Cómo Configurar DKIM en Amazon SES (Easy DKIM vs BYODKIM)

Si tus correos de Amazon SES aparecen como “Entregados” pero aun así llegan a spam, tu configuración de DKIM podría estar incompleta o desalineada.

Por defecto, Amazon SES puede firmar correos usando una firma DKIM de amazonses.com si el DKIM a nivel de dominio no está configurado. Aunque esto autentica técnicamente el mensaje, no autentica tu dominio.

Sin alineación de dominio, los proveedores de buzones no pueden construir una reputación para tu dominio, y DMARC podría fallar. 

Desde 2024, Gmail y Yahoo requieren autenticación alineada para los remitentes masivos. Si estás configurando DKIM para un dominio usando el servicio de correo simple de Amazon, tu objetivo es proteger la entrega en la bandeja de entrada y construir la reputación del dominio. La mayoría de los equipos solo descubren problemas de DKIM después de que los correos empiezan a llegar a spam o fallan la alineación de DMARC.

En este artículo, aprenderás a elegir entre Easy DKIM y BYODKIM, configurarlos correctamente, verificar que funcionan, solucionar fallos comunes y entender por qué la autenticación por sí sola no garantiza la entrega en la bandeja de entrada.

Opciones de DKIM en Amazon SES: ¿Qué método deberías usar?

Al configurar la firma DKIM en Amazon SES, tienes tres opciones. La elección correcta determina cómo se gestiona la firma DKIM. Define quién genera y gestiona las claves DKIM y dónde ocurre la firma del mensaje. En Amazon SES, AWS puede gestionar las claves y el proceso de firma (Easy DKIM), o puedes controlar tú mismo el par de claves pública-privada y la configuración de firma (BYODKIM).

*Nota: La firma manual es menos común en los flujos de trabajo típicos de Amazon SES. En la mayoría de los casos, Amazon SES firma automáticamente los mensajes salientes una vez que DKIM está activado. La firma manual se utiliza principalmente en configuraciones avanzadas donde las aplicaciones firman los mensajes antes de enviarlos o cuando las organizaciones usan un Mail Transfer Agent (MTA) personalizado fuera de SES.

Easy DKIM

Easy DKIM es la opción predeterminada y recomendada para la mayoría de los usuarios de Amazon SES, ya que simplifica la configuración de DKIM y la gestión continua de claves.

Cuando activas Easy DKIM, Amazon SES genera automáticamente el par de claves pública-privada de DKIM y te proporciona los registros CNAME necesarios que debes publicar en el DNS de tu dominio. Una vez que añades los registros, SES se encarga de la firma DKIM para los mensajes salientes y gestiona la rotación de claves internamente.

Solo necesitas publicar los registros CNAME generados en tu DNS y activar DKIM en la consola de Amazon SES. Una vez que la verificación se completa, SES firma automáticamente los correos electrónicos enviados desde tu dominio.

BYODKIM (Trae tu propio DKIM)

BYODKIM es una opción más avanzada que te permite usar tus propias claves DKIM en lugar de las que genera Amazon SES. La mayoría de los usuarios no necesitan esto, pero puede ser útil para organizaciones que requieren una gestión centralizada de claves, políticas específicas de cumplimiento o seguridad, o que ya operan su propia infraestructura DKIM.

Con BYODKIM, generas tu propio par de claves pública-privada, publicas la clave pública como un registro TXT en el DNS de tu dominio y configuras la firma a través de la API de SES o la AWS CLI. Esto te da control total sobre la clave de firma DKIM y cómo se maneja la rotación de claves.

Gestionar DKIM en varias regiones puede volverse repetitivo y propenso a errores porque las identidades de Amazon SES se configuran por separado en cada región de AWS. Este problema suele aparecer en implementaciones multiregión donde las organizaciones envían correos desde varias regiones de AWS, implementan una conmutación por error regional para mayor fiabilidad o ejecutan infraestructura distribuida.

En estas configuraciones, DKIM debe estar habilitado y verificado individualmente en cada región. Amazon SES soluciona esta limitación con una variante especializada de Easy DKIM.

DKIM Determinista (DEED)

Easy DKIM Determinista te permite replicar la misma configuración DKIM en varias regiones de Amazon SES sin generar nuevos registros DKIM en cada una. Simplifica las implementaciones multiregión al asegurar que los mismos selectores DKIM y registros DNS puedan reutilizarse en todas las regiones.

