Mejores herramientas para verificar DKIM y autenticar correo electrónico en 2026

Esta guía te proporciona una orientación clara sobre los mejores proveedores para verificar tu configuración DKIM. Al implementar las herramientas adecuadas, las organizaciones pueden proteger su dominio contra suplantaciones, intentos de phishing y problemas de entregabilidad.

DKIM (DomainKeys Identified Mail) es el protocolo de autenticación de correo electrónico que demuestra que tus mensajes no han sido alterados durante el tránsito. Utiliza firmas criptográficas para verificar que un correo realmente proviene de tu dominio y que ha llegado intacto. Cuando DKIM falla, suceden dos cosas: tus correos legítimos empiezan a ir a la carpeta de spam y los atacantes tienen un camino más fácil para suplantar tu marca.

¿El problema? La mayoría de las organizaciones configuran DKIM una vez y se olvidan. Las claves quedan obsoletas. Los selectores se desconfiguran tras migraciones de plataforma. Proveedores externos firman con claves débiles de 1024 bits que el RFC 8301 ya desaconsejaba desde 2018 [1]. Y como los errores de DKIM son invisibles para los usuarios finales (la validación ocurre a nivel de servidor), los equipos no detectan el problema hasta que la entregabilidad se desploma o un incidente de phishing les obliga a investigar.

Los datos son claros. En febrero de 2026, solo el 14,7% de 5,5 millones de dominios analizados había implementado SPF, DKIM y DMARC conjuntamente [2]. Eso significa que la inmensa mayoría de organizaciones funcionan a ciegas al menos con uno de los protocolos. Google, Yahoo y Microsoft ahora requieren SPF, DKIM y DMARC para grandes remitentes; los correos que no cumplan son relentizados, llegan a spam o se bloquean directamente [3].

Un buen verificador DKIM te ayuda a detectar errores de configuración antes de que causen problemas. Esta guía compara nueve herramientas para chequear DKIM, clasificadas según lo útiles que son para identificar fallos, entender qué está roto y, sobre todo, solucionarlo.

Antes de elegir una herramienta, conviene saber qué diferencia a un verificador DKIM realmente útil de otro que solo dice "registro encontrado" y te deja con el resto del trabajo.

• Verificación dinámica vs. estática: Las herramientas estáticas consultan tu DNS para buscar el registro DKIM y validar la sintaxis. Las dinámicas envían o reciben un correo real y comprueban si DKIM realmente pasa de extremo a extremo, incluyendo si la firma está alineada con tu política DMARC. Las pruebas dinámicas detectan fallos que las consultas estáticas jamás ven.
• Autodetección de selectores: Los registros DKIM dependen de los selectores y cada servicio de envío usa los suyos (Google usa "google", Microsoft "selector1" y "selector2", SendGrid "s1" y "s2"). Si la herramienta te exige conocer el selector antes de chequear, ya estás haciendo la mitad del trabajo manualmente. Las mejores escanean selectores comunes o los descubren mediante un test con correo real.
• Validación de la robustez de la clave: El RFC 8301 exige a los verificadores rechazar claves RSA menores de 1024 bits y recomienda un mínimo de 2048 bits para los firmantes [1]. Un verificador que comprueba la longitud de la clave te dice si la base criptográfica realmente es segura o simplemente está presente.
• Cobertura multiprotocolo: DKIM no funciona en solitario. Se combina con SPF y ambos alimentan DMARC, cuyo alineamiento determina si tu dominio está protegido. Las herramientas que validan DKIM junto con SPF, DMARC, BIMI y MTA-STS te dan una visión completa de una sola vez.
• Resultados accionables: Saber que hay un problema con tu registro DKIM es el primer paso. Saber qué es exactamente y cómo arreglarlo es lo que importa. La diferencia entre "DKIM fallido" y "la clave pública de tu selector usa un p= revocado, así se regenera" es la diferencia entre un diagnóstico real o un callejón sin salida.
• Sin barreras de registro: Las mejores herramientas gratis te dejan chequear al instante. Si piden tu correo laboral, número de teléfono y tamaño de empresa antes de dar resultados, es un formulario de captación disfrazado de verificador.

