Cómo configurar DKIM y, por fin, hacer que tus cold emails lleguen a la bandeja de entrada

Si estás configurando un nuevo dominio para enviar correos electrónicos en frío y tu correo electrónico tiene un formato similar a outreach.tuempresa.com, lo primero que debes hacer es autentificarlo correctamente. 

Sin eso, los proveedores de bandejas de entrada como Gmail y Outlook probablemente tratarán tus correos electrónicos como sospechosos. Y con los filtros cada vez más estrictos en 2024, incluso los remitentes de bajo volumen están viendo cómo los correos electrónicos legítimos terminan en la carpeta de spam.

Configurar DKIM es la forma de demostrar que tus correos electrónicos son reales, que no han sido falsificados ni manipulados.

Si falta, es posible que ya estés viendo:

❌ Errores «DKIM faltante» en tu herramienta de calentamiento 

❌ Encabezados de Gmail que muestran dkim=fail

❌ Campañas con bajo rendimiento , con pocos aperturas, alta clasificación como spam y sin respuestas.

En esta guía, le explicaremos paso a paso cómo configurar DKIM, dependiendo de su configuración:

• Si utilizas Google Workspace, te mostraremos cómo generar y activar DKIM en la consola de administración.

• Si utilizas Microsoft 365, te explicaremos cómo configurarlo en el portal de Defender.

• Si utilizas un dominio personalizado en GoDaddy o Cloudflare, te mostraremos cómo añadir los registros correctos manualmente, incluso si nunca antes has utilizado DNS.

Inicio rápido: elige tu ruta DKIM

• ¿Utilizas Gmail (Google Workspace)? Configúralo en la Consola de administración de Google.
  
• ¿Utilizas Outlook (Microsoft 365)? Configúralo en Microsoft Defender + DNS.
  
• ¿Utilizas un dominio personalizado con herramientas como Instantly, Smartlead o ActiveCampaign? Añade registros DKIM en tu proveedor de DNS (como GoDaddy).

Cómo funciona DKIM

Cada vez que envías un correo electrónico, DKIM le añade una firma digital invisible. Esa firma demuestra dos cosas:

1. El correo electrónico realmente proviene de tu dominio.
   
2. El contenido no se modificó después de pulsar enviar.

Así es como funciona en términos sencillos:

• Tu sistema de correo electrónico utiliza una clave privada para «firmar» cada correo electrónico de forma oculta.
  
• Esa firma se adjunta al encabezado del correo electrónico (usted no la ve, pero los servidores de correo electrónico sí).
  
• Cuando se recibe el correo electrónico, el servidor de correo busca su clave pública, que está almacenada en los registros DNS de su dominio.
  
• Utiliza la clave pública para verificar la firma.
  
  
  • Si la coincidencia es correcta: el correo electrónico pasa la verificación DKIM.
    
  • Si no es así: puede ser marcado como sospechoso.
    

A menudo verás esto aparecer en los encabezados de tus correos electrónicos como algo así:
dkim=pass header.i=@yourcompany.com

Si esa línea no aparece o dice dkim=fail, es más probable que tus correos electrónicos terminen en la carpeta de spam o sean bloqueados por completo.

Por qué DKIM es ahora más importante que nunca

En 2024, Gmail y Yahoo comenzaron a aplicar requisitos estrictos para cualquier persona que enviara más de 5000 correos electrónicos al día, incluyendo el tráfico de contacto en frío y de calentamiento. DKIM ya no es opcional si quieres que tus correos electrónicos lleguen a su destino.

Incluso si envías menos de 5000 correos electrónicos, no superar las comprobaciones DKIM te pone en la vía rápida hacia el spam. Por eso, herramientas de entregabilidad como MailReach comprueban que el registro DKIM sea válido.

Si ves un error «DKIM faltante» en MailReach, significa que tus correos electrónicos no están firmados y que bandejas de entrada como Gmail no pueden verificar que realmente provienen de ti.

Hasta que eso se solucione, tu divulgación será invisible o se marcará como poco fiable. DKIM es uno de los primeros y más importantes pasos para ser visible.

Antes de configurar DKIM: lo que necesitarás

1. Acceso a la configuración DNS de tu dominio

Deberá iniciar sesión en su proveedor de DNS, como GoDaddy, Cloudflare o Namecheap, para añadir un registro TXT o CNAME. Si no tiene acceso, solicítelo a la persona que gestiona su dominio.

2. Acceso a su plataforma de envío de correos electrónicos

Las claves DKIM se generan dentro de la plataforma que envía tus correos electrónicos, Google Workspace, Microsoft 365, Zoho o Mailgun. 

Esa plataforma debe estar configurada para firmar tus correos electrónicos antes de añadir el registro DNS.

