Cómo configurar DKIM y, por fin, hacer que tus cold emails lleguen a la bandeja de entrada

Si estás configurando un nuevo dominio para cold email, y tu correo se ve algo así como outreach.yourcompany.com, lo primero que necesitas hacer es autenticarlo correctamente. 

Sin eso, los proveedores de correo como Gmail y Outlook probablemente verán tus emails como sospechosos. Y con los filtros cada vez más estrictos en 2024, incluso quienes envían poco volumen están viendo cómo sus correos legítimos terminan en spam.

Configurar DKIM es la forma de demostrar que tus correos son reales, que no han sido falsificados ni manipulados.

Si te falta, es posible que ya estés viendo:

❌ Errores de “Missing DKIM” en tu herramienta de warm-up 

❌ Encabezados de Gmail que muestran dkim=fail

❌ Campañas con bajo rendimiento, con pocas aperturas, muchos correos en spam y sin respuestas

En esta guía, te mostraremos cómo configurar DKIM paso a paso, según tu configuración:

• Si usas Google Workspace, te mostraremos cómo generar y activar DKIM en la consola de administración.

• Si usas Microsoft 365, te explicaremos cómo configurarlo en el portal de Defender.

• Si usas un dominio personalizado en GoDaddy o Cloudflare, te mostraremos cómo añadir los registros correctos manualmente, incluso si nunca antes has tocado el DNS.

Inicio Rápido: Elige tu Camino para DKIM

• ¿Usas Gmail (Google Workspace)? Configúralo en la Consola de Administración de Google
  
• ¿Usas Outlook (Microsoft 365)? Configúralo en Microsoft Defender + DNS
  
• ¿Usas un dominio personalizado con herramientas como Instantly, Smartlead o ActiveCampaign? Añade los registros DKIM en tu proveedor de DNS (como GoDaddy)

Cómo Funciona DKIM

Cada vez que envías un correo, DKIM le añade una firma digital invisible. Esa firma demuestra dos cosas:

1. Que el correo realmente vino de tu dominio
   
2. Que el contenido no fue modificado después de que lo enviaste

Así es como funciona, de forma sencilla:

• Tu sistema de email usa una clave privada para 'firmar' cada correo por detrás.
  
• Esa firma se adjunta al encabezado del email (tú no la ves, pero los servidores de correo sí).
  
• Cuando se recibe el email, el servidor de correo busca tu clave pública, que está guardada en los registros DNS de tu dominio.
  
• Usa la clave pública para verificar la firma.
  
  
  • Si todo encaja: El email pasa el DKIM
    
  • Si no es así: Puede que lo marquen como sospechoso
    

A menudo verás esto en los encabezados de tus emails como algo así:
dkim=pass header.i=@yourcompany.com

Si esa línea falta o dice dkim=fail, es más probable que tus emails terminen en spam o que los bloqueen por completo.

Por qué el DKIM es más importante que nunca

En 2024, Gmail y Yahoo empezaron a aplicar requisitos estrictos para cualquiera que envíe más de 5.000 emails al día, incluyendo el cold outreach y el tráfico de warm-up. El DKIM ya no es opcional si quieres que tus emails lleguen.

Aunque envíes menos de 5.000 emails, si fallas las verificaciones DKIM, sigues yendo directo al spam. Por eso, herramientas de entregabilidad como MailReach revisan que tengas un registro DKIM válido.

Si ves un error de 'Missing DKIM' en MailReach, significa que tus emails no están firmados y bandejas de entrada como Gmail no pueden verificar que realmente son tuyos.

Hasta que eso se arregle, tu outreach será invisible o lo marcarán como poco fiable. El DKIM es uno de los primeros y más importantes pasos para que te vean.

Antes de configurar el DKIM: Lo que necesitarás

1. Acceso a la configuración DNS de tu dominio

Tendrás que iniciar sesión en tu proveedor de DNS como GoDaddy, Cloudflare o Namecheap para añadir un registro TXT o CNAME. Si no tienes acceso, pídeselo a quien gestione tu dominio.

2. Acceso a tu plataforma de envío de emails

Las claves DKIM se generan dentro de la plataforma que envía tus emails, como Google Workspace, Microsoft 365, Zoho o Mailgun. 

Esa plataforma debe estar configurada para firmar tus emails antes de que añadas el registro DNS.

3. Claridad sobre quién envía emails desde tu dominio

Los emails de cold email pueden pasar por herramientas como Instantly, Smartlead o Lemlist. Los emails de marketing pueden venir de Mailchimp o Brevo.

Los emails transaccionales podrían ser enviados a través de SendGrid, Postmark o Amazon SES.

Cada uno suele necesitar su propio registro DKIM con un selector único. Si usas varias herramientas, tendrás que añadir varios registros.

4. Una forma de probar si funciona

No asumas que funciona solo porque publicaste el registro. Querrás verificar que los correos se estén firmando de verdad.