Ideal para: Auditoría completa de autenticación de correo con pasos de corrección accionables

Red Sift Investigate plantea un enfoque completamente distinto para chequear DKIM. En vez de hacer una consulta DNS estática, realiza un test dinámico y en tiempo real: solo tienes que enviar un correo a una dirección de email única. Así comprueba tu infraestructura real de envío, no solo lo publicado en tu DNS.

Funciones principales:

• Test dinámico de email que valida DKIM de extremo a extremo, no solo el registro DNS
• Comprueba DKIM junto con SPF, DMARC, BIMI, MTA-STS, TLS y FCrDNS en una sola pasada
• Ofrece pasos concretos de corrección para cada error detectado, no solo indicadores de aprobado/fallo
• No requiere registro en la versión web gratuita
• Comprueba cumplimiento de perfiles como Google/Yahoo/Microsoft para remitentes masivos
• Se conecta directamente con Red Sift OnDMARC para monitorización y refuerzo continuos

La gran limitación de los chequeadores DKIM estáticos es que solo te dicen si existe un registro y la sintaxis parece correcta. No pueden indicar si de verdad tus correos están siendo firmados por el servicio de envío, porque eso depende de cómo esté configurada tu plataforma de email, no solo de lo que hay en DNS.

Investigate resuelve esto. Al enviar un correo de prueba, analiza la firma DKIM real en las cabeceras, valida si el dominio firmante está alineado con el dominio "From:" para DMARC y comprueba toda la cadena de autenticación. Si algo está mal configurado en el envío (muy común al usar servicios como Marketo, Salesforce o HubSpot junto con el email principal), Investigate lo detecta.

La guía para corregir errores es lo que realmente lo diferencia. Otras solo muestran una X roja junto a "DKIM" y te dejan averiguar el fallo. Investigate te dice exactamente el problema y cómo solucionarlo. Para equipos implantando DMARC, esto recorta enormemente los tiempos de troubleshooting. Sin una herramienta así, tendrías que esperar hasta 24 horas un informe agregado DMARC para ver si tus cambios DNS funcionaron [4].

Los clientes de Red Sift que usan la plataforma OnDMARC suelen alcanzar enforcement de DMARC (p=reject) en 6-8 semanas [4]. Esa rapidez viene en parte porque Investigate da feedback instantáneo sobre cualquier cambio, así evitas un ciclo lento de cambio-espera-verificación.

Precios: Investigate es gratis y sin registro. Los planes OnDMARC comienzan con prueba gratuita de 14 días para quienes necesitan monitorizar, automatizar DKIM y llegar a enforcement completo.

Mejor caso de uso: Organizaciones que quieren conocer el estado real de su autenticación de correo, no solo si existe un registro DKIM. Especialmente útil durante implantaciones DMARC, migraciones de plataforma y resolución de problemas de entregabilidad con múltiples servicios de envío.

Ideal para: Consulta rápida del registro DKIM si ya conoces el selector

MXToolbox es una de las herramientas de diagnóstico DNS más citadas en internet, y su verificador DKIM es directo: introduces un dominio y un selector, y te devuelve el registro validado.

Funciones principales:

• Formato simple de entrada dominio:selector (ej: ejemplo.com:google)
• Muestra el registro DKIM bruto con desglose por etiqueta
• Identifica registros faltantes o malformados
• Parte de un conjunto más amplio de herramientas DNS y de email
• Acepta formato alternativo host/nombre (selector._domainkey.dominio.com)
• Buena documentación con guías para encontrar selectores

MXToolbox se ha ganado su reputación por pura ubiquidad. Si buscas en Google "DKIM check", es uno de los primeros resultados y con razón. Su interfaz es limpia, los resultados rápidos y es exactamente lo que promete.

Aun así, es una herramienta de consulta estática. Consulta el DNS para el selector que le indicas y muestra el resultado. No autodetecta selectores, no valida la fortaleza de la clave más allá de la sintaxis y no dice si de verdad los correos están firmados como corresponde. Debes conocer el selector antes de empezar, lo que implica revisar cabeceras de correo o la documentación de tu proveedor email.

Para verificaciones rápidas sabiendo qué buscar, MXToolbox es confiable. Para diagnosticar por qué falla DKIM en varios servicios o conocer tu postura completa, necesitas algo más completo.

Limitaciones: Sin autodetección de selector. Sin validación de fortaleza de clave. Sin chequeo multiprotocolo (otras herramientas para SPF y DMARC). Sin guía de corrección.