Es importante destacar que Easy DKIM Determinista sigue siendo gestionado por SES. Amazon SES continúa generando las claves DKIM, gestionando el proceso de firma y manejando la rotación de claves automáticamente. Esto significa que mantiene la simplicidad operativa de Easy DKIM, a la vez que facilita el mantenimiento de configuraciones multiregión.

Con DEED, no tienes que crear registros CNAME separados para cada región. En su lugar, los mismos registros DNS pueden funcionar en varias regiones de SES.

Este enfoque es útil cuando:

• Envías correos desde varias regiones de AWS
• Quieres selectores DKIM consistentes en todas las regiones
• Estás implementando una conmutación por error regional o recuperación ante desastres
• Operas una infraestructura de correo distribuida en varias regiones

Esto mantiene la configuración DKIM consistente, evitando la complejidad de gestionar registros separados para cada región.

Consideraciones multiregión en Amazon SES

En Amazon SES, las identidades son regionales.

Cuando verificas un dominio en una región de AWS, esa verificación no se aplica automáticamente a otra región. Cada región mantiene sus propias:

• Identidades verificadas
• Configuración DKIM
• Ajustes de MAIL FROM
• Cuotas de envío

Si envías desde us-east-1 y eu-west-1, DKIM debe configurarse por separado en cada región, a menos que uses Easy DKIM Determinista.

Cómo configurar Easy DKIM en Amazon SES (Paso a paso)

Easy DKIM es la opción recomendada para la mayoría de los usuarios de Amazon SES porque la generación de claves y la firma son gestionadas por SES. Solo necesitas publicar los registros DNS.

Aquí tienes los requisitos que debes tener antes de la configuración.

• Una identidad de dominio verificada.
• Acceso a la configuración DNS de tu dominio.
• Control de tu proveedor de hosting DNS.

Paso 1: Abre las identidades verificadas.

Inicia sesión en la consola de gestión de AWS y luego:

• Abre el dashboard de Amazon SES.
• Ve a Gestión de identidades.
• Selecciona tu dominio.

Revisa la configuración DKIM existente.

Paso 2: Selecciona Easy DKIM.

En la sección DKIM, elige Easy DKIM como método de firma.

Si DKIM se configuró previamente con otro método, revisa las implicaciones de la migración antes de cambiar.

Paso 3: Elige la longitud de la clave (Selecciona 2048-bit).

Selecciona 2048-bit a menos que tengas una limitación DNS antigua.

• Las claves de 2048-bit ofrecen una seguridad criptográfica más fuerte.
• Las claves de 1024-bit son compatibles, pero ya no se recomiendan para uso a largo plazo.

Algunos proveedores DNS pueden tener límites en la longitud de los registros. Los proveedores modernos suelen admitir 2048-bit sin problemas.

Paso 4: Habilita DKIM y genera registros CNAME.

Después de habilitar Easy DKIM, SES genera tres registros CNAME.

Estos registros:

• Publican la clave pública.
• Permiten que SES gestione la firma automáticamente.
• Habilitan la rotación automática de claves.

Paso 5: Añade los registros CNAME a tu DNS.

Copia los tres registros CNAME tal cual.

Errores comunes de configuración incluyen:

• Modificar el nombre del registro
• Añadir sufijos de dominio duplicados
• Recortar el campo de valor
• Formato de TTL incorrecto

Introduce los registros en tu proveedor de DNS y guarda los cambios.

Paso 6: Espera a que se verifique

Amazon SES revisa tus registros DNS de forma periódica y verifica el DKIM automáticamente en cuanto detecta los registros CNAME.

Tiempo de propagación habitual:

• A menudo, en cuestión de minutos
• A veces, unas pocas horas
• Rara vez, hasta 72 horas, dependiendo del TTL del DNS y el caché del proveedor

Si quieres confirmar los registros antes de que SES los detecte, puedes revisarlos tú mismo usando herramientas de búsqueda de DNS o utilidades de línea de comandos como dig o nslookup.

Una vez que los registros se detecten y validen, el estado de DKIM aparecerá como 'Correcto' en la consola de SES.

Cómo configurar BYODKIM en Amazon SES

BYODKIM (Bring Your Own DKIM) te permite usar tu propio par de claves RSA en lugar de las claves generadas por Amazon SES. Este enfoque lo usan comúnmente las organizaciones que quieren mantener selectores y claves DKIM consistentes en varias plataformas o proveedores de servicios de correo electrónico.

