Authentication · RFC 6376 · Actualizado May 2026

DKIM

DomainKeys Identified Mail

DKIM (DomainKeys Identified Mail) es un estándar criptográfico de autenticación de email (RFC 6376) en el que el remitente firma cada mensaje saliente con una clave privada, y el receptor verifica la firma contra una clave pública publicada en DNS.

§1

Definición

DKIM (DomainKeys Identified Mail) es un estándar de autenticación de email definido en la RFC 6376. El sistema de mail remitente firma cada mensaje saliente con una clave criptográfica privada; un header llamado DKIM-Signature transporta la firma, el algoritmo y un puntero a la clave pública. El servidor receptor obtiene la clave pública desde DNS y verifica que la firma coincida con el cuerpo del mensaje y los headers listados — demostrando tanto que el mensaje se originó en un servidor que posee la clave privada como que las porciones firmadas del mensaje no han sido alteradas en tránsito.

§2

Selectors y rotación de claves

La clave pública vive en {selector}._domainkey.{domain} como un registro TXT. Los selectors son identificadores arbitrarios — típicamente s1, s2, mail o nombres específicos de vendor como amazonses. Los selectors habilitan la rotación de claves: publique una nueva clave bajo un selector fresco, conmute el signer al nuevo selector, deje la clave vieja en DNS hasta que se drenen los mensajes firmados en tránsito, luego elimine el registro TXT antiguo. La rotación es una práctica básica de higiene — la mayoría de los ESPs rota al menos anualmente y ante cualquier sospecha de compromiso.

§3

Cómo AcelleMail usa DKIM

Para el envío vía vendor (Amazon SES, Mailgun, SendGrid, SparkPost — todos drivers integrados en app/SendingServers/Drivers/Vendors/), DKIM lo firma el vendor. El trabajo del operador es publicar los registros CNAME o TXT que proporciona el vendor en su dominio de envío. Para el driver SMTP genérico, la firma DKIM la realiza el MTA upstream (milter opendkim de Postfix, signer integrado de Postal, etc.) — AcelleMail no firma DKIM por sí mismo.

El walkthrough completo de configuración — cómo lucen los registros para los principales vendors y cómo verificar el signing — vive en la guía pillar de entregabilidad.

§4

DKIM vs SPF

SPF autentica la dirección IP; DKIM autentica el mensaje en sí. Un correo reenviado que rompe SPF (porque ahora viene de las IPs del forwarder) típicamente todavía pasa DKIM (la firma cubre el cuerpo, no la ruta). DMARC luego alinea uno o ambos sinales contra el header From: visible. Las tres capas se componen — la entregabilidad moderna asume que usted publica las tres.

Fuentes

Cada afirmación de esta página se rastrea hasta una de estas.

Véase también

Términos del glosario relacionados

Siga avanzando por el cluster.

Authentication RFC 7208

SPF

Sender Policy Framework
Authentication RFC 7489

DMARC

Domain-based Message Authentication, Reporting and Conformance
Vendor

Amazon SES

Amazon Simple Email Service
Metric

Email deliverability

La tasa a la que los mensajes enviados llegan a la bandeja de entrada del destinatario

← Volver a todos los términos del glosario

¿Quiere ejecutar esto en producción?

AcelleMail es una plataforma de email autoalojada con licencia de pago único y soporte de primera para cada término de este glosario. Sin tarifas recurrentes, sin precios por suscriptor, código fuente completo.

Probar la demo en vivo

Ejecute su email marketing en su propio servidor, en sus propios términos

Únase a miles de empresas que tomaron el control de su email marketing con código fuente completo, sin tarifas recurrentes y envíos ilimitados. Licencia de pago único de $80, actualizaciones de por vida.

Get the AcelleMail newsletter

Monthly issue with new releases, deliverability tips, and self-hosting playbooks. No spam.