Detecta los selectores DKIM automáticamente

Herramienta gratuita

Verificador DKIM

Verifica los registros DKIM de cualquier dominio, sin necesidad de un selector

Verificador DKIM gratis para cualquier dominio. Escribe un dominio y detectamos sus selectores DKIM automáticamente, así no necesitas saber el nombre de antemano. Consulta cada clave encontrada, su tipo, su fuerza y si está activa, revocada o mal configurada.

Escribe un dominio. Agrega un selector si ya lo conoces; si no, probamos los más comunes.

La comprobación se ejecuta en tu navegador mediante DNS-over-HTTPS. Nunca vemos el contenido de los mensajes ni las claves privadas. Si encontramos un selector activo, su nombre y los metadatos de la clave pública pueden guardarse para agilizar futuras comprobaciones y dar soporte al seguimiento del dominio.

Cómo usar este verificador DKIM

Tres pasos para pasar de un nombre de dominio a una respuesta clara sobre su configuración DKIM.

  1. 1

    Escribe un dominio

    Escribe cualquier dominio en el formulario de arriba. Si ya conoces el selector, agrégalo también para una comprobación directa.

  2. 2

    Ejecuta la comprobación

    Con un selector, lo comprobamos directamente. Sin uno, identificamos el proveedor de correo del dominio y probamos cerca de 125 nombres de selector habituales mediante DNS-over-HTTPS desde tu navegador.

  3. 3

    Lee el resultado, las claves y los huecos

    Cada selector encontrado se clasifica: activo, débil, en modo de prueba, revocado o roto. Los selectores esperados pero ausentes se señalan por proveedor, para que sepas exactamente qué activar.

Qué puedes averiguar con una comprobación DKIM

Una comprobación DKIM responde preguntas que una comprobación de DMARC o SPF por sí sola no puede. Úsala para:

  • Confirmar que la firma DKIM está realmente activada tras conectar Google Workspace, Microsoft 365 o un ESP.
  • Encontrar el nombre del selector que usa un proveedor, sin rebuscar en los encabezados del correo.
  • Detectar una delegación CNAME rota, el fallo DKIM más común en Microsoft 365.
  • Detectar una clave débil o desactualizada antes de que un receptor empiece a rechazarla.
  • Verificar que una clave se revocó correctamente tras rotar un selector comprometido.
  • Auditar la configuración DKIM de un proveedor o socio antes de confiar en el correo enviado en su nombre.

Entender DKIM

¿Qué es un selector DKIM?

Un selector es la etiqueta en el DNS de un dominio que apunta a una clave pública DKIM concreta, publicada como registro TXT en {selector}._domainkey.{domain}. Los selectores permiten que un dominio use más de una clave a la vez, por ejemplo una por plataforma de envío, y rotar una clave sin tocar ningún otro selector.

Por qué algunos registros DKIM son CNAME

Microsoft 365 y otros proveedores publican los selectores DKIM como registros CNAME que apuntan a un host controlado por el proveedor, en lugar de un registro TXT directo. Esto le permite al proveedor rotar la clave subyacente sin que el propietario del dominio toque el DNS. También significa que un destino CNAME roto o eliminado desactiva DKIM en silencio hasta que alguien lo revisa.

Claves de 1024 bits frente a 2048 bits

El RFC 8301 fija el mínimo: los receptores deben rechazar cualquier clave DKIM de menos de 1024 bits. Las claves RSA de 1024 bits siguen funcionando, pero se consideran débiles frente a los ataques de factorización actuales; 2048 bits o más es la recomendación vigente para las claves nuevas. Las claves Ed25519 (RFC 8463) logran una fuerza equivalente con un tamaño fijo de 256 bits, usando una criptografía distinta.

Rotar una clave DKIM

Rotar significa publicar un nuevo selector con una clave nueva, cambiar la plataforma de envío para que firme con ella y solo entonces revocar el selector anterior vaciando su etiqueta p=. Revocar la clave antigua antes de confirmar que la nueva funciona rompe la firma por completo, así que los dos pasos nunca deben hacerse en el mismo cambio.