Al gestionar las claves tú mismo, puedes reutilizar la misma configuración DKIM en diferentes sistemas de envío, manteniendo un control centralizado sobre las claves de firma.

Cuándo usar BYODKIM

Usa BYODKIM si:

• Necesitas la misma clave DKIM en varios ESPs.
• Tu organización tiene requisitos de cumplimiento o de gestión de claves.
• Quieres selectores consistentes en todos los proveedores y regiones.
• Gestionas el control criptográfico centralizado.

Para la mayoría de los equipos, Easy DKIM es suficiente. BYODKIM se suele elegir por estandarización de infraestructura o por motivos regulatorios. Por ejemplo, las organizaciones que envían desde varios ESPs (como SES, SendGrid y Mailgun) a menudo usan BYODKIM para que cada proveedor firme los emails usando el mismo selector de dominio.

Paso 1: Genera un par de claves RSA

Publicarás la clave pública en el DNS. La clave privada se mantiene segura y se le proporciona a SES.

Paso 2: Prepara la clave pública para el DNS

Abre el archivo DKIM_public.pem y:

• Elimina las líneas de encabezado y pie de página
• Elimina todos los saltos de línea
• Conserva solo la cadena de clave codificada en Base64

Paso 3: Configura BYODKIM en Amazon SES (API v2)

La configuración de BYODKIM se realiza usando la API v2 de SES.

Esto es lo que debes hacer:

• Especifica el nombre del selector
• Proporciona la clave privada codificada en Base64
• Habilita la firma para la identidad del dominio

Paso 4: Publica el registro TXT en el DNS

Paso 5: Verifica el estado de DKIM

Vuelve a la consola de SES y verifica el estado de DKIM para la identidad.

El estado debería cambiar de Pendiente a Exitoso después de la propagación del DNS.

Solución de problemas con BYODKIM

1. Errores de formato Base64

• Elimina -----BEGIN PUBLIC KEY----- y -----END PUBLIC KEY-----
• Elimina todos los saltos de línea
• Asegúrate de que no se incluyan espacios adicionales

Un formato incorrecto es la causa más común de fallos en la validación.

2. Problemas con los saltos de línea en el DNS

Los registros TXT de DNS deben contener la clave pública en una sola línea lógica. Algunos proveedores de DNS dividen los valores largos automáticamente. Confirma que el registro final publicado esté intacto.

3. Validación de la longitud de la clave

SES soporta claves de 1024 bits y 2048 bits.
Se recomienda 2048 bits para los estándares de autenticación modernos.

Si SES rechaza la clave:

• Confirma que la longitud de la clave sea correcta
• Confirma el formato RSA
• Asegúrate de que las claves pública y privada coincidan

BYODKIM te da control total sobre la firma DKIM, pero necesitas manejar las claves con cuidado y ser preciso con el DNS.

Luego, vamos a verificar si SES está firmando correctamente y si los proveedores de buzones reconocen la firma.

Cómo verificar que tu DKIM de Amazon SES funciona

Activar DKIM no es lo mismo que confirmar que funciona en producción. Para verificarlo, tienes que revisar tanto el estado de SES como el comportamiento de los correos en vivo.

Usa la siguiente lista para verificar que la firma DKIM está funcionando bien.

Paso 1: Confirma el estado de DKIM en SES

En la consola de Amazon SES, abre tu dominio en "Verified Identities".

El estado de DKIM debe mostrar: Successful (Exitoso)

Si muestra Pending (Pendiente), la validación de DNS no está completa.
Si muestra Failed (Fallido), revisa el formato del DNS.

Esto confirma que Amazon SES reconoce tus registros DNS. Sin embargo, no confirma que los proveedores de buzones reconozcan la firma DKIM.

Paso 2: Revisa los headers del email

Envía un email de prueba a Gmail o a otro buzón y abre los headers completos del mensaje.

Busca:

• DKIM-Signature
• d=yourdomain.com

Si solo ves:

• d=amazonses.com

entonces tu firma DKIM personalizada no se está aplicando.

Confirma también:

• DKIM=pass
• header.d=yourdomain.com

Si tu DKIM falla o no está, la autenticación se desalineará con DMARC.

Paso 3: Valida tus registros DNS públicamente

Aunque SES te diga “Successful,” confirma que los registros se vean públicamente.