3. Claridad sobre quién envía correos electrónicos desde tu dominio.

Los correos electrónicos fríos pueden pasar por herramientas como Instantly, Smartlead o Lemlist. Los correos electrónicos de marketing pueden provenir de Mailchimp o Brevo.

Los correos electrónicos transaccionales pueden enviarse a través de SendGrid, Postmark o Amazon SES.

Cada uno suele necesitar su propio registro DKIM con un selector único. Si utilizas varias herramientas, tendrás que añadir varios registros.

4. Una forma de comprobar si funciona.

No des por sentado que funciona después de publicar el registro. Es recomendable verificar que los correos electrónicos se estén firmando realmente.

Utiliza el verificador DKIM gratuito de MailReach para hacerlo una vez que hayas terminado la configuración. Más adelante en este artículo explicamos cómo hacerlo (desplázate hasta la parte inferior). 

Cómo configurar DKIM

La configuración de DKIM varía en función del proveedor de correo electrónico. A continuación se indican las plataformas más comunes. Elija la que utilice y siga los pasos exactos. 

Configurar DKIM en Google Workspace (Gmail)

1. Inicie sesión en la Consola de administración de Google con una cuenta de superadministrador. Esta es la cuenta de administrador principal que se utiliza para configurar Google Workspace para su dominio. Si no tiene acceso a ella, deberá solicitarlo a su administrador de TI o al administrador del dominio.

Una vez que hayas iniciado sesión, ve a: Aplicaciones → Google Workspace → Gmail → Autenticar correo electrónico
Aquí verás una lista de los dominios conectados a tu cuenta. Selecciona el dominio que utilizas para enviar correos electrónicos (por ejemplo, tuempresa.com). Si DKIM aún no está configurado, verás un botón que dice «Generar nuevo registro». Haz clic en él.

 2. Ahora se le pedirá que elija dos cosas:

• Un nombre de selector (utiliza google, el predeterminado. No es necesario personalizarlo a menos que tengas una razón específica).
• Una longitud de clave (elige 2048 bits, que es más segura y la recomendada por Google).
  
  

Haga clic en Generar. Google le mostrará dos datos importantes:

• Un nombre de host DNS (por ejemplo, google._domainkey.yourcompany.com)
  
  
• Un valor de registro TXT: una cadena muy larga que comienza con v=DKIM1; k=rsa; p=... Esta es tu clave DKIM pública, y ahora debes publicarla para que los servidores de correo puedan encontrarla.

3. Abre el panel de control de tu proveedor de DNS. Este es el lugar donde está alojado tu dominio. Los más comunes son GoDaddy, Cloudflare, Namecheap o Google Domains. Vas a añadir un registro TXT, lo que puede parecer intimidante, pero solo es una tarea de copiar y pegar.

4. En tu panel de control de DNS, haz clic en «Añadir nuevo registro» y selecciona:

• Tipo: TXT
  
• Nombre/Host: google._domainkey (no incluyas tu dominio completo a menos que tu proveedor lo requiera; muchos rellenan automáticamente esta parte).
  
• Valor: pega la cadena de clave completa que te proporcionó Google.
  

Guarde el registro. Los cambios en el DNS suelen propagarse en un plazo de entre 5 y 30 minutos, pero en casos excepcionales pueden tardar hasta 24 horas.

5. Ahora, vuelve a la Consola de administración de Google y pulsa «Iniciar autenticación». Esto le indica a Google que comience a firmar todos tus correos electrónicos salientes con esa clave DKIM. Si ves un error, probablemente se deba a que el registro DNS aún no se ha propagado. Espera entre 10 y 30 minutos y vuelve a intentarlo.

6. Una vez que comience la autenticación, Google mostrará el estado «Autenticación de correo electrónico con DKIM». Eso significa que está activo.

7. Para confirmar que todo funciona, envía un correo electrónico de prueba desde tu dominio a una cuenta de Gmail (como la tuya personal). Abre el correo electrónico, haz clic en los tres puntos de la parte superior derecha y selecciona «Mostrar original». Desplázate hacia abajo y busca esta línea:

dkim=pass header.i=@yourcompany.com

Si ves eso, ya está todo listo. Tu dominio ahora está protegido por DKIM y es más probable que tus correos electrónicos lleguen a las bandejas de entrada, en lugar de a la carpeta de spam.

Solo tienes que hacerlo una vez por dominio y ya está. DKIM no cambia a menudo, pero te recomendamos que realices una prueba rápida de spam semanalmente o después de los cambios de DNS. Esto ayuda a detectar problemas accidentales antes de que afecten a la capacidad de entrega.