Usa el DKIM Checker gratuito de MailReach para esto después de terminar la configuración. Te explicamos cómo hacerlo más adelante en el artículo (desplázate hasta el final). 

Cómo configurar DKIM

Configurar DKIM varía según tu proveedor de correo. Abajo te mostramos las plataformas más comunes. Elige la que usas y sigue los pasos exactos. 

Configura DKIM en Google Workspace (Gmail)

1. Inicia sesión en la Consola de Administración de Google con una cuenta de superadministrador. Esta es la cuenta principal que se usa para configurar Google Workspace para tu dominio. Si no tienes acceso, tendrás que pedírselo a tu administrador de TI o al gestor de tu dominio.

Una vez dentro, ve a: Aplicaciones → Google Workspace → Gmail → Autenticar correo electrónico
Aquí verás una lista de dominios conectados a tu cuenta. Selecciona el dominio que usas para enviar correos (como tuempresa.com). Si DKIM aún no está configurado, verás un botón que dice “Generar nuevo registro.” Haz clic ahí.

 2. Ahora se te pedirá que elijas dos cosas:

• Un nombre de selector (usa simplemente google, el predeterminado. No hay necesidad de personalizarlo a menos que tengas una razón específica)
• Una longitud de clave (elige 2048-bit, que es más segura y recomendada por Google)
  
  

Haz clic en Generar. Google te mostrará entonces dos datos importantes:

• Un Nombre de Host DNS (por ejemplo, google._domainkey.tuempresa.com)
  
  
• Un valor de registro TXT — una cadena muy larga que empieza con v=DKIM1; k=rsa; p=... Esta es tu clave DKIM pública, y ahora necesitas publicarla para que los servidores de correo puedan encontrarla.

3. Abre el panel de control de tu proveedor de DNS. Aquí es donde está alojado tu dominio. Los más comunes son GoDaddy, Cloudflare, Namecheap o Google Domains. Vas a añadir un registro TXT allí, lo que puede sonar intimidante, pero es solo una tarea de copiar y pegar.

4. En tu panel de DNS, haz clic en “Añadir nuevo registro”, y elige:

• Tipo: TXT
  
• Nombre / Host: google._domainkey (no incluyas tu dominio completo a menos que tu proveedor lo requiera — muchos autocompletan esta parte)
  
• Valor: pega la cadena de clave completa que te dio Google
  

Guarda el registro. Los cambios de DNS suelen propagarse en 5-30 minutos, pero en casos raros pueden tardar hasta 24 horas.

5. Ahora, vuelve a la Consola de Administración de Google y haz clic en “Iniciar autenticación”. Esto le dice a Google que empiece a firmar todos tus correos salientes con esa clave DKIM. Si ves un error, es probable que el registro DNS aún no se haya propagado. Espera 10-30 minutos y vuelve a intentarlo.

6. Una vez que la autenticación comienza, Google mostrará el estado como “Autenticando correo electrónico con DKIM.” Eso significa que ya está activo.

7. Para confirmar que todo funciona, envía un correo de prueba desde tu dominio a una cuenta de Gmail (como la tuya personal). Abre el correo, haz clic en los tres puntos de la esquina superior derecha y elige “Mostrar original.” Desplázate hacia abajo y busca esta línea:

dkim=pass header.i=@tuempresa.com

Si ves eso, ¡listo! Tu dominio ahora está protegido con DKIM, y es más probable que tus correos lleguen a las bandejas de entrada, no al spam.

Solo necesitas hacer esto una vez por dominio, y ya está. DKIM no cambia a menudo, pero te recomendamos hacer una prueba rápida de spam de correo electrónico semanalmente o después de cambios en el DNS. Esto ayuda a detectar problemas accidentales antes de que afecten la entregabilidad.

✅ Configura DKIM en Microsoft 365 (Outlook / Office 365)

Si tu correo de empresa funciona con Microsoft 365 (por ejemplo, Outlook), tus mensajes por defecto se firman con la clave DKIM compartida de Microsoft, vinculada a onmicrosoft.com, lo cual no es lo ideal, sobre todo si haces cold outreach. Lo ideal es que uses el DKIM de tu propio dominio para que tus mensajes parezcan legítimos y de confianza, especialmente para Gmail y otros filtros de spam.

1. Empieza por iniciar sesión en el portal de Microsoft 365 Defender como administrador:
   
   
2. Ve a https://security.microsoft.com → y luego navega hasta:
   Email & Collaboration → Policies & Rules → Threat Policies → DKIM
   
   
3. Aquí verás una lista de tus dominios de correo. Busca el dominio desde el que envías correos (como tuempresa.com) y haz clic en él.
   
   
4. Si aún no has configurado DKIM, verás una opción para “Crear claves DKIM”. Haz clic ahí. Microsoft generará dos registros DNS que deberás añadir a la configuración DNS de tu dominio. Estos son registros CNAME, no TXT, y tendrás que añadir ambos.
   
