Mimecast Logo
Obtenga una cotización

    Selectores DKIM: qué son y cómo encontrarlos

    El selector DKIM identifica la clave utilizada para la firma de los correos electrónicos. Descubra cómo funcionan los selectores y cómo localizarlos y gestionarlos correctamente.
    Prueba gratuita de DMARC
    Selector DKIM
    Prueba gratuita de DMARC
    Puntos clave

    Qué aprenderá en este artículo

    • Un selector DKIM es el identificador que figura en la etiqueta «s=» del encabezado de la firma DKIM. Indica al servidor receptor qué registro DNS debe consultar para obtener la clave pública correcta.
    • El protocolo DKIM funciona firmando los correos electrónicos salientes con una clave privada y validando la firma con la clave pública correspondiente publicada en el DNS.
    • Para localizar un selector DKIM, los equipos suelen examinar los encabezados de los mensajes, consultar la configuración de administración del proveedor de correo electrónico, utilizar una herramienta de verificación de DKIM o revisar los datos de supervisión de DMARC .
    • Las organizaciones suelen utilizar varios selectores DKIM para separar los flujos de correo, dar soporte a diferentes plataformas de envío y rotar las claves sin interrumpir la autenticación.
    • Tanto la publicación de registros TXT como la de registros CNAME admiten DKIM válido. La elección adecuada depende de la implementación del proveedor de envío, por lo que los equipos deben seguir el tipo de registro exacto que requiera la plataforma.

    ¿Cómo funciona DKIM?

    El DKIM, abreviatura de «DomainKeys Identified Mail», añade una firma digital a un correo electrónico saliente para que el servidor receptor pueda verificar que el mensaje procede de un remitente autorizado y que no ha sido alterado tras su firma. El sistema remitente firma las partes del mensaje de correo electrónico con una clave privada, y el destinatario busca la clave pública correspondiente en el DNS para validar la firma.

    Los componentes principales son sencillos. La clave privada permanece en la plataforma remitente y se utiliza para la firma DKIM. La clave pública se publica en el DNS para que el servidor de correo receptor pueda llevar a cabo la autenticación DKIM. El encabezado de la firma DKIM también incluye el dominio remitente en la etiqueta «d=», que indica a los destinatarios qué dominio asume la responsabilidad de la firma.

    ¿Qué es un selector DKIM?

    Un selector DKIM es el identificador que apunta a la clave pública DKIM correcta. Aparece en la etiqueta «s=» del encabezado «DKIM-Signature» de y ayuda al servidor receptor a saber qué registro DNS debe consultar. Sin el selector, el servidor no sabría qué registro DKIM debe utilizar para la verificación.

    Esto permite separar el selector del resto de componentes de DKIM. El selector no coincide con el dominio de origen que figura en la etiqueta «d=» de . El valor «d=» identifica el dominio vinculado a la firma DKIM, mientras que el selector identifica qué clave de debe utilizarse para ese dominio. Juntos, dirigen la consulta DNS que permite la validación DKIM. 

    Es fácil confundir estos términos relacionados, así que a continuación le indicamos cómo distinguirlos:

    • Clave DKIM: el par de claves criptográficas que se utiliza para la firma y la verificación.
    • Registro DKIM: el registro DNS que publica la clave pública.
    • Protocolo DKIM: el método de autenticación más amplio que define cómo funcionan la firma y la verificación.
    • Selector DKIM: la etiqueta que apunta al registro de clave pública correcto.

    ¿Cómo funciona un selector DKIM?

    El selector forma parte del proceso de firma y verificación DKIM. Cada paso es sencillo por sí solo, pero, en conjunto , explican por qué el selector es importante:

    1. El servidor de envío firma el mensaje

    El sistema emisor aplica una firma DKIM al correo electrónico saliente utilizando su clave privada. Esa firma se añade a en el encabezado del correo electrónico. 

    2. El selector identifica la clave correspondiente

    El encabezado «DKIM-Signature» incluye un valor «s=». Ese selector indica a los destinatarios qué clave pública coincide con la firma utilizada en el mensaje. 

    3. El servidor receptor realiza la consulta DNS

    El servidor receptor combina el selector con el dominio de la etiqueta «d=» para construir la consulta DNS. En la práctica, la consulta « » suele seguir el patrón «selector._domainkey.domain». 

    4. Se devuelve la clave pública y se utiliza para la verificación

    Si se resuelve correctamente el registro DNS, el servidor receptor recupera la clave pública y la utiliza para validar la firma DKIM . Si la firma se verifica, la autenticación DKIM se supera. 

    Comprobador SPF DKIM DMARC

    Las herramientas gratuitas de comprobación SPF, DKIM, BIMI y DMARC de Mimecast ofrecen a los equipos de seguridad y TI una forma rápida de comprobar la salud de los dominios e identificar errores de configuración.
    Compruébelo ahora

    ¿Cómo puede encontrar un selector DKIM?