Precios: Gratis para consultas básicas. Planes de pago para monitorización y alertas.

Mejor caso de uso: Administradores IT que quieren una consulta DNS rápida para confirmar la publicación correcta del registro DKIM tras hacer cambios.

Ideal para: Administradores de Google Workspace que revisan la salud del dominio

Google Admin Toolbox es la herramienta que Google ofrece para revisar registros MX, SPF, DKIM, DMARC y MTA-STS. Está pensada para ambientes Workspace y ofrece una visión integrada de la configuración de email.

Funciones principales:

• Revisa DKIM junto con MX, SPF, DMARC y MTA-STS de una sola vez
• Diseñada para ambientes Google Workspace
• Incluye una herramienta aparte Messageheader para analizar cabeceras de emails individuales
• Incluye herramienta Dig para consultas DNS en bruto
• Gratis y sin registro
• Comprueba que todos los name servers devuelven el registro DKIM consistente

Si usas Google Workspace, esta es la herramienta ideal. Revisa el selector "google" por defecto y señala errores comunes ligados a la implantación de DKIM en Google, como registros TXT divididos o problemas de propagación por superar los 255 caracteres en claves de 2048 bits.

El analizador de cabeceras (Messageheader) es un buen complemento: puede pegarse la cabecera completa y ver rápidamente el estado DKIM para un mensaje concreto, muy útil en troubleshooting.

La limitación es que está muy orientada a Google Workspace. Si mandas correos desde varias plataformas (como la mayoría), debes comprobar DKIM en cada servicio por separado. Además, solo revisa el selector "google" por defecto; para otros debes especificar manualmente.

Limitaciones: Enfocada a Google Workspace. Entrada manual de selector necesaria para servicios no Google. Sin validación de fortaleza de clave. Sin guía de corrección. Útil limitado para ambientes con varios proveedores.

Precios: Gratis.

Mejor caso de uso: Administradores de Google Workspace que quieren confirmar que DKIM está bien configurado para el flujo email de su dominio en Google.

Ideal para: Autodetección de selector vía datos de informes agregados almacenados

El verificador DKIM de EasyDMARC tiene algo que la mayoría de las estáticas no: almacena los selectores DKIM descubiertos a través de los informes DMARC agregados, lo cual permite autodetectar selectores sin que tengas que buscarlos tú mismo. Para organizaciones que ya envían informes DMARC a EasyDMARC, esto acelera mucho el proceso.

Funciones principales:

• Autodetección de selectores DKIM vía datos de informes agregados
• Avisos en el panel si se detectan problemas de selector
• Valida la sintaxis y muestra valores de etiquetas
• Forma parte de una suite de herramientas que incluye validadores para SPF, DMARC y BIMI (como herramientas separadas)
• La función Domain Scanner revisa SPF, DKIM, DMARC y BIMI juntos
• Widget integrable en web

La autodetección de selector es un punto fuerte. La mayoría pide de antemano que conozcas el selector, lo que implica revisar cabeceras o documentación del ESP. EasyDMARC elimina esa fricción, al menos para dominios que ya envían informes DMARC a su plataforma.

El Domain Scanner también es útil: revisa SPF, DKIM, DMARC y BIMI juntos, dando un score general de salud. No es tan completo como una prueba dinámica de email (sigue siendo solo DNS), pero ahorra tiempo comparado con usar cuatro herramientas distintas.

La limitación principal es la común en los chequeadores estáticos: puede confirmar si existe un registro en DNS, pero no si realmente tus correos están firmados. Tampoco revisa DKIM junto con protocolos como MTA-STS, TLS o FCrDNS como sí hace Red Sift Investigate en una sola prueba dinámica.

Limitaciones: Solo consulta DNS. La autodetección depende de datos de informes agregados existentes. Sin validación end-to-end de la firma en el correo real. Las pruebas de protocolo se hacen con herramientas separadas (no unificadas). Sin revisión de TLS, MTA-STS ni FCrDNS.

Precios: Herramienta gratuita de consulta DKIM. Planes de pago para monitorización y enforcement.

Mejor caso de uso: Equipos que ya monitorizan DMARC con EasyDMARC y quieren verificaciones rápidas de DKIM con autodetección de selectores basada en los datos ya recopilados.