Usa el DKIM checker de MailReach para lo siguiente:

• Validar el formato de los registros
• Confirmar la visibilidad del selector
• Detectar problemas de truncamiento
• Identificar fallos en la propagación de DNS

Paso 4: Haz una prueba de entregabilidad

Que SES te diga “Delivered” solo significa que el servidor de destino aceptó el mensaje. No quiere decir que haya llegado a la bandeja de entrada.

Que la autenticación funcione no te asegura que el email llegue a la bandeja de entrada.

Haz una prueba de entregabilidad de emails para ver:

• Si llega a la bandeja de entrada o a spam
• Cómo lo clasifica Gmail
• Dónde lo coloca Outlook y Yahoo
• Resultados de autenticación
• Si está en alguna blacklist

Aquí es donde muchos equipos se dan cuenta de que, aunque el DKIM esté bien, las señales de reputación mandan los mensajes a spam. Herramientas como el spam test de MailReach te ayudan a descubrir estos problemas, mostrándote cómo los proveedores de buzones clasifican tus emails y dónde necesitas hacer ajustes.

La verificación te asegura:

1. Que SES reconozca tu configuración de DKIM
2. Que los proveedores de buzones validen tu firma
3. Que tu dominio esté bien alineado
4. Que tus emails lleguen a la bandeja de entrada, y no solo al servidor de destino

Ahora, vamos a ver los fallos de DKIM más comunes en Amazon SES y cómo solucionarlos.

Cómo solucionar problemas comunes de DKIM en Amazon SES

Aunque lo configures bien, los problemas de DKIM en Amazon SES suelen seguir unos patrones bastante predecibles. Usa los escenarios de abajo para encontrar la causa principal.

Problema 1: DKIM se queda atascado en "pendiente"

Si el estado de DKIM sigue en Pendiente en la consola de Amazon SES, SES no puede validar tus registros DNS.

Causas comunes:

• Retraso en la propagación de DNS
• Nombre de host CNAME incorrecto
• Sufijo de dominio duplicado añadido por el proveedor de DNS
• Registro publicado como TXT en lugar de CNAME
• Registros DKIM antiguos en conflicto todavía presentes

Solución:

• Confirma que los tres registros CNAME coinciden exactamente con SES
• Verifica que tu proveedor de DNS no añadió automáticamente el nombre de dominio
• Usa una herramienta pública de búsqueda de DNS para confirmar la visibilidad
• Verifica la configuración de TTL

Si los registros son visibles públicamente pero SES sigue mostrando Pendiente después de un tiempo prolongado, abre un caso de soporte con AWS.

Problema 2: Correos electrónicos sin firma DKIM

DKIM aparece como "Exitoso", pero los correos salientes no contienen la firma de tu dominio.

Causas comunes:

• DKIM activado en la identidad del dominio pero enviando desde un subdominio diferente
• Identidad de correo electrónico que anula la identidad del dominio
• DKIM no activado en el nivel de identidad correcto
• Enviando desde una región de AWS diferente
• Aplicación configurada para usar el endpoint de SES incorrecto

En Amazon SES, las identidades son regionales. Si envías desde us-east-1 pero solo configuraste DKIM en eu-west-1, los mensajes de la región no configurada no usarán la firma de tu dominio.

Verifica:

• La región de envío
• El dominio 'From' exacto
• Configuración de DKIM a nivel de identidad

Problema 3: DKIM pasa, pero los correos siguen yendo a spam

Este es el malentendido más común.

DKIM prueba la integridad del mensaje y la autenticidad del dominio. No garantiza que los correos lleguen a la bandeja de entrada.

Los proveedores de correo evalúan señales adicionales, como:

• Reputación del remitente
• Tasas de engagement
• Tasas de quejas
• Antigüedad del dominio
• Reputación de la IP
• Picos de volumen
• Patrones de contenido
• Alineación de SPF
• Política de DMARC

Un dominio con DKIM válido pero con mala reputación aún puede terminar en spam.

Si DKIM pasa pero la llegada a la bandeja de entrada es inestable, haz un spam test para diagnosticar:

• Alineación de autenticación
• Patrones que activan el spam
• Llegada a la bandeja de entrada en Gmail, Outlook y Yahoo

Esto separa los problemas de autenticación de los problemas de reputación.

Problema 4: Configuración de DKIM multirregión

Amazon SES no comparte la configuración de DKIM entre regiones.

