Qué aprenderá en este artículo
- Un dominio puede tener varios registros DKIM siempre que cada uno utilice un selector único.
- Los registros múltiples son habituales en los entornos de correo electrónico modernos en los que diferentes plataformas, como Google Workspace, Microsoft 365, CRM y herramientas de marketing, envían correo desde el mismo dominio.
- El selector DKIM es lo que hace esto posible, porque cada selector apunta a un registro DNS independiente con su propia clave pública.
- Un DKIM bien gestionado favorece una autenticación de correo electrónico más sólida, una mejor capacidad de entrega del correo electrónico y una confianza de dominio más fiable en las comunicaciones de correo electrónico críticas para la empresa.
Las organizaciones modernas rara vez envían todo el correo electrónico desde un mismo lugar. Las plataformas de marketing, los sistemas de asistencia técnica, las suites de productividad y las herramientas transaccionales pueden enviar correo desde el mismo dominio.
Esto plantea una pregunta habitual: ¿se pueden publicar varios registros DKIM en un mismo dominio? Sí, puede, y en muchos casos, debería. La clave está en entender cómo funcionan los selectores y cómo gestionarlos limpiamente a escala.
¿Qué es DKIM?
DKIM, o DomainKeys Identified Mail, es un método de autenticación de correo electrónico que ayuda a verificar que un mensaje fue enviado por un dominio autorizado y no fue alterado en tránsito.
Funciona añadiendo una firma digital al correo electrónico saliente. El servicio emisor firma el mensaje con una clave privada, y el servidor receptor lo verifica utilizando una clave pública coincidente publicada en DNS.
Para las organizaciones, DKIM ayuda a proteger la integridad de los mensajes, reforzar la confianza en los dominios y apoyar los esfuerzos más amplios de seguridad del correo electrónico de. También funciona junto con SPF y DMARC para mejorar los resultados de la autenticación.
Un registro DKIM es la entrada DNS que publica la clave pública utilizada para verificar la firma DKIM de un mensaje . Normalmente se publica como un registro TXT bajo un subdominio basado en un selector, como por ejemplo:
|
selector1._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..." |
En ese ejemplo, selector1 es el selector DKIM, que indica al receptor qué clave debe buscar. Los selectores hacen posible publicar varios registros DKIM en el mismo dominio, lo que ayuda a las organizaciones a separar los servicios de envío, rotar las claves y gestionar la autenticación de forma más limpia.
¿Puedo tener varios registros DKIM en el mismo dominio?
Sí. Puede publicar con seguridad varios registros DKIM en el mismo dominio, y ésta es una configuración normal para muchas organizaciones de .
La razón por la que funciona es sencilla: Los registros DKIM no se encuentran todos en un espacio de nombres plano. Cada uno está vinculado a un selector diferente, por lo que cada registro vive en su propia ubicación DNS. Esa separación evita el conflicto directo.
Por ejemplo, un dominio puede tener:
- mktg._clave.dominio.ejemplo.com
- soporte._dominio.ejemplo.com
- espaciodetrabajo._dominio.ejemplo.com
Cada uno de ellos es un registro DKIM independiente, aunque todos pertenezcan al mismo dominio.
¿Qué se considera una configuración válida?
Una configuración DKIM válida utiliza:
- Un único selector por servicio de envío o caso de uso
- Una clave pública por selector
- Un mapeo claro entre el selector y la plataforma de envío que lo utiliza
Lo que causa problemas es no tener varios registros en general. El problema suele empezar cuando dos sistemas diferentes intentan utilizar el mismo selector, o cuando existen entradas DNS duplicadas para el mismo selector. Eso puede crear fallos de verificación , resultados de búsqueda DNS ambiguos o una autenticación DKIM rota.
Así que la regla segura es Los registros DKIM múltiples están bien cuando cada uno utiliza un selector único.
¿Cuándo pueden las organizaciones utilizar varios registros DKIM?
Muchas organizaciones necesitan más de un registro DKIM porque la infraestructura moderna de correo electrónico está distribuida en muchas herramientas y equipos.
Algunos ejemplos comunes son:
- Microsoft 365 para el correo de los empleados
- Google Workspace para la comunicación empresarial
- Plataformas de automatización del marketing
- Sistemas CRM
- Herramientas de soporte o ticketing
- Sistemas de facturación o correo transaccional
Estos servicios suelen enviar diferentes tipos de correo electrónico desde el mismo dominio, o desde múltiples dominios relacionados, y cada uno de puede requerir su propia clave DKIM.