Ideal para: Validación rápida de DKIM con autodetección de selectors

El verificador DKIM de Valimail es una herramienta sencilla, sin registro, que valida el registro y autodetecta selectores para configuraciones comunes. Devuelve resultados estructurados sobre existencia, sintaxis y validez de la clave pública.

Funciones principales:

• Autodetección de selector para configuraciones comunes
• Validación de formato de la clave pública
• Detección de errores de sintaxis con avisos de incidencias (etiquetas faltantes, problemas de formato)
• No requiere cuenta o registro
• Resultados claros y explicaciones en lenguaje sencillo
• Funciona con cualquier dominio (no solo clientes de Valimail)

La experiencia de uso es pulida. Los resultados se muestran en lenguaje claro en vez de DNS en bruto, lo que facilita la comprensión para quienes no son expertos. La autodetección de selector es práctica cuando no tienes a mano las cabeceras de correo.

Valimail también ofrece un comprobador general de dominio que valida DMARC, SPF y BIMI. Da un veredicto rápido de "Protegido" o "No protegido" según el estatus DMARC, útil como chequeo de alto nivel (más que diagnóstico por servicio).

La capa gratuita de monitorización (Valimail Monitor) destaca, ya que ofrece acceso a informes DMARC agregados con identificación de remitentes, por encima de lo que ofrecen la mayoría de chequeadores gratuitos. Aun así, su verificador DKIM en sí sigue siendo consulta DNS estática y comparte la limitación de toda esa categoría.

Limitaciones: Solo consulta DNS. No realiza test de email real. El comprobador de dominio no cubre DKIM (herramienta aparte). Sin validación de MTA-STS, TLS o FCrDNS. Sin pasos concretos de corrección.

Precios: Herramienta DKIM gratuita. Valimail Monitor es gratis para monitorización básica DMARC. Hay planes de pago para enforcement y automatización.

Mejor caso de uso: Validación DKIM rápida con interfaz clara, especialmente para equipos que también quieren mirar el nivel general de autenticación usando el comprobador de dominio.

Ideal para: Validación DKIM con autodetección y avisos de error detallados

El chequeador DKIM de PowerDMARC combina autodetección de selector con explicaciones detalladas de cada resultado y su importancia. Elabora el informe según el caso (válido, inválido, faltante, selector no encontrado, clave incoherente) y da descripciones específicas de cada uno.

Funciones principales:

• Autodetección de selector DKIM si se deja en blanco
• Explicaciones detalladas sobre cada tipo de resultado
• Muestra todas las etiquetas del registro DKIM con sus valores
• Parte de un set de herramientas para SPF, DMARC, BIMI, MTA-STS y generadores DKIM
• Guía sobre verificación manual de DKIM vía cabecera de correo
• Enlaces a herramientas relacionadas para generar registros nuevos si se detectan problemas

La fortaleza de PowerDMARC es el contenido explicativo alrededor del resultado. Si eres nuevo en DKIM, la herramienta no se limita a decir "registro inválido". Explica el sentido, por qué pudo pasar y sugiere un curso de acción (como regenerar el registro con la herramienta automática). Ese enfoque educativo la hace especialmente útil para equipos en proceso de aprender sobre autenticación de correo.

La autodetección funciona similar que en EasyDMARC: dejas el selector en blanco y el sistema lo busca por ti. Su conjunto de herramientas abarca generadores y chequeadores para casi todos los protocolos de autenticación de email.

La herramienta es una consulta DNS estática, con la consabida limitación: valida lo publicado pero no puede asegurar que los correos estén firmados realmente. La interfaz es también algo más recargada que la de otras alternativas, con bastante promoción mezclada con los resultados.

Limitaciones: Solo consulta DNS, sin test de email. Las pruebas de protocolo requieren herramientas separadas. Interfaz con mucho contenido promocional. Sin revisión de TLS o FCrDNS. Guía de corrección general, no específica a tu configuración.

Precios: Herramienta DKIM gratuita. Planes de pago para monitorización, enforcement y gestión automática de claves.

Mejor caso de uso: Equipos que buscan explicaciones detalladas junto a los datos técnicos, especialmente quienes están aprendiendo sobre autenticación de correo.

Ideal para: Validación sintáctica limpia con generador complementario

El chequeador DKIM de Sendmarc es una herramienta estática y concreta. Introduces un selector y dominio y valida existencia y sintaxis del registro, sin la sobrecarga de otros competidores.