    Existen varias formas habituales de averiguar un selector DKIM. Algunas son manuales, mientras que otras se basan en la configuración de administración o en herramientas de supervisión de .

    Método A: Revisar manualmente el encabezado del correo electrónico

    Uno de los métodos más directos consiste en examinar el encabezado del correo electrónico y buscar el valor «s=» dentro del encabezado «DKIM-Signature ». Ese es el campo de selección.

    En Gmail, abra el mensaje, seleccione «Mostrar original» y revise los datos de autenticación y los encabezados sin procesar. En Microsoft Outlook, abra las propiedades del mensaje o los encabezados de Internet y busque la línea «DKIM-Signature». En ambos casos, el selector « » aparece como valor tras «s=».

    Método B: Consulte al proveedor de correo electrónico o la consola de administración

    Muchas plataformas muestran el selector en sus pantallas de configuración de DKIM. En Google Workspace, los administradores generan la clave DKIM y el selector « » desde la Consola de administración para la autenticación de Gmail. Microsoft 365 también muestra información sobre el selector cuando DKIM se configura para dominios personalizados.

    Método C: Utilice una herramienta de consulta o verificación de DKIM

    Una herramienta de verificación de DKIM también puede ayudar a identificar o validar el selector. La herramienta « » de Mimecast para comprobar registros DKIM solicita el selector y el nombre de dominio, y a continuación comprueba si el registro está correctamente configurado y es visible en el DNS. El hecho de que resulte útil para solucionar problemas o verificar una configuración DKIM activa.

    Método D: Utilizar la supervisión y la generación de informes de DMARC

    Las herramientas de supervisión de DMARC pueden ayudar a detectar patrones de DKIM en distintos dominios y flujos de correo. Los informes agregados no sustituyen a una consulta directa de DKIM, pero pueden ayudar a los equipos a identificar qué remitentes están firmando, qué flujos están fallando y dónde aparecen los distintos selectores DKIM en todo el entorno.

    Convenciones habituales para nombrar selectores

    Los selectores suelen aparecer en un formato del tipo selector._domainkey.domain. Muchas organizaciones utilizan nombres descriptivos relacionados con el proveedor, la finalidad o el calendario de rotaciones. Los selectores habituales pueden hacer referencia a una plataforma, un entorno o una secuencia, como, por ejemplo, «google», «selector1», «selector2», «mktg2026» o una etiqueta específica de un proveedor. La mejor práctica es la coherencia. Un nombre de selector descriptivo resulta más fácil de seguir, alternar y solucionar problemas posteriormente.

    Cómo configurar y publicar un selector DKIM

    El proceso para publicar un DKIM suele ser breve, pero es fundamental actuar con precisión. Incluso los pequeños errores en el selector o en el registro DNS « » pueden impedir que los servidores receptores validen correctamente la firma.

    Paso 1: Elija o genere el selector

    Empiece por elegir un nombre de selector único que coincida con la configuración DKIM de la plataforma de envío. Algunas plataformas generan este enlace por usted. En otros casos, se puede definir manualmente.

    Paso 2: Generar o recuperar los datos de la clave DKIM

    Obtenga el selector, el tipo de registro y el valor DNS del proveedor de correo electrónico. Esto puede incluir un registro TXT con la clave pública o un registro CNAME que apunte a otra ubicación, dependiendo de la plataforma.

    Paso 3: Crear el nombre de host DNS

    Escriba el nombre del host con el formato selector._domainkey.domain. Esto es lo que el servidor receptor consultará durante la verificación DKIM .

    Paso 4: Publique el registro DKIM en el DNS público

    Introduzca el nombre de host y el valor exactos en el proveedor de DNS del dominio. En este paso debe utilizarse el tipo de registro y el valor « » que exige la plataforma emisora.

    Paso 5: Active la firma DKIM en la plataforma de envío

    Una vez que el registro DNS esté configurado, active la firma DKIM en el proveedor de correo electrónico. El mero hecho de publicar el registro no garantiza que el correo en tiempo real se esté firmando.

    Paso 6: Compruebe que el selector funciona

    Compruebe la resolución de DNS y, a continuación, revise los mensajes en tiempo real para confirmar que los resultados de DKIM son correctos. Un registro en el DNS resulta útil, pero, en la práctica, el correo electrónico auténtico sigue teniendo que superar la validación DKIM.

    Gestión de selectores DKIM

    Los selectores DKIM no son un elemento que se configure una sola vez. Se les debe realizar un seguimiento como parte de las prácticas habituales de autenticación del correo electrónico, especialmente en entornos que utilicen Google Workspace, Microsoft 365, Amazon SES y múltiples remitentes de terceros.

    Una buena documentación contribuye a mantener organizada la gestión de los selectores a lo largo del tiempo. Los equipos deben llevar un registro del nombre del selector, el dominio, el servicio de envío , la longitud de la clave, la fecha de publicación y el calendario previsto para la rotación de claves. La visibilidad continua también es importante, y una herramienta de generación de informes DMARC puede ayudar a los equipos a detectar fuentes defectuosas, problemas con los selectores y deficiencias recurrentes en la autenticación en los distintos flujos de correo.