Las organizaciones también separan los selectores por flujos de correo, como los correos electrónicos transaccionales, los mensajes de correo electrónico de marketing, la infraestructura de envío regional o la comunicación por correo electrónico ejecutiva o de alta confianza. Esto tiene un valor operativo real, ya que separar los selectores de facilita las cosas:
- Asigne la propiedad por plataforma o equipo
- Aislar los problemas cuando un mensaje falla la autenticación
- Gire una llave sin interrumpir otro servicio
- Mantenga un mejor control en entornos informáticos descentralizados
En otras palabras, las múltiples claves DKIM suelen ser un reflejo de cómo funciona realmente el correo electrónico en los entornos empresariales hoy en día.
Cómo añadir varios registros DKIM
Añadir varios registros DKIM suele ser sencillo, pero debe hacerse en una secuencia controlada.
1. Inventariar cada remitente autorizado
Comience por identificar todos los sistemas autorizados a enviar correo electrónico desde el dominio. Esto incluye las principales plataformas de correo electrónico, las herramientas de marketing , los sistemas de asistencia y las aplicaciones de terceros. Si se salta este paso, corre el riesgo de activar DKIM para un remitente mientras deja otros sin autenticar.
2. Generar u obtener la clave DKIM para cada remitente
Cada plataforma de envío generará su propio par de claves o le pedirá que cree uno. El remitente utiliza la clave privada para la firma DKIM, mientras que la clave pública correspondiente se publica en DNS.
3. Asigne un selector diferente a cada servicio
Cada remitente debe utilizar un selector diferente. Esto es lo que permite que coexistan varios selectores en el mismo dominio de forma segura. Los nombres de los selectores deben ser claros y coherentes. Por ejemplo:
- m365
- crm
- marketing-us
4. Publique los registros DNS
Para cada remitente, añada el registro DNS TXT correspondiente a la configuración DNS de su dominio. Cada selector debe apuntar a su propia clave pública.
5. Activar DKIM en la plataforma de envío
Una vez publicado el DNS, active DKIM dentro de la configuración de la aplicación de envío o del servidor de correo para que comience a firmar los mensajes de con ese selector.
6. Valide la configuración
Utilice un comprobador de registros DKIM de o inspeccione la cabecera de correo electrónico de un mensaje de prueba para confirmar que se está utilizando el selector y que la firma valida correctamente.
7. Documentar la propiedad y los cambios
En los entornos empresariales, la gobernanza importa tanto como la configuración técnica. Mantenga registros de:
- Convenciones de nomenclatura de los selectores
- Propietario de la empresa o propietario técnico de cada selector
- Cambiar el historial
- Fechas clave de la rotación
La coordinación entre los equipos de DNS, correo electrónico y seguridad reduce la posibilidad de fallos silenciosos.
Mejores prácticas para gestionar múltiples registros DKIM a escala
A medida que aumenta el número de remitentes, DKIM se convierte menos en una simple configuración y más en una gestión del ciclo de vida. Algunas de las mejores prácticas de marcan una gran diferencia.
Utilice llaves fuertes y rótelas con regularidad
Las claves antiguas o débiles crean un riesgo innecesario. La rotación regular de claves ayuda a mantener la confianza y limita la exposición si una clave se ve comprometida en algún momento.
Utilizar selectores por servicio
Evite utilizar un selector en muchos sistemas. Los selectores por servicio facilitan la resolución de problemas y reducen el radio de explosión de los errores de configuración.
Mantenga la coherencia en la nomenclatura de los selectores
Una convención de nomenclatura ayuda a los equipos a comprender rápidamente para qué sirve cada selector. Esto es más importante a medida que aumenta el número de registros múltiples de .
Mantener un inventario centralizado de remitentes
Debe saber qué servicio envía desde qué dominio, qué selector utiliza, si firma con DKIM y si también se alinea con su registro SPF y su registro DMARC.
Limpiar los registros no utilizados
Los selectores antiguos de sistemas retirados no deben permanecer en el DNS para siempre. La eliminación de las entradas obsoletas reduce el desorden y hace que la supervisión de sea más precisa.
Supervisar el rendimiento de la autenticación
La gestión de DKIM debe formar parte de una supervisión más amplia, no ser una tarea de "configúrelo y olvídese". Las auditorías periódicas le ayudarán a detectar:
- Firmas fallidas
- Las claves caducadas o rotadas no se actualizan en DNS
- Remitentes no autorizados
- Problemas de alineación que afectan a la entregabilidad
Aquí es donde DKIM pasa a formar parte de una estrategia más amplia de autenticación y reducción de riesgos humanos, en lugar de ser una simple casilla de verificación técnica de .
Los registros DKIM múltiples pueden reforzar la autenticación cuando se gestionan bien
Puede tener varios registros DKIM en el mismo dominio, y en muchas organizaciones ese es el enfoque correcto. El requisito clave de es sencillo: cada registro debe utilizar un selector único.
Cuando los selectores están bien gestionados, DKIM favorece la integridad de los mensajes, una mayor confianza en los dominios y una autenticación más fiable del correo electrónico en los modernos entornos de envío basados en la nube.