Firma DKIM inválida: guía de resolución de problemas

Introducción

Cuando tu firma DKIM falla la validación, tus correos pierden una capa crítica de autenticación. Aunque es posible que sigan entregándose, quedas expuesto al spoofing y puedes experimentar problemas de entregabilidad.

Esta guía cubre las causas más habituales de firmas DKIM inválidas y cómo solucionarlas.

Qué significa "DKIM Signature Invalid"

DKIM añade una firma criptográfica a tus correos. Los servidores receptores verifican esta firma usando tu clave pública (publicada en DNS). Si la verificación falla, verás errores como:

• dkim=fail
• dkim=temperror
• dkim=permerror
• "DKIM signature invalid"
• "DKIM verification failed"

Causas habituales y soluciones

Causa 1: Registro DNS no encontrado o incorrecto

Síntomas:

• dkim=permerror en las cabeceras
• "DKIM public key not found"
• DKIM activado recientemente

Por qué ocurre:

• El registro DNS de DKIM no está publicado
• El nombre del selector es incorrecto
• Hay un error tipográfico en el registro DNS
• El DNS aún no se ha propagado

Solución:

Paso 1: Verifica que el registro DNS de DKIM existe

dig selector._domainkey.tudominio.com TXT

Sustituye selector por tu selector real:

• Google Workspace: google
• Microsoft 365: selector1, selector2
• Mailchimp: k1
• Personalizado: consulta tu proveedor de email

Paso 2: Comprueba el formato del registro

Tu registro DKIM debería verse así:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...

Paso 3: Usa nuestro verificador

Verificador de DKIM →

• Introduce tu dominio
• Introduce el selector
• Comprueba que el registro se encuentra y es válido

Paso 4: Corrígelo si es necesario

• Si no se encuentra el registro: Añade el registro DNS de DKIM
• Si el selector es incorrecto: Usa el selector correcto
• Si el formato es incorrecto: Copia el valor exacto de tu proveedor de email
• Si lo acabas de añadir: Espera 30-60 minutos a la propagación DNS

Causa 2: El contenido del email se modifica en tránsito

Síntomas:

• dkim=fail en algunos correos
• Funciona con algunos destinatarios pero falla con otros
• Las listas de correo fallan con frecuencia

Por qué ocurre:

DKIM firma el contenido del email. Si algo modifica el correo después de la firma, la verificación falla.

Modificadores habituales:

• Software de listas de correo (añade pies de página, prefijos en el asunto)
• Reenvío de email
• Filtros antivirus/antispam (modifican el contenido)
• Clientes de correo (reformatean mensajes)

Ejemplo:

Email original:

Subject: Important Update
Body: Hello, this is our update.

Tras la modificación de la lista de correo:

Subject: [ListName] Important Update
Body: Hello, this is our update.

[Unsubscribe] | [List Info]

La firma DKIM ya no es válida porque el contenido cambió.

Solución:

Para administradores de listas:

1. Configura la lista para que no modifique el asunto
2. Añade los pies de página antes de la firma DKIM (no después)
3. Usa software de listas compatible con DKIM

Para remitentes:

1. Usa un subdominio separado para correos de listas
2. Acepta que algunos correos reenviados fallarán DKIM
3. Asegúrate de que SPF siga pasando (DMARC solo necesita uno)

Para cumplimiento DMARC:

• Usa alineamiento relajado: adkim=r
• Asegúrate de que SPF pasa para el alineamiento
• No es necesario que pasen SPF y DKIM, solo uno alineado

Causa 3: Rotación de claves sin actualización DNS

Síntomas:

• DKIM funcionaba ayer pero hoy falla
• dkim=permerror o dkim=fail
• Cambios recientes en el proveedor de email

Por qué ocurre:

Los proveedores de email rotan periódicamente las claves DKIM por seguridad. Si el DNS no se actualiza con la nueva clave pública, la verificación falla.

Solución:

Paso 1: Comprueba si el proveedor rotó las claves

Consulta o revisa los anuncios de:

• Consola de administración de Google Workspace
• Centro de administración de Microsoft 365
• Panel del proveedor de email

Paso 2: Obtén la nueva clave pública DKIM

La mayoría de proveedores muestran la configuración DKIM actual en su panel de administración.

