Qué aprenderá en este artículo
- DKIM de Google Workspace ayuda a verificar el correo electrónico saliente con una firma criptográfica, lo que favorece una autenticación de correo electrónico más sólida, la confianza en el dominio y una mejor capacidad de entrega del correo electrónico.
- Antes de empezar, confirme que su dominio está verificado, que Gmail está activo para ese dominio y que su equipo tiene acceso operativo a la configuración DNS correcta en el host del dominio.
- El flujo de configuración básico es sencillo: genere la clave en la consola de administración de Google, publique el registro TXT en DNS y, a continuación, vuelva y haga clic en Iniciar autenticación.
- DKIM es más fuerte cuando se combina con SPF y DMARC como parte de una estrategia más amplia de seguridad del correo electrónico.
La configuración de DKIM en Google Workspace es una de las formas más prácticas de reforzar la confianza en el correo electrónico saliente. Cuando se configura correctamente, ayuda a los destinatarios a verificar que sus mensajes son legítimos, mejora la capacidad de entrega y dificulta la suplantación de identidad en .
Esta guía recorre el proceso de configuración, los errores más comunes y cómo conectar DKIM con SPF, DMARC y la seguridad más amplia del correo electrónico .
¿Qué es DKIM y por qué es importante?
DKIM, o DomainKeys Identified Mail, es un método de autenticación de correo electrónico que permite a un sistema de envío adjuntar una firma criptográfica al correo electrónico saliente. El sistema de correo del destinatario utiliza la clave pública publicada en DNS para validar la firma DKIM de y confirmar que el mensaje fue autorizado por el dominio remitente y no fue alterado en tránsito.
Hay varias razones por las que DKIM es importante para la seguridad y la autenticación del correo electrónico:
- Ayuda a verificar la integridad de los mensajes
- Refuerza la confianza en el correo electrónico de su dominio
- Admite una mejor ubicación en la bandeja de entrada y entregabilidad cuando se combina con SPF y DMARC
Vea cómo Mimecast DMARC Analyzer puede simplificar la supervisión, la elaboración de informes y la aplicación en todos sus dominios.
Requisitos previos antes de configurar DKIM
Antes de iniciar la configuración DKIM del espacio de trabajo de Google, asegúrese de que se han establecido los elementos básicos. El flujo de configuración de Google asume que el dominio ya está activo para Gmail y que el administrador puede realizar cambios tanto en Workspace como en la capa DNS.
Debería confirmarlo:
- La verificación del dominio se ha completado en Google Workspace.
- Usted o un compañero de equipo tiene acceso al proveedor o registrador DNS del dominio.
- La configuración del manejo del equipo puede trabajar con registros DNS, incluyendo un nuevo registro de texto, nombres de selector y valores TXT.
- Gmail ya está activado para ese dominio en Google Workspace antes de intentar generar la clave DKIM.
Si Gmail se habilitó recientemente para el dominio, es posible que Google no le permita generar la clave DKIM inmediatamente en la consola de administración de Google Workspace. Este periodo de espera es normal y puede retrasar el siguiente paso.
También ayuda revisar primero su ruta de correo saliente. DKIM puede romperse si se modifican los mensajes después de firmarlos. Eso puede ocurrir cuando las pasarelas de salida, las herramientas de correo seguro o los servicios de enrutamiento cambian las cabeceras o el cuerpo de los mensajes después de aplicar la firma .
Tras confirmar que dispone de los requisitos necesarios, ya puede proceder a configurar DKIM en Google Workspace.
Paso 1: Generar la clave DKIM en Google Workspace
El primer paso consiste en generar la clave DKIM en la consola Admin. En el flujo documentado de Google, vaya a:
Consola de administración > Apps > Google Workspace > Gmail > Autenticar correo electrónico
A partir de ahí, seleccione el dominio correcto antes de generar el registro. Esto es importante en entornos con varios dominios o subdominios, porque la configuración DKIM es específica de cada dominio.
Cuando haga clic en Generar nuevo registro, Google le pedirá que tome dos decisiones clave:
- Longitud de bits de la clave DKIM: Google recomienda 2048 bits si su proveedor de dominio lo admite; 1024 bits es la opción alternativa para hosts con limitaciones de longitud de TXT.
- Selector: Google utiliza el selector por defecto Google, lo que suele estar bien a menos que ese selector ya esté en uso. Si lo es, elija en su lugar un selector de prefijo u otro selector claro y único.
Paso 2: Publicar el registro DKIM TXT en DNS
Después de que Google genere la clave, deberá añadir el registro DNS DKIM en el host de su dominio. Google proporciona dos valores importantes :
- Nombre de host, como Google._domainkey
- Valor TXT, que comienza por v=DKIM1; e incluye la clave pública (p=)
Añada ese registro TXT al área de gestión de DNS de su registrador o proveedor de DNS y guárdelo. Se trata del registro DNS real que los sistemas receptores consultarán durante la autenticación DKIM.