Funciones principales:

• Interfaz limpia con entrada dominio + selector
• Valida sintaxis y formato de etiquetas DKIM
• Detecta registros faltantes/incompletos, errores y claves incoherentes
• Generador DKIM complementario para crear registros nuevos
• Herramienta de análisis de cabeceras para chequear firmas en emails enviados
• Parte de una plataforma de autenticación gestionada, con opción a gestión de DKIM

La combinación de chequeador con generador DKIM es muy práctica. Si detecta un problema, puedes generar el registro corregido de inmediato. La herramienta de análisis de cabecera añade otra capa: puedes pegar las cabeceras para verificar que los emails salen firmados, acercándote a una prueba dinámica (aunque manual).

Sendmarc integra estas utilidades en una plataforma más amplia de gestión DKIM, SPF y DMARC. Las herramientas gratis sirven de entrada. La interfaz es limpia y ordenada, sin un exceso de autopromociones en los resultados.

La principal limitación es que no autodetecta selectores. Debes conocerlo antes, lo que la iguala en requisitos previos a MXToolbox. Tampoco chequea DKIM junto a otros protocolos en una sola pasada.

Limitaciones: Solo consulta DNS. Entrada de selector obligatoria. No autodetección. Sin revisión multiprotocolo unificada. Sin test dinámico. Sugerencias de corrección generales.

Precios: Herramientas gratuitas para chequear y generar DKIM. Planes de plataforma para gestión a largo plazo.

Mejor caso de uso: Equipos que buscan validación DKIM sencilla y la posibilidad de generar registros nuevos en el momento si hay problemas.

Ideal para: Verificación rápida de sintaxis del registro DKIM

El chequeador DKIM de DMARCLY es una sencilla consulta DNS. Introduces dominio y selector, y obtienes el registro DKIM con un resultado de aprobado/fallo de la sintaxis.

Funciones principales:

• Interfaz limpia y simple para consultas DKIM
• Muestra validez del registro con un indicador claro
• Muestra clave pública y etiquetas
• Forma parte de la suite más extensa de DMARCLY para autenticación de correo
• Incluye contenido educativo sobre DKIM selectores y registros
• Enlaces a guía paso a paso para implementar DKIM

DMARCLY va al grano. Si lo que buscas es confirmar que el registro DKIM está publicado y es sintácticamente válido, cumple su función sin distracciones. El material educativo del entorno ayuda a equipos que están empezando con autenticación de correo.

La herramienta se engloba en la plataforma de DMARCLY, que ofrece comprobadores para SPF, DKIM, DMARC y BIMI junto a su servicio de monitorización de pago. Cada utilidad tiene un enfoque concreto.

Limitaciones: Solo consulta DNS. Entrada de selector manual. Sin validación de fortaleza de clave salvo la sintaxis. Sin revisión multiprotocolo de una pasada. Sin pasos de corrección. Sin autodetección de selector.

Precios: Gratis para consultas sueltas. Precios de plataforma DMARCLY para monitorización continua.

Mejor caso de uso: Confirmación rápida de que un registro DKIM está publicado correctamente en un selector concreto.

La decisión depende de lo que busques. Aquí tienes una referencia para elegir la mejor opción según tu situación.

Empieza por un verificador dinámico. Las consultas DNS estáticas solo confirman que existe un registro, pero no si el correo está firmado realmente. Red Sift Investigate da la imagen más completa porque comprueba toda la cadena de autenticación (incluyendo alineación DKIM con DMARC) en una sola pasada.

Pasa las comprobaciones de fortaleza de clave en todos tus selectores. Las herramientas que validan la longitud en bits (como PowerDMARC, EasyDMARC o el verificador de Valimail) marcarán cualquier clave menor a 2048 bits. Si hace tiempo que no rotas claves DKIM, es lo más rápido para identificar puntos débiles. Para una auditoría completa que también cubra SPF, DMARC, BIMI, MTA-STS y TLS, Red Sift Investigate lo cubre todo a la vez.

DKIM es la mitad de la ecuación de alineamiento DMARC. Necesitas herramientas que chequen DKIM en el contexto de la configuración completa, no por separado. Red Sift Investigate verifica DKIM, SPF, DMARC, BIMI, MTA-STS, TLS y FCrDNS juntas y sus instrucciones te guían sobre qué arreglar. Para monitorización continua durante la implantación DMARC, Red Sift OnDMARC ofrece visibilidad permanente de todos tus dominios y servicios de envío.

