Selector DKIM no encontrado: causas y cómo solucionarlo
Soluciona el error DKIM selector not found. Aprende qué son los selectores, cómo encontrar el correcto para tu proveedor y cómo verificar tus registros DNS de DKIM.
Selector DKIM no encontrado: causas y cómo solucionarlo
El error "DKIM selector not found" significa que una consulta DNS para tu clave pública DKIM no devolvió resultados. Es uno de los problemas DKIM más habituales y afecta directamente a la entregabilidad de tus correos y al cumplimiento DMARC. La buena noticia: casi siempre se trata de un problema de configuración que es fácil de resolver una vez que identificas la causa raíz.
¿Qué es un selector DKIM?
DKIM (DomainKeys Identified Mail) usa criptografía de clave pública para firmar los correos salientes. El selector es una etiqueta que indica a los servidores receptores dónde encontrar la clave pública en tus registros DNS.
Cuando un email se firma con DKIM, la cabecera de firma incluye un valor de selector:
DKIM-Signature: v=1; a=rsa-sha256; d=tudominio.com; s=google;
h=from:to:subject:date; bh=...; b=...La parte s=google es el selector. El servidor receptor entonces consulta:
google._domainkey.tudominio.comSi ese registro DNS no existe o devuelve un resultado vacío, obtienes el error "selector not found".
Por qué ocurre "Selector Not Found"
Hay cuatro causas habituales:
1. Nombre de selector incorrecto
Es la causa más frecuente. Estás consultando un selector que no coincide con el que tu proveedor de email realmente usa. Cada proveedor tiene su(s) selector(es) por defecto, y no siempre son los que esperarías.
2. Registro DNS no publicado
El registro DKIM no se ha añadido todavía a tu DNS, o se añadió incorrectamente. Esto suele ocurrir cuando:
- Se activó DKIM en el proveedor de email pero el registro DNS nunca se creó
- El registro se añadió en el dominio o subdominio equivocado
- Una migración DNS perdió el registro
3. Retardo en la propagación
Si acabas de añadir el registro DKIM, puede tardar hasta 48 horas en propagarse globalmente, aunque la mayoría de proveedores DNS se actualizan en minutos o pocas horas.
4. Discrepancia entre registro CNAME y TXT
Algunos proveedores (como Microsoft 365) usan registros CNAME que apuntan a sus servidores de claves DKIM, mientras que otros usan registros TXT directos que contienen la clave pública. Usar el tipo de registro equivocado provocará un error "not found".
Selectores DKIM habituales por proveedor
Estos son los selectores DKIM por defecto de los servicios de email más populares. Si estás resolviendo un "selector not found", asegúrate de consultar el correcto:
| Proveedor | Selector(es) | Tipo de registro |
|---|---|---|
| Google Workspace | google |
TXT |
| Microsoft 365 | selector1, selector2 |
CNAME |
| Zoho Mail | zoho |
TXT |
| Mailchimp / Mandrill | k1 |
CNAME |
| SendGrid | s1, s2 |
CNAME |
| Amazon SES | Personalizado (generado por identidad) | CNAME |
| Postmark | 20230601 (basado en fecha, varía) |
CNAME |
| Mailgun | smtp, mailo, o personalizado |
TXT |
| Brevo (Sendinblue) | mail |
TXT |
| HubSpot | hs1, hs2 |
CNAME |
| Yahoo Mail | s1024, s2048 |
TXT |
| FastMail | fm1, fm2, fm3 |
CNAME |
| Proton Mail | protonmail, protonmail2, protonmail3 |
CNAME |
| SparkPost | scph0724 (varía) |
TXT |
| ConvertKit | ck |
CNAME |
Para una referencia completa con pasos de configuración específicos por proveedor, consulta nuestra guía de proveedores de email.
Solución paso a paso
Paso 1: Identifica el selector correcto
Primero, averigua qué selector está usando realmente tu proveedor de email. Puedes:
- Consultar la consola de administración del proveedor — La mayoría de proveedores muestran el selector DKIM y el registro DNS necesario en sus ajustes de autenticación o email.
- Mirar las cabeceras de un email — Abre un correo enviado, visualiza las cabeceras completas y busca la cabecera
DKIM-Signature. El valors=es tu selector. - Usar nuestra herramienta de auto-detección — El verificador de DKIM intenta detectar selectores automáticamente probando los más comunes.