Si su proveedor admite varios fragmentos de registro DNS TXT para valores largos, siga exactamente sus normas de formato. Si no, el registro puede publicarse incorrectamente aunque el texto parezca correcto en la consola.
Paso 3: Iniciar la autenticación DKIM en Google Workspace
Una vez publicada la entrada DNS, vuelva a la consola de administración de Google y vaya a:
Apps > Google Workspace > Gmail > Autenticar correo electrónico
Seleccione el mismo dominio y haga clic en Iniciar autenticación, pero sólo después de que se haya añadido realmente el registro DNS. El estado de éxito documentado por Google es que la página cambia para indicar que el dominio está autenticando el correo electrónico con DKIM.
Es normal que la consola muestre un estado de advertencia o pendiente durante un tiempo, incluso cuando la actualización del DNS es correcta. Ese retraso de suele deberse a la propagación del DNS, no a una configuración defectuosa.
Paso 4: Verificar que DKIM funciona
No asuma que la instalación ha tenido éxito sólo porque el registro esté publicado. Es igualmente importante probar el flujo de correo en directo.
Para ello, envíe un mensaje de prueba desde la cuenta configurada a un buzón de Gmail o Google Workspace independiente, no al buzón del mismo remitente de . Google señala específicamente que no se puede verificar DKIM enviándose a sí mismo un mensaje de prueba.
A continuación, abra el mensaje recibido en Gmail y utilice Mostrar original para inspeccionar las cabeceras. Quiere confirmar que DKIM pasa para el selector y el dominio esperados. Es la forma más directa de validar la firma en directo.
Los métodos de verificación más rápidos son:
- Comprobación de las cabeceras de los mensajes en Gmail
- Ejecutar una búsqueda DNS para confirmar que la clave pública del selector es visible
Un verificador de registros DKIM de también puede ayudar a confirmar que el registro está publicado, pero debe tratarse como un complemento, no como un sustituto de la verificación del encabezado . Un registro DNS visible por sí solo no prueba que el correo electrónico en directo se esté firmando correctamente.
Paso 5: Solucionar problemas comunes de DKIM de Google Workspace
Las causas más comunes de problemas con DKIM después de la configuración son sencillas:
- Retraso en la propagación del DNS
- Nombre de host o selector incorrectos
- Valores TXT truncados
- Selección de un dominio erróneo en la consola de administración
Incluso cuando el registro DNS es correcto, DKIM puede fallar si algo modifica el mensaje después de que Google lo firme. Ese incluye los cambios realizados por pasarelas, herramientas de filtrado o plataformas de correo seguro. En esos casos, el problema no es el propio registro , sino la ruta del mensaje.
Esto se vuelve más complejo en entornos empresariales en los que plataformas de terceros envían en nombre del mismo dominio. La firma de correo de Google Workspace sólo cubre el correo enviado a través de los sistemas de Google. Si un CRM, una plataforma de marketing o una herramienta de venta de entradas también envía desde ese dominio, es posible que necesite su propio selector diferente, su propia configuración de firma y su propia revisión de alineación.
Paso 6: Conectar DKIM con SPF, DMARC y una seguridad del correo electrónico más amplia
DKIM es un control importante, pero es más fuerte como parte de una estrategia por capas. Google recomienda configurar SPF, DKIM y DMARC juntos para sus dominios. Esos métodos funcionan como una pila:
- DKIM firma el mensaje
- Sender Policy Framework valida si la infraestructura de envío está autorizada
- DMARC en Google aplica políticas e informes cuando falla la autenticación
Esto significa que su proyecto DKIM del espacio de trabajo de Google debe estar junto a su registro SPF y su registro DMARC, no separado de ellos. Si utiliza Google como remitente, la orientación SPF de Google suele hacer referencia a un SPF include como include:_spf.google.com; Sólo asegúrese de que la sintaxis final del SPF es correcta para su entorno.
Cuando se aplican conjuntamente, estos controles reducen la suplantación de identidad, mejoran la entregabilidad del correo electrónico y ayudan a generar confianza en el correo electrónico de ejecutivos y empleados de . También contribuyen a la reducción del riesgo humano al hacer que la suplantación de identidad y los correos electrónicos sospechosos sean más difíciles de enviar con éxito.
Configure Google Workspace DKIM para reforzar la confianza
Los pasos de configuración para Google Workspace DKIM no son complicados, pero requieren una cuidadosa coordinación entre Workspace, DNS y el flujo de correo. Genere la clave en la consola de administración de Google Workspace, publique el registro TXT correctamente, inicie la autenticación sólo después de que el DNS esté activo y verifique los resultados mediante la inspección de encabezados en vivo.
Y lo que es más importante, trate el DKIM como parte de una estrategia más amplia de seguridad del correo electrónico. Cada dominio remitente necesita su propia configuración válida de , y los mejores resultados a largo plazo se obtienen cuando DKIM se combina con SPF y DMARC para una protección más sólida, mayor confianza y una capacidad de entrega más fiable.