Herramientas de diagnóstico de red

Comprobación DKIM

Encuentra y valida tu clave pública DKIM

esc
Tu IP 8.8.8.8 o google.com

DNS y registros

Consulta DNS Todos los registros DNS de cualquier dominio Consulta de registro A Direcciones IPv4 de un dominio Consulta de registro AAAA Direcciones IPv6 de un dominio Consulta MX Servidores de correo de un dominio Consulta NS Servidores de nombres autoritativos Consulta TXT Registros TXT, SPF, verificación Consulta CNAME Registros de nombre canónico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localización de servicios Consulta CAA Qué CAs pueden emitir certificados DNS inverso (PTR) Dirección IP a nombre de host Comprobación DNSSEC ¿Está el dominio firmado y validado? Diagnóstico DNS Un informe completo de delegación y DNS

Entregabilidad de correo

Comprobación SPF Valida tu registro Sender Policy Framework Comprobación DMARC Inspecciona y califica tu política DMARC Comprobación DKIM Encuentra y valida tu clave pública DKIM Comprobación de lista negra Comprueba una IP contra listas negras de correo (DNSBLs) Test SMTP Conecta a un servidor de correo y comprueba STARTTLS Comprobación MTA-STS Política TLS forzada para el correo entrante Comprobación BIMI Registro del logo de marca para el correo Comprobación TLS-RPT Política de informes de TLS de SMTP

Red y web

Comprobación de certificado SSL Inspecciona el certificado TLS de un sitio y su caducidad Comprobación de cabeceras HTTP Inspecciona cabeceras de respuesta, redirecciones y seguridad Ping (TCP) Accesibilidad y latencia sobre TCP Comprobación de puertos Qué puertos comunes están abiertos

Dominio

Consulta WHOIS Datos de registro de dominios, IPs y ASNs

¿Qué es un registro DKIM?

DKIM añade una firma criptográfica a tu correo saliente; los receptores la verifican contra una clave pública que publicas en el DNS en selector._domainkey.tu-dominio. Como el DNS no ofrece forma de listar los selectores, IPeek sondea los selectores usados por Google, Microsoft, Amazon SES y otros grandes proveedores.

Cómo funcionan la firma y la verificación DKIM

Cuando envías correo, tu proveedor firma cabeceras seleccionadas y el cuerpo con una clave privada, añadiendo una cabecera DKIM-Signature al mensaje. El receptor lee las etiquetas d= (dominio) y s= (selector) de esa cabecera, obtiene la clave pública correspondiente en selector._domainkey.d y verifica la firma. Si valida, el contenido no se alteró en tránsito y procede genuinamente de un titular de la clave para ese dominio. La clave privada permanece en el servidor de envío; solo la clave pública vive en el DNS.

Selectores y la clave pública en el DNS

Un selector permite que un mismo dominio publique varias claves DKIM, útil para la rotación o para distintos servicios de envío. La clave pública es un registro TXT en selector._domainkey.tu-dominio, como google._domainkey.example.com, que contiene v=DKIM1; k=rsa; p=<clave pública en base64>. Como el DNS no ofrece un directorio de selectores, no puedes simplemente preguntar cuáles usa un dominio. Por eso IPeek sondea los selectores habituales usados por Google (google), Microsoft, Amazon SES y otros grandes proveedores para localizar tus claves publicadas.

Cómo se relaciona DKIM con SPF y DMARC

DKIM es la capa de autenticación de contenido de las tres. Mientras SPF autoriza hosts de envío por IP, DKIM demuestra criptográficamente que las cabeceras y el cuerpo de un mensaje no se manipularon y lo vincula a un dominio firmante. DMARC comprueba después que el dominio firmante de DKIM se alinea con la dirección From visible. DKIM tiene una ventaja clave sobre SPF: como la firma viaja con el mensaje, sobrevive al reenvío, que a menudo rompe SPF. Para una entregabilidad sólida, publica DKIM y alinéalo bajo DMARC.

Preguntas frecuentes

¿Qué es un selector DKIM?

Un selector es una etiqueta que apunta a una clave pública DKIM concreta en el DNS, permitiendo que un mismo dominio publique varias claves para la rotación o para distintos servicios de envío. Aparece como la etiqueta s= en la cabecera DKIM-Signature y forma parte de la ubicación DNS selector._domainkey.tu-dominio. Por ejemplo, Google Workspace suele usar el selector google.

¿Por qué no encuentro mi registro DKIM?

Los registros DKIM viven en selector._domainkey.tu-dominio, y el DNS no ofrece forma de listar qué selectores usa un dominio, así que tienes que conocer el selector para consultarlo. Cada proveedor usa selectores distintos. IPeek resuelve esto sondeando los selectores habituales usados por Google, Microsoft, Amazon SES y otros grandes proveedores para localizar tus claves publicadas automáticamente.

¿Dónde se almacena una clave pública DKIM?

Una clave pública DKIM se publica como registro TXT en el DNS en selector._domainkey.tu-dominio; por ejemplo, google._domainkey.example.com. El registro contiene etiquetas como v=DKIM1; k=rsa; p= seguidas de la clave pública codificada en base64. La clave privada correspondiente permanece en tu servidor de correo saliente y nunca se publica. Los receptores obtienen la clave pública para verificar cada firma.

¿Sobrevive DKIM al reenvío de correo?

Sí, en la mayoría de los casos. Como la firma DKIM viaja dentro de las cabeceras del mensaje, sigue siendo válida tras el reenvío siempre que las cabeceras firmadas y el cuerpo no se modifiquen. Es una gran ventaja sobre SPF, que suele romperse al reenviar porque cambia la IP de envío. También es la razón por la que DMARC puede pasar vía DKIM cuando SPF falla en el correo reenviado.

¿Cuál es la diferencia entre DKIM y SPF?

SPF autoriza qué hosts pueden enviar correo en nombre de tu dominio comprobando la IP de envío, mientras que DKIM firma criptográficamente cada mensaje para que los receptores puedan verificar que su contenido no se alteró y que procede de tu dominio. SPF valida la ruta; DKIM valida el mensaje. Son complementarios, y DMARC vincula ambos a tu dirección From visible.

Herramientas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어