✅ Configurar DKIM en Microsoft 365 (Outlook / Office 365)

Si tu correo electrónico empresarial funciona con Microsoft 365 (por ejemplo, Outlook), tus mensajes se firman de forma predeterminada con la clave DKIM compartida de Microsoft vinculada a onmicrosoft.com, lo que no es ideal, especialmente si estás realizando contactos en frío. Es recomendable utilizar la clave DKIM de tu propio dominio para que tus mensajes parezcan legítimos y fiables, especialmente para Gmail y otros filtros de spam.

1. Comience iniciando sesión en el portal de Microsoft 365 Defender como administrador:
   
   
2. Vaya a https://security.microsoft.com → luego navegue hasta:
   Correo electrónico y colaboración → Políticas y reglas → Políticas de amenazas → DKIM
   
   
3. Aquí verás una lista de tus dominios de correo electrónico. Busca el dominio desde el que envías correos electrónicos (por ejemplo, tuempresa.com) y haz clic en él.
   
   
4. Si aún no se ha configurado DKIM, verá una opción para «Crear claves DKIM». Haga clic en ella. Microsoft generará dos registros DNS que deberá añadir a la configuración DNS de su dominio. Se trata de registros CNAME, no TXT, y deberá añadir ambos.
   
   
5. Microsoft le mostrará los valores que debe utilizar. Para cada uno de ellos, obtendrá:

• Un nombre/host como selector1._domainkey.tuempresa.com
  
  
• A Points to / Value like: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  
  

6. Copie ambos registros: uno para selector1 y otro para selector2.
7. A continuación, dirígete a tu proveedor de DNS (por ejemplo, GoDaddy, Cloudflare, Namecheap, dondequiera que se gestione tu dominio).
8. Añade dos nuevos registros CNAME, utilizando los nombres y valores exactos de Microsoft:
   
   

• Tipo: CNAME
  
  
• Nombre: selector1._domainkey
  
  
• Value: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  

• Tipo: CNAME
  
  
• Nombre: selector2._domainkey
  
  
• Value: selector2-yourcompany-com._domainkey.<region>.onmicrosoft.com
  Save both records. Make sure to replace <region> with what Microsoft shows (like europe or us), and match your actual domain. Once added, give the records some time to propagate—5 minutes to a few hours depending on your DNS provider.
  
  

9. Una vez guardados los registros y tras un breve periodo de tiempo para que se propaguen, vuelve al portal de Microsoft Defender donde creaste las claves.
10. Allí, verás ahora un botón que dice algo así como «Firmar mensajes para este dominio con firmas DKIM». Activa el botón .

Si todo está configurado correctamente, Microsoft confirmará que DKIM ya está activo. A partir de ese momento, todos los correos electrónicos enviados desde tu dominio a través de Microsoft 365 se firmarán con las claves DKIM propias de tu dominio.

Para comprobar que todo funciona correctamente:

• Envía un correo electrónico de prueba a una bandeja de entrada de Gmail o Yahoo.
  
  
• Abre el mensaje → haz clic en el menú de tres puntos →«Mostrar original».
  
  
• Busca esta línea:
  dkim=pass header.i=@yourcompany.com
  
  

Si ves dkim=pass, enhorabuena, todo funciona correctamente.

Una vez hecho esto, no tendrás que volver a tocarlo a menos que cambies tu DNS o quieras rotar las claves por motivos de seguridad. Microsoft se encargará de la rotación de claves automáticamente en segundo plano utilizando esos dos selectores (selector1 y selector2), por lo que estás cubierto.

Por qué es importante: sin esta configuración, tus correos electrónicos pueden ser marcados como sospechosos, especialmente con las nuevas reglas de Gmail para remitentes masivos. DKIM te ayuda a construir una sólida reputación como remitente, algo fundamental si estás realizando contactos en frío o calentando bandejas de entrada utilizando email warmup como MailReach.

Configurar DKIM con otros proveedores de correo electrónico (GoDaddy, Zoho, Mailchimp)

Aunque no utilices Google Workspace o Microsoft 365 para enviar correos electrónicos, tendrás que configurar DKIM.

La mayoría de los proveedores, incluidos GoDaddy Email Hosting, Zoho Mail, Mailchimp, SendGrid o Brevo, generan un DKIM que debes copiar y pegar en la configuración de tu dominio.

Le guiaremos a través de tres de las configuraciones más comunes que no son de Google/Microsoft:

Alojamiento de correo electrónico de GoDaddy (cPanel o correo web de GoDaddy)

Si compraste tu dominio y correo electrónico a través de GoDaddy, y utilizas su servicio de correo electrónico integrado (basado en Webmail o cPanel), esto es lo que debes hacer:

1. Inicie sesión en su cuenta de GoDaddy y abra su panel de control cPanel (para planes cPanel) o el panel de control de correo electrónico y oficina (para GoDaddy Webmail).
   
2. En cPanel, busca una sección llamada Entregabilidad de Email o Autenticación de correo electrónico.
   Aquí es donde encontrarás la configuración DKIM, si existe.
   