MXToolbox es lo más rápido si ya tienes dominio y selector. Google Admin Toolbox es ideal para Google Workspace. EasyDMARC y PowerDMARC son buenas alternativas si quieres autodetección de selector sin hacer un test dinámico. Todas son fiables para confirmar publicación de registros.

Por qué sucede esto: Los equipos publican un registro DKIM en DNS y asumen que todo está funcionando. Usan una herramienta de búsqueda estática, ven "registro encontrado" y continúan.

El impacto: El registro DNS puede ser perfectamente válido mientras el servicio de envío no está configurado para firmar los correos electrónicos. DKIM falla silenciosamente y no te enteras hasta que llegan los informes DMARC (hasta 24 horas después) o cae la entregabilidad.

Cómo evitarlo: Utiliza un comprobador dinámico como Red Sift Investigate que prueba el flujo real del correo electrónico, no solo el registro DNS. Envía un correo de prueba desde cada uno de tus servicios de envío para verificar que la firma se realiza de extremo a extremo.

Por qué sucede esto: Muchos servicios de correo electrónico utilizaron por defecto claves de 1024 bits durante años. Si DKIM se configuró antes de 2020, es probable que algunos selectores sigan usando longitudes de clave desactualizadas.

El impacto: El RFC 8301 desaprueba SHA-1 y exige que los verificadores rechacen las claves menores de 1024 bits [1]. Aunque la mayoría de los receptores aún aceptan técnicamente claves de 1024 bits hoy en día, están al borde de lo que puede romperse con suficiente potencia de cómputo. M3AAWG recomienda 2048 bits como mínimo y una rotación regular cada 6-12 meses [5].

Cómo evitarlo: Realiza una auditoría de la fortaleza de las claves usando cualquiera de las herramientas que validan la longitud de los bits (EasyDMARC, PowerDMARC, Valimail o Sendmarc verifican esto). Actualiza cualquier clave de 1024 bits a 2048 bits. Establece un cronograma de rotación y cúmplelo.

Por qué sucede esto: Las organizaciones revisan DKIM para su plataforma de correo principal pero se olvidan de la automatización de marketing, sistemas CRM, software de soporte y otros servicios que envían correos en su nombre.

El impacto: Es posible que estos servicios no estén firmando con DKIM o que estén firmando con un dominio diferente que no se ajusta a tu política DMARC. Cuando pasas a la aplicación de DMARC (p=quarantine o p=reject), estos correos empezarán a ser bloqueados.

Cómo evitarlo: Haz un inventario de cada servicio que envía correos desde tu dominio. Prueba el DKIM de cada uno individualmente. Red Sift OnDMARC automatiza este descubrimiento analizando los informes DMARC agregados para mostrar todas las fuentes de envío y su estado DKIM.

Por qué sucede esto: Los cambios en DNS pueden tardar en propagarse y, a veces, los equipos continúan con la siguiente tarea antes de confirmar que el cambio está activo y correcto.

El impacto: Errores tipográficos en los registros DKIM, claves incompletas (especialmente con claves de 2048 bits que deben dividirse en varias cadenas DNS) y nombres de selectores incorrectos, todo ello provoca el fallo de DKIM.

Cómo evitarlo: Prueba cada cambio de DKIM inmediatamente después de realizarlo. Red Sift Investigate ofrece una verificación instantánea a través de su prueba dinámica de correo, por lo que no tienes que esperar 24 horas a que llegue un informe DMARC para confirmar que tus cambios funcionaron.

Un comprobador DKIM solo es útil en la medida en que te ayuda a actuar después. Las herramientas gratuitas de búsqueda estática como EasyDMARC, PowerDMARC, Valimail, Sendmarc y otras son adecuadas para comprobaciones rápidas, pero solo te dicen si existe un registro en DNS. No pueden indicarte si tus correos realmente están siendo firmados, si tu autenticación está alineada con DMARC o qué arreglar si algo falla.

Para organizaciones que se toman en serio la autenticación de correo electrónico, la diferencia entre una búsqueda básica y una herramienta de diagnóstico integral ahorra horas de resolución de problemas y previene inconvenientes de entregabilidad antes de que afecten a tu negocio.