Paso 2: Verifica que el registro DNS existe
Una vez que conoces el selector, comprueba si el registro DNS está publicado. El registro debería estar en:
{selector}._domainkey.tudominio.comPor ejemplo, si tu selector es google y tu dominio es example.com:
google._domainkey.example.comPuedes verificarlo con nuestro verificador de DKIM — introduce tu dominio y selector, y la herramienta te mostrará si el registro existe y si es válido.
Paso 3: Añade o corrige el registro DNS
Si el registro no existe, añádelo en tu proveedor de DNS:
Para un registro TXT (Google Workspace, Zoho, etc.):
| Campo | Valor |
|---|---|
| Tipo | TXT |
| Nombre | google._domainkey (sustituye google por tu selector) |
| Valor | El valor de la clave pública proporcionado por tu proveedor de email |
| TTL | 3600 (1 hora) |
Para un registro CNAME (Microsoft 365, SendGrid, etc.):
| Campo | Valor |
|---|---|
| Tipo | CNAME |
| Nombre | selector1._domainkey (sustituye por tu selector) |
| Valor | El destino CNAME proporcionado por tu proveedor de email |
| TTL | 3600 (1 hora) |
Paso 4: Espera y vuelve a verificar
Después de añadir el registro, espera al menos 15 minutos (o hasta 48 horas dependiendo del proveedor de DNS) y vuelve a verificar con el verificador de DKIM.
Errores habituales
Añadir el dominio completo en el campo de nombre
La mayoría de proveedores DNS añaden tu dominio automáticamente. Si tu selector es google, introduce solo google._domainkey — no google._domainkey.tudominio.com. De lo contrario acabarás con google._domainkey.tudominio.com.tudominio.com.
Usar TXT cuando se requiere CNAME (o viceversa)
Revisa la documentación de tu proveedor con cuidado. Microsoft 365, por ejemplo, requiere registros CNAME que apunten a selector1-tudominio-com._domainkey.tutenant.onmicrosoft.com. Un registro TXT no funcionará.
Olvidar habilitar DKIM en el proveedor
Algunos proveedores requieren que habilites explícitamente la firma DKIM en su consola de administración después de añadir el registro DNS. El registro DNS por sí solo no basta — el proveedor también debe estar configurado para firmar los correos salientes.
Múltiples dominios o subdominios
Si envías email desde un subdominio (como mail.tudominio.com), el registro DKIM debe añadirse para ese subdominio, no para el dominio raíz. La consulta sería:
google._domainkey.mail.tudominio.comDespués de corregir DKIM
Una vez que tu selector DKIM se encuentra y el registro es válido, verifica tu configuración completa de autenticación de email:
- Verificador de SPF → — Asegúrate de que SPF también está configurado
- Verificador de DMARC → — Comprueba que DMARC está activo
- Verificador de cumplimiento de email → — Ejecuta una auditoría completa de los tres protocolos
Monitoriza con DMARC Examiner
Los problemas DKIM no siempre generan errores visibles — los correos pueden seguir entregándose pero fallar el alineamiento DMARC de forma silenciosa. DMARC Examiner monitoriza tus resultados de autenticación de forma continua y te avisa en cuanto los fallos DKIM aumentan, para que puedas solucionar los problemas antes de que afecten a la entregabilidad.
Empieza a monitorizar gratis →
Artículos relacionados:
¿Listo para mejorar la entregabilidad de tus emails?
Empieza a monitorizar tus reportes DMARC y obtén información sobre tu configuración de autenticación.
Comenzar Prueba GratuitaArtículos Relacionados
troubleshootingFirma DKIM inválida: guía de resolución de problemas
Soluciona los errores de validación de firma DKIM. Conoce las causas más habituales de firmas DKIM inválidas y las soluciones paso a paso para restaurar la autenticación de email.
troubleshootingRegistro DMARC no encontrado: cómo solucionar este error
Guía rápida para solucionar el error DMARC record not found. Conoce las causas más habituales y las soluciones paso a paso para que tu registro DMARC funcione correctamente.
troubleshootingRegistro SPF: demasiadas consultas DNS (cómo solucionarlo)
Soluciona el error too many DNS lookups de SPF. Descubre por qué existe el límite de 10 consultas, cómo contarlas y soluciones como el SPF flattening.