   
   • Si DKIM ya está habilitado, cPanel mostrará el registro TXT existente y si está funcionando.
     
   • Si no es así, haz clic en «Habilitar DKIM» o «Reparar».
     
3. Si GoDaddy proporciona el registro DKIM manualmente:
   
   • Copie el nombre/host (algo así como default._domainkey.sudominio.com)
     
   • Copie el valor TXT (comienza con v=DKIM1; k=rsa; p=...)
     
4. Ve a tu Configuración DNS de GoDaddy (Mis productos → Dominio → Administrar DNS).
   
   • Haga clic en Añadir → Seleccione TXT
     
   • Host: el selector + _domainkey (por ejemplo, default._domainkey)
     
   • Valor: pegue la cadena de clave larga del paso 3.
     
   • Guarde y espere. El DNS suele actualizarse en cuestión de minutos, pero puede tardar hasta 48 horas.

Correo electrónico de Zoho

Zoho Mail es muy popular entre las empresas emergentes y las pequeñas empresas. A continuación, te explicamos cómo configurar DKIM en Zoho:

1. Ir a la consola de administración de Zoho Mail
   
2. Navega a:
   Administración de correo > Dominios > [tu dominio] > DKIM
   
3. Haga clic en «Añadir selector» y elija un nombre para el selector; algo como «zoho» o «predeterminado» funcionará bien.
   
4. A continuación, Zoho le mostrará el registro DNS que debe publicar:
   
   • Host: zoho._domainkey.tudominio.com (o incluye el dominio completo si es necesario)
     
   • Tipo: TXT
     
   • Valor: una cadena larga que comienza con v=DKIM1; p=...
     
5. Acude a tu proveedor de DNS y añade un TXT registrar con:
   
   
   • Host: zoho._domainkey
     
   • Valor: pegar la clave de Zoho
     
6. De vuelta en Zoho Admin, haz clic en «Verificar» una vez que se haya propagado el registro.
   

✅ Una vez verificado, Zoho comenzará a firmar todos los correos electrónicos salientes con DKIM.

Plataformas de marketing por correo electrónico y transaccionales (Mailchimp, SendGrid, Brevo, etc.)

Estas plataformas suelen ofrecerte varios registros DNS para publicar registros DKIM (y SPF o DMARC). El formato más habitual incluye dos registros CNAME:

1. En el panel de control de tu herramienta de correo electrónico, ve a la sección Autenticación de dominio o Verificación del remitente.
   (En Mailchimp: Sitio web > Dominios > Autenticar)
   
   
2. Añade tu dominio y la herramienta generará los registros necesarios.
   
   • Por lo general, esto incluye 1-2 registros CNAME para DKIM.
     
   • A veces también incluye un registro TXT para SPF.
     
3. Copie cada registro y añádalos a la configuración DNS de su dominio.
   
   Ejemplo (Mailchimp)
   
   
   • CNAME 1: k1._domainkey.tudominio.com → dkim.mailchimp.com
     
   • CNAME 2: k2._domainkey.tudominio.com → dkim2.mailchimp.com
     
4. Una vez añadido, vuelve a la plataforma y haz clic en Verificar o Autenticar.
   

• Para SendGrid, Brevo y la mayoría de las demás plataformas, la configuración es similar: muestran pares host/valor, a menudo mte1._domainkey / dkim1, etc., que debes introducir como CNAME en tu panel DNS.

SPF, DKIM y DMARC: ¿cuál es la diferencia?

Estas tres siglas suelen aparecer juntas y funcionan mejor como equipo. A continuación se explica su significado:

¿Necesitas los tres?

Sí, idealmente. Pero DKIM suele ser lo más importante en lo que respecta a la capacidad de entrega y la confianza del dominio, especialmente para Gmail y Outlook.

Si estás empezando desde cero, comienza con DKIM y SPF. Luego, añade DMARC cuando estés listo para supervisar y aplicar la política.

No dejes que una configuración perfecta acabe en spam   

En este punto, ya has completado las partes más difíciles: configurar DKIM, autenticar tu dominio y comenzar a calentar tu bandeja de entrada. Esa es la base.

Pero la capacidad de entrega constante es un proceso continuo.

¿Qué lo mantiene fuerte?

• Patrones de envío estables (sin aumentos repentinos de volumen)

• Señales de interacción constantes (aperturas, respuestas, bajo nivel de spam)

• Comportamiento limpio del remitente (sin listas negras ni enlaces en listas negras)

MailReach supervisa todo esto entre bastidores. Si la reputación de tu bandeja de entrada comienza a deteriorarse, sabrás qué es lo que falla antes de que arruine tus campañas. 

Utiliza MailReach para permanecer en la bandeja de entrada, no solo para llegar una vez.

Regístrese ahora en MailReach.