Red Sift Investigate te ofrece la imagen más completa de tu configuración DKIM en menos de 30 segundos, con orientación específica sobre qué corregir. Es gratis, no requiere registro, y prueba tu flujo real de correo en lugar de solo el DNS. Y cuando estés listo para pasar de comprobar a monitorizar y aplicar de forma continua, Red Sift OnDMARC continúa donde se queda Investigate, ayudándote a lograr la aplicación total de DMARC en 6-8 semanas.

Realiza una comprobación gratuita con Red Sift Investigate para ver en qué estado está tu DKIM hoy.

[1] RFC 8301 - Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) 

[2] Cómo DKIM, DMARC, SPF mejoran la entregabilidad 

[3] Cómo los requisitos de autenticación de correo cambiarán la comunicación empresarial en 2026 [4] Función Investigate de OnDMARC 

[5] Prácticas recomendadas de rotación de claves DKIM de M3AAWG

Un comprobador DKIM valida que tu dominio tenga un registro DKIM correctamente configurado. Los comprobadores estáticos consultan el DNS en busca de la clave pública en un selector específico. Los comprobadores dinámicos van más allá, analizando un correo real para confirmar que los mensajes se firman correctamente y que el servidor receptor puede verificar la firma.

Depende de la herramienta. La mayoría de comprobadores estáticos (MXToolbox, Sendmarc, DMARCLY, DNSChecker.org) requieren que introduzcas un selector. Algunas herramientas como EasyDMARC, PowerDMARC y Valimail pueden detectar los selectores automáticamente. Los comprobadores dinámicos como Red Sift Investigate detectan el selector a partir de las cabeceras del correo real, por lo que no necesitas conocerlo previamente.

Una comprobación estática consulta el DNS en busca de un registro DKIM y valida su sintaxis. Una comprobación dinámica envía o recibe un correo real y verifica toda la cadena de autenticación DKIM, incluyendo si el mensaje fue firmado realmente, si la firma es válida y si DKIM está alineado con tu política DMARC. Las comprobaciones dinámicas detectan más problemas porque prueban el flujo real de correo. De las herramientas en esta guía, solo Red Sift Investigate realiza una comprobación dinámica real.

Comprueba tras cualquier cambio en tus registros DNS, servicios de envío de correo o configuración de la plataforma de correo. Además, realiza una comprobación al menos trimestralmente y siempre que agregues un nuevo servicio de envío. Para una supervisión constante, una plataforma como Red Sift OnDMARC ofrece visibilidad continua para que no tengas que acordarte de comprobar manualmente.

Las claves RSA de 2048 bits son el mínimo recomendado. RFC 8301 exige a los verificadores rechazar claves de menos de 1024 bits, y NIST recomienda 2048 bits como base para el cifrado RSA [1]. Algunas organizaciones usan claves de 4096 bits para mayor seguridad, aunque no todos los servicios de correo las permiten. Si aún usas claves de 1024 bits, actualízate a 2048 y establece una rotación cada 6-12 meses.

No directamente. DKIM es solo uno de los factores de la entregabilidad, pero la ubicación en la bandeja de entrada también depende de SPF, política DMARC, reputación del remitente, calidad del contenido y métricas de interacción. Aun así, un DKIM roto empeorará la entregabilidad. Los remitentes completamente autenticados con SPF, DKIM y DMARC logran tasas de entrega en bandeja de entrada del 95-98%, comparado con un promedio de 85% para remitentes no autenticados [2].

Suele significar que el registro DNS es válido pero el servicio de envío no está firmando los correos correctamente. Las causas habituales incluyen que la plataforma de envío no esté configurada para usar DKIM, un desajuste entre el selector de la cabecera DKIM-Signature y el registro DNS, o que el correo haya sido modificado en tránsito (por una pasarela o servicio de reenvío) después de la firma. Usa un comprobador dinámico para diagnosticar el punto exacto de fallo.

La comprobación DKIM es una parte de una estrategia completa de autenticación de correo electrónico que incluye SPF, DMARC, BIMI y MTA-STS. Para una visión integral de cómo funcionan juntos estos protocolos y cómo implementarlos, consulta la guía de requisitos de autenticación de correo de Red Sift para 2026.