=MIIBIjAN...
hNoAlgoritmos de hashh=sha256
tNoFlags (prueba, estricto)t=y o t=s
sNoServicios autorizadoss=email

Ejemplo completo:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu5oI...

Errores de sintaxis frecuentes

El verificador detecta automáticamente estos problemas comunes:

1. Clave pública truncada

Síntoma: Error invalid_p_base64 o public_key_parse_error

Causa: La clave fue cortada durante el copiar-pegar (límite de caracteres, salto de línea mal manejado).

Solución: Recupera la clave completa desde la fuente. Una clave RSA de 2048 bits tiene aproximadamente 400 caracteres en base64.

2. Comillas residuales

Síntoma: Error record_trailing_quote o invalid_tag_syntax

Causa: El valor copiado contiene comillas (") o comillas tipográficas ("").

Solución: Elimina todas las comillas antes de pegar el valor.

3. Etiqueta de versión faltante

Síntoma: Error missing_version_tag

Causa: El registro no comienza con v=DKIM1.

Solución: Agrega v=DKIM1; al principio del registro.

4. Clave RSA muy corta

Síntoma: Advertencia weak_key_length

Causa: Clave RSA inferior a 2048 bits (frecuentemente 1024 bits).

Solución: Genera un nuevo par de claves con al menos 2048 bits.

5. Separadores incorrectos

Síntoma: Error invalid_tag_syntax

Causa: Puntos y comas múltiples (;;), espacios mal ubicados o caracteres especiales.

Solución: Usa un solo ; entre cada etiqueta, sin espacio antes del separador.

Diferencia entre verificación de sintaxis e inspección DNS

AspectoVerificador de sintaxisInspector de registro
MétodoAnálisis local del valorConsulta DNS real
Cuándo usarloAntes de publicarDespués de publicar
Qué verificaFormato, etiquetas, estructuraPropagación, resolución, alineación DMARC
EntradaValor DKIM copiadoDominio + selector

Flujo de trabajo recomendado:

  1. Sintaxis: Valida el valor con este verificador
  2. Publicación: Agrega el registro TXT a tu zona DNS
  3. Inspección: Usa el Inspector DKIM para confirmar la propagación

Buenas prácticas DKIM

Generación de claves

  • Usa RSA 2048 bits mínimo (4096 bits para máxima seguridad)
  • Ed25519 está emergiendo pero sigue poco soportado por los destinatarios
  • Almacena la clave privada de forma segura (¡nunca en el DNS!)

Nomenclatura del selector

  • Elige un nombre corto y único: google, mailchimp, s1, 2024
  • El selector completo será: selector._domainkey.captaindns.com
  • Usa nombres diferentes por proveedor para facilitar las rotaciones

TTL recomendado

  • 300-600 segundos durante el despliegue (propagación rápida)
  • 3600-86400 segundos una vez estable (menos consultas DNS)
  • TTL corto facilita las revocaciones de emergencia

Rotación regular

  • Planifica una rotación anual mínimo
  • Documenta el responsable y la fecha de última rotación
  • Conserva el selector anterior algunos días después de la rotación

FAQ - Preguntas frecuentes

P: ¿Cuál es la diferencia entre este verificador y el inspector DKIM?

R: El verificador de sintaxis analiza un valor que pegas para detectar errores de formato antes de publicar. El inspector de registro realiza una consulta DNS real para verificar un registro ya publicado. Usa la sintaxis primero, el inspector después.

P: ¿Por qué mi clave está marcada como "muy corta"?

R: Las claves RSA inferiores a 2048 bits se consideran débiles. Gmail y otros proveedores pueden rechazar firmas con claves de 1024 bits. Genera un nuevo par de claves con al menos 2048 bits.

P: ¿Debo incluir las comillas en el valor?

R: No. Las comillas a veces son agregadas por las interfaces de gestión DNS para delimitar cadenas largas, pero no son parte del valor DKIM en sí. Elimínalas antes de validar.

P: Mi ESP dice que DKIM está configurado, pero la sintaxis falla aquí. ¿Por qué?

R: Los ESP a menudo validan su configuración interna, no necesariamente lo que copiaste. Verifica que hayas copiado el valor completo sin truncamiento, y sin comillas de encapsulación.

P: ¿Se soporta Ed25519?

R: Sí, el verificador reconoce claves Ed25519 (k=ed25519). Sin embargo, el soporte del lado del destinatario sigue siendo limitado. RSA 2048 bits sigue siendo la opción más compatible.

P: ¿Cómo sé qué selector usar?

R: El selector se elige al configurar DKIM en tu servidor o ESP. Consulta la documentación de tu proveedor. Los selectores comunes incluyen: google, selector1, selector2, s1, default, mail.

Herramientas complementarias

HerramientaUtilidad
Inspector DKIMVerificar un registro DKIM ya publicado en DNS
Inspector SPFValidar tu registro SPF
Inspector DMARCConfigurar y probar tu política DMARC
Analizador de encabezados emailDiagnosticar fallos de autenticación en correos recibidos

Recursos útiles