Si verificas y configuras DKIM en una sola región:

• Los correos de esa región se firmarán correctamente
• Los correos de otras regiones podrían recurrir a la firma predeterminada

Esto crea un comportamiento de autenticación inconsistente y puede debilitar la confianza en el dominio con el tiempo.

Audita todas las regiones de envío activas y confirma que DKIM esté configurado intencionalmente en cada una.

Problema 5: Correo de revocación de DKIM de SES

Amazon SES revisa periódicamente los registros DNS.

Si los registros CNAME o TXT necesarios se eliminan o modifican:

• El estado de DKIM cambia
• La firma podría detenerse
• Podrías recibir una notificación de revocación

Esto puede pasar después de:

• Migraciones de DNS
• Cambios de proveedor
• Limpieza accidental de registros
• Transferencias de dominio

Si ocurre la revocación:

1. Vuelve a publicar los registros correctos
2. Espera la verificación
3. Confirma la firma en los encabezados del email

Siempre vuelve a verificar DKIM después de cambios en la infraestructura DNS.

Estos pasos de solución de problemas separan los errores de configuración de los problemas de bandeja de entrada relacionados con la reputación.

A continuación, completamos el "stack" de autenticación con SPF y DMARC.

Completando el "Stack": DKIM + SPF + DMARC para Amazon SES

La autenticación funciona como un sistema. Cada protocolo tiene un rol distinto:

Que DKIM y SPF pasen por separado no basta. DMARC exige una alineación entre el dominio 'From' visible y el dominio autenticado.

Si SPF usa un dominio MAIL FROM de Amazon y DKIM no está alineado, DMARC puede fallar aunque la autenticación técnicamente pase.

Para un proceso de implementación completo paso a paso que cubra la configuración de SPF, la configuración de MAIL FROM personalizado y la estrategia de aplicación de DMARC, consulta la guía de MailReach sobre la implementación de SPF, DKIM y DMARC.

Con la autenticación alineada, lo que queda es la reputación y la ubicación en la bandeja de entrada. 

¿Por qué la autenticación por sí sola no arreglará tu entregabilidad?

La autenticación es la base. No es un factor de clasificación para la bandeja de entrada.

DKIM, SPF y DMARC confirman que tienes permiso para enviar. No le dicen a los proveedores de correo si los usuarios quieren tus emails.

Cuando empiezas a enviar desde un dominio nuevo en Amazon SES, ese dominio no tiene historial de reputación. Los proveedores de correo evalúan las señales de comportamiento antes de decidir dónde colocar tus emails.

Evalúan:

• Consistencia del historial de envíos
• Señales de engagement, como las respuestas
• Tasas de rebote
• Tasas de quejas
• Picos de volumen
• Reputación de la IP

Un dominio completamente autenticado con poco engagement o aumentos agresivos de volumen aún puede terminar en spam.

La autenticación te pone en consideración. La reputación determina dónde terminan tus emails.

Antes de escalar campañas, establece un historial de envíos de forma gradual, monitorea las métricas de engagement y rastrea la ubicación en la bandeja de entrada en los principales proveedores. Sin una buena gestión de la reputación, la autenticación por sí sola no estabilizará la entregabilidad.

Convierte la autenticación de SES en estabilidad en la bandeja de entrada

Una vez que DKIM, SPF y DMARC estén bien configurados, el siguiente paso es gestionar la reputación.

Para estabilizar la ubicación en la bandeja de entrada:

• Haz email warmup a los nuevos dominios gradualmente
• Evita picos repentinos de volumen
• Monitorea la ubicación en la bandeja de entrada con regularidad
• Prueba antes de lanzar campañas grandes

Los dominios SES nuevos empiezan sin confianza histórica. Los proveedores de buzones evalúan el comportamiento con el tiempo. Los aumentos graduales de volumen y las señales de interacción consistentes reducen el riesgo de ser clasificado como spam.

La autenticación demuestra legitimidad. Un comportamiento de envío consistente genera credibilidad.

MailReach ayuda a los usuarios de Amazon SES a pasar de estar "autenticados" a "llegar consistentemente a la bandeja de entrada" al:

• Haciendo email warmup de dominios SES de forma segura
• Generando señales de interacción positivas
• Monitoreando la ubicación en la bandeja de entrada en más de 35 proveedores de buzones
• Detectando problemas de spam a tiempo, antes de que afecten tus ingresos

Si estás enviando a través de Amazon SES, no te quedes solo en la autenticación. Crea y monitorea tu reputación antes de escalar con MailReach.