Por qué algunos proveedores ocultan el selector

Amazon SES y Salesforce Marketing Cloud generan un nombre de selector aleatorio para cada dominio que verificas, como una etiqueta hexadecimal larga. No hay un nombre fijo que adivinar ni un diccionario que los cubra, así que un verificador no puede confirmar que la clave existe probando nombres. Por eso esta herramienta indica «indetectable» en lugar de «sin DKIM» para estos proveedores: la clave casi con toda seguridad está ahí, bajo un nombre que solo conoce la plataforma. Para verla, abre el DNS o el panel de envío del proveedor, o pega un mensaje real en el analizador de encabezados de correo, que lee el selector directamente del encabezado DKIM-Signature.

Preguntas frecuentes

¿Qué es DKIM?
DKIM (DomainKeys Identified Mail, RFC 6376) permite que un dominio remitente firme criptográficamente el correo saliente. La clave pública se publica como un registro TXT en el DNS; la clave privada firma cada mensaje. El servidor receptor obtiene la clave pública y verifica la firma, lo que confirma que el mensaje no se alteró durante el envío y que realmente lo envió un servidor que posee la clave privada de ese dominio.
¿Qué es un selector DKIM?
Un selector es la etiqueta que indica al receptor qué clave pública DKIM debe obtener para una firma determinada. El registro DNS vive en {selector}._domainkey.{domain}, así que un selector llamado «google» para example.com publica su clave en google._domainkey.example.com. Un dominio puede tener varios selectores a la vez y rotar entre ellos.
¿Cómo encuentro el selector DKIM de mi dominio?
El selector no se publica en ningún lugar por separado. Aparece en la etiqueta s= de un encabezado DKIM-Signature de un mensaje que el dominio realmente envió, o en la documentación de configuración de tu proveedor de correo. Esta herramienta evita ese problema: identifica tu proveedor a partir de tus registros MX y SPF, y prueba cerca de 125 nombres de selector habituales.
¿Por qué mi comprobación DKIM mostró «sin clave activa»?
Ese resultado significa que encontramos al menos un selector DKIM, pero ninguno es utilizable: una etiqueta p= vacía (una clave revocada), un registro no válido o un CNAME que ya no resuelve. En la práctica esto equivale a no tener DKIM hasta que se corrija o se rote la clave.
¿Es segura una clave DKIM de 1024 bits?
El RFC 8301 exige que los receptores rechacen cualquier clave DKIM de menos de 1024 bits, considera aceptable pero débil una clave RSA de 1024 bits, y recomienda 2048 bits o más para las claves nuevas. Las claves Ed25519 (RFC 8463) usan 256 bits con una criptografía distinta y se consideran seguras en ese tamaño.
¿Por qué DKIM muestra «indetectable» en lugar de válido o con errores?
Algunos proveedores, sobre todo Amazon SES y Salesforce Marketing Cloud, generan nombres de selector aleatorios por dominio que no se pueden adivinar ni probar por diccionario. Cuando identificamos uno de estos proveedores y no encontramos nada, indicamos «indetectable» en lugar de «sin DKIM», porque la clave puede existir perfectamente bajo un selector que no podemos predecir. Consulta el panel de la plataforma de envío, o usa nuestro analizador de encabezados de correo con un mensaje real para ver qué selector se usó.
¿Es gratis este verificador DKIM?
Sí. El verificador DKIM es completamente gratuito y no requiere registro. La comprobación se ejecuta en tu navegador con resolutores DNS-over-HTTPS públicos, así que nada de lo relativo al dominio que verificas se guarda en nuestros servidores, salvo que encontremos un selector, en cuyo caso solo se pueden guardar el nombre del selector y los metadatos de la clave pública para agilizar futuras comprobaciones.