Paso 3: Actualiza el registro DNS

1. Accede al proveedor de DNS
2. Localiza el registro DKIM existente
3. Actualiza con el nuevo valor de clave pública
4. Guarda y espera 30 minutos

Paso 4: Verifica

Comprobar DKIM →

Prevención:

• Configura monitorización para fallos DKIM
• Suscríbete a las notificaciones por email del proveedor
• Usa automatización para actualizaciones DNS (Terraform, CloudFormation)

Causa 4: Selector incorrecto o múltiples selectores

Síntomas:

• El registro DKIM existe pero la verificación falla
• dkim=permerror

Por qué ocurre:

Tu servidor de email firma con un selector (ej: google) pero el servidor receptor busca un selector diferente, o tienes múltiples configuraciones DKIM en conflicto.

Solución:

Paso 1: Identifica el selector en las cabeceras del email

Envía un correo de prueba, mira las cabeceras y busca:

DKIM-Signature: v=1; a=rsa-sha256; d=tudominio.com; s=selector;

La etiqueta s= muestra el selector usado para la firma.

Paso 2: Verifica el registro DNS para ese selector

dig selector._domainkey.tudominio.com TXT

Paso 3: Corrige la discrepancia

• Si falta el DNS: Añade el registro DKIM para ese selector
• Si el selector es incorrecto: Actualiza la configuración del servidor de email
• Si hay múltiples selectores: Asegúrate de que todos tengan registros DNS válidos

Paso 4: Verifica cada selector

Si usas varios (Google + plataforma de marketing):

• google._domainkey.tudominio.com
• mailchimp._domainkey.tudominio.com
• k1._domainkey.tudominio.com

Prueba cada uno: Verificador de DKIM →

Causa 5: Problemas con la longitud de la clave

Síntomas:

• dkim=fail
• Errores que mencionan la longitud de clave
• Actualización de seguridad reciente

Por qué ocurre:

• Se usan claves de 512 bits obsoletas (demasiado cortas)
• Claves de 1024 bits muy antiguas
• Algoritmos de clave incompatibles

Solución:

Comprueba la longitud actual de la clave:

dig selector._domainkey.tudominio.com TXT

Observa la longitud de la clave pública en el resultado.

Recomendaciones:

• Mínimo: 1024 bits (aceptable)
• Recomendado: 2048 bits (estándar actual)
• Evitar: 512 bits (obsoleto, inseguro)

Cómo actualizar:

1. Genera una nueva clave de 2048 bits en el proveedor de email
2. Publica la nueva clave con un selector diferente
3. Configura el servidor para firmar con el nuevo selector
4. Prueba antes de eliminar la clave anterior
5. Elimina la clave anterior después de 48 horas

Causa 6: Desfase de reloj / Problemas de timestamp

Síntomas:

• dkim=temperror
• Fallos intermitentes
• "Signature timestamp invalid"

Por qué ocurre:

Las firmas DKIM incluyen marcas de tiempo. Si los relojes del remitente o receptor están significativamente desincronizados, la validación falla.

Solución:

Para administradores de servidor:

1. Asegúrate de que los servidores usan NTP (Network Time Protocol)
2. Verifica que la hora es correcta
3. Comprueba la configuración de zona horaria

Para usuarios: Esto suele ser un problema del servidor. Contacta con tu proveedor de email.

Causa 7: Propagación DNS / Problemas de caché

Síntomas:

• DKIM funciona a veces y otras no
• Resultados diferentes según la ubicación
• DNS actualizado recientemente

Por qué ocurre:

Los cambios DNS tardan en propagarse globalmente. Algunos servidores ven el registro antiguo, otros ven el nuevo.

Solución:

Comprueba el estado de propagación:

whatsmydns.net

• Consulta: selector._domainkey.tudominio.com
• Tipo: TXT
• Comprueba globalmente

Espera la propagación completa:

• Habitual: 1-2 horas
• Máximo: 48 horas

Acelera los cambios futuros:

• Baja el TTL antes de hacer cambios (300 segundos)
• Haz los cambios en períodos de bajo tráfico
• Espera antes de cambiar a nuevas claves

Checklist de diagnóstico

Al resolver problemas con DKIM:

• El registro DNS existe

  dig selector._domainkey.tudominio.com TXT

• El selector coincide

  • Comprueba el valor s= en las cabeceras del email
  • Verifica el registro DNS para ese selector