    El ciclo de vida adecuado de un selector DKIM suele incluir:

    • Planificación del selector y de la convención de nomenclatura
    • Publicación del registro
    • Activación de la firma
    • Rotación de claves a lo largo del tiempo<
    • Revisar los selectores antiguos antes de retirarlos del servicio

    Los selectores antiguos no deben eliminarse hasta que los equipos confirmen que ningún flujo de correo activo sigue dependiendo de ellos. Si se elimina un selector « » demasiado pronto, se puede interrumpir la autenticación DKIM en los sistemas que aún lo utilicen para firmar.

    ¿Por qué utilizan las organizaciones varios selectores DKIM?

    Las organizaciones suelen utilizar varios selectores DKIM, ya que un mismo dominio puede dar soporte a varios servicios de envío o flujos de correo . Microsoft 365, Google Workspace, Amazon SES y las plataformas de terceros pueden utilizar selectores distintos, y lo mismo puede aplicarse a diferentes tipos de correo, como los correos electrónicos de marketing y los transaccionales.

    Los selectores múltiples también facilitan la gestión de claves. Permiten una rotación de claves más fluida, cambios por etapas, pruebas y transiciones entre proveedores de servicios de « » sin interrumpir la autenticación del correo. Es habitual utilizar varios selectores. La cuestión real no es el número de selectores, sino si cada uno de ellos se publica correctamente y está vinculado al servicio de envío adecuado.

    Firma DKIM: registros TXT frente a registros CNAME

    El DKIM puede implementarse mediante modelos basados en TXT o en CNAME.

    DKIM basado en TXT

    Con el DKIM basado en TXT, la clave pública se publica directamente en el DNS del dominio como un registro TXT de DNS. Esto es habitual en plataformas de tipo « », como Google Workspace, en las que el propietario del dominio publica directamente el material de la clave DKIM.

    DKIM basado en CNAME

    Con el DKIM basado en CNAME, el registro selector apunta a otro dominio que aloja el material de la clave DKIM. , de Microsoft 365, suele utilizar este modelo y requiere registros CNAME para DKIM en dominios personalizados.

    Ambos modelos admiten la autenticación DKIM válida. La regla principal es respetar exactamente el tipo y el formato de registro que exige el proveedor de correo electrónico. Los equipos no deben imponer registros TXT o CNAME en función de sus preferencias si el proveedor espera o cualquier otra cosa.

    Problemas habituales con los selectores DKIM: resolución de problemas en &

    Los problemas relacionados con el selector suelen ser sencillos de resolver una vez que los equipos saben dónde buscar. Entre los problemas más habituales se encuentran:

    • Discrepancia entre el selector que figura en el encabezado del correo electrónico y el selector publicado en el DNS
    • Registro DKIM ausente u obsoleto
    • Registro DNS con formato incorrecto
    • El selector sigue en uso, aunque los equipos pensaban que ya se había dejado de utilizar

    Estos errores pueden provocar que las comprobaciones de DKIM fallen, contribuir a una configuración incorrecta de DMARC() y perjudicar la capacidad de entrega del correo electrónico. Además, pueden mermar la confianza en el remitente con el paso del tiempo si los fallos de autenticación se repiten de form e en flujos de correo importantes. La solución práctica consiste en comparar, una al lado de la otra, la cabecera de la firma DKIM en tiempo real, el registro DNS « » y la configuración DKIM de la plataforma de envío antes de realizar cualquier cambio.

    Mantener la verificación DKIM bien orientada

    Los selectores DKIM desempeñan un papel sencillo, pero importante, en la autenticación del correo electrónico. Ayudan a los servidores receptores a encontrar la clave pública de adecuada para la verificación DKIM, lo que garantiza que la comprobación de la firma se vincule al registro DNS y al dominio correctos.

    Para las organizaciones que gestionan entornos de envío complejos, Mimecast puede ayudar a mejorar la visibilidad de los protocolos DKIM, SPF y DMARC de en todos los dominios, proveedores y flujos de correo. Herramientas como DKIM Record Checker y DMARC Analyzer resultan especialmente útiles para detectar problemas con los selectores, lagunas en la firma y problemas de autenticación más generales.

    Explorar el analizador DMARC de Mimecast

    Recursos relacionados con el selector DKIM

    Resources_29.jpg
    Email Collaboration Threat Protection

    Get More from Microsoft 365 with Mimecast

    Infographic
    Resources_50.jpg
    Email Collaboration Threat Protection

    Email Security: API-Based Proof of Value

    Datasheet
    tumbnail_senata.png
    Email Collaboration Threat Protection

    How senata Took Back Control of Email Security with Mimecast

    Case Study
    Back to Top