• El formato del registro es válido

  • Empieza con v=DKIM1
  • Contiene p= con la clave pública
  • Sin errores de sintaxis

• No hay modificación del contenido

  • Comprueba si hay una lista de correo o reenvío involucrado
  • Prueba un envío directo (no a través de una lista)

• La clave no ha expirado ni se ha rotado

  • Consulta con el proveedor de email
  • Verifica la clave actual en DNS

• El DNS se ha propagado

  • Consulta desde múltiples ubicaciones
  • Espera el tiempo adecuado

• Sincronización horaria

  • Verifica que los relojes del servidor son precisos

Pruebas de DKIM

Envía un correo de prueba

1. Envía desde tu dominio a una dirección de prueba
2. Mira las cabeceras del email (Mostrar original / Ver fuente)
3. Busca la cabecera DKIM-Signature:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=tudominio.com; s=selector;
        h=from:to:subject:date;
        bh=abc123...;
        b=xyz789...

4. Comprueba Authentication-Results:

✅ Correcto:

dkim=pass header.i=@tudominio.com header.s=selector

❌ Incorrecto:

dkim=fail reason="signature verification failed"
dkim=permerror reason="no key for signature"

Usa herramientas de pruebas

Nuestro verificador de DKIM: Comprobar DKIM →

Mail-tester.com:

1. Visita mail-tester.com
2. Envía un correo a la dirección proporcionada
3. Revisa la puntuación DKIM

Google Admin Toolbox: https://toolbox.googleapps.com/apps/checkmx/

Resolución específica por plataforma

Google Workspace

Problema habitual: DKIM no está habilitado por defecto

Solución:

1. Ve a Google Admin → Apps → Gmail → Autenticar correo
2. Verifica que DKIM está habilitado
3. Comprueba que los registros DNS coinciden con las instrucciones de Google

Guía completa →

Microsoft 365

Problema habitual: Usar el selector incorrecto

Solución:

• Microsoft usa dos selectores: selector1 y selector2
• Ambos deben tener registros DNS
• Comprueba que ambos están correctamente configurados

Guía completa →

Mailchimp / Plataformas de marketing

Problema habitual: Autenticación de dominio no completada

Solución:

1. Verifica el dominio en los ajustes de la plataforma
2. Añade todos los registros DNS de DKIM proporcionados
3. Completa el proceso de verificación

Prevención y monitorización

Configura la monitorización

Los informes DMARC muestran las tasas de éxito/fallo de DKIM:

• Habilita DMARC con la etiqueta rua=
• Revisa los informes semanalmente
• Monitorización automatizada →

Cabeceras de email para comprobaciones puntuales:

• Envía correos de prueba regularmente
• Verifica que aparece dkim=pass en las cabeceras

Buenas prácticas

✅ Usa claves de 2048 bits

• Más seguras que las de 1024 bits
• A prueba de futuro

✅ Rota las claves anualmente

• Mejora la seguridad
• Actualiza el DNS de forma proactiva

✅ Monitoriza los registros DNS

• Auditorías regulares
• Comprobaciones automatizadas

✅ Prueba después de los cambios

• Envía siempre correos de prueba
• Verifica antes de pasar a producción

✅ Documenta los selectores

• Lleva un registro de todos los selectores DKIM en uso
• Anota qué servicios usan qué selectores

Resumen

Los fallos de firma DKIM suelen deberse a:

1. Registro DNS ausente o incorrecto (lo más habitual)
2. Contenido del email modificado por reenvíos o listas
3. Rotación de claves sin actualización DNS
4. Selector incorrecto en la configuración
5. Retardo en la propagación DNS

Solución rápida para la mayoría de casos:

1. Verifica que el registro DNS existe y es correcto
2. Comprueba que el selector coincide
3. Espera a la propagación DNS
4. Envía un correo de prueba

Tiempo estimado:

• Comprobar DNS: 5 minutos
• Corregir registro: 5 minutos
• Propagación DNS: 30-60 minutos
• Verificación: 5 minutos

Siguientes pasos

1. Comprueba el estado de DKIM: Verificador de DKIM →
2. Verifica SPF y DMARC: Domain Score →
3. Monitoriza de forma continua: Activar alertas →

---

Artículos relacionados:

• SPF, DKIM y DMARC: la guía completa
• Registro DMARC no encontrado: cómo solucionarlo
• SPF: demasiadas consultas DNS