   
5. Microsoft te mostrará los valores que debes usar. Para cada uno, obtendrás:

• Un Nombre / Host como selector1._domainkey.tuempresa.com
  
  
• A Points to / Value like: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  
  

6. Copia ambos registros: uno para selector1 y otro para selector2.
7. Luego, ve a tu proveedor de DNS (por ejemplo, GoDaddy, Cloudflare, Namecheap, o donde sea que gestiones tu dominio).
8. Añade dos nuevos registros CNAME, usando los nombres y valores exactos de Microsoft:
   
   

• Tipo: CNAME
  
  
• Nombre: selector1._domainkey
  
  
• Value: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  

• Tipo: CNAME
  
  
• Nombre: selector2._domainkey
  
  
• Value: selector2-yourcompany-com._domainkey.<region>.onmicrosoft.com
  Save both records. Make sure to replace <region> with what Microsoft shows (like europe or us), and match your actual domain. Once added, give the records some time to propagate—5 minutes to a few hours depending on your DNS provider.
  
  

9. Una vez que los registros estén guardados y hayan tenido un poco de tiempo para propagarse, vuelve al portal de Microsoft Defender donde creaste las claves.
10. Ahí, ahora verás un interruptor que dice algo como “Firmar mensajes para este dominio con firmas DKIM”. Activa el interruptor a Activado.

Si todo está configurado correctamente, Microsoft confirmará que DKIM ya está activo. A partir de ese momento, cada correo enviado desde tu dominio a través de Microsoft 365 se firmará usando las propias claves DKIM de tu dominio.

Para verificar que todo funciona correctamente:

• Envía un correo de prueba a una bandeja de entrada de Gmail o Yahoo
  
  
• Abre el mensaje → haz clic en el menú de tres puntos → “Mostrar original”
  
  
• Busca esta línea:
  dkim=pass header.i=@yourcompany.com
  
  

Si ves dkim=pass, ¡felicidades, todo está funcionando!

Una vez que esté hecho, no tendrás que volver a tocarlo a menos que cambies tu DNS o quieras rotar las claves por seguridad. Microsoft se encargará de la rotación de claves automáticamente en segundo plano usando esos dos selectores (selector1 y selector2), así que no te preocupes.

Por qué esto es importante: Sin esta configuración, tus correos pueden ser marcados como sospechosos, especialmente con las nuevas reglas de Gmail para remitentes masivos. DKIM te ayuda a construir una buena reputación de remitente, algo crucial si estás haciendo cold outreach o calentando bandejas de entrada usando email warmup tools como MailReach.

Configurar DKIM con otros proveedores de correo (GoDaddy, Zoho, Mailchimp)

Aunque no uses Google Workspace o Microsoft 365 para enviar correos, tendrás que configurar DKIM.

La mayoría de los proveedores, incluyendo GoDaddy email hosting, Zoho Mail, Mailchimp, SendGrid o Brevo, generan un DKIM que tienes que copiar y pegar en la configuración de tu dominio.

Te guiaremos por tres de las configuraciones más comunes que no son de Google/Microsoft:

GoDaddy Email Hosting (cPanel o GoDaddy Webmail)

Si compraste tu dominio y correo a través de GoDaddy y usas su servicio de correo integrado (basado en Webmail o cPanel), aquí te decimos qué hacer:

1. Inicia sesión en tu cuenta de GoDaddy y abre tu panel de control de cPanel (para planes cPanel) o tu panel de control de Email & Office (para GoDaddy Webmail).
   
2. En cPanel, busca una sección llamada Entregabilidad de Email o Email Authentication.
   Aquí encontrarás la configuración de DKIM si existe.
   
   
   • Si DKIM ya está habilitado, cPanel mostrará el registro TXT existente y si está funcionando.
     
   • Si no lo está, haz clic en “Habilitar DKIM” o “Reparar”.
     
3. Si GoDaddy te proporciona el registro DKIM manualmente:
   
   • Copia el Nombre / Host (algo como default._domainkey.tudominio.com)
     
   • Copia el Valor TXT (que empieza con v=DKIM1; k=rsa; p=...)
     
4. Ve a tu configuración de DNS de GoDaddy (Mis Productos → Dominio → Administrar DNS).
   
   • Haz clic en Añadir → Elige TXT
     
   • Host: el selector + _domainkey (ej. default._domainkey)
     
   • Valor: pega la cadena de clave larga del paso 3
     
   • Guarda y espera. El DNS suele actualizarse en minutos, pero puede tardar hasta 48 horas.

Zoho Mail

Zoho Mail es popular entre startups y pequeñas empresas. Aquí te explicamos cómo configurar DKIM en Zoho:

1. Ve a la Consola de administración de Zoho Mail
   
2. Ve a:
   Administración de Correo > Dominios > [tu dominio] > DKIM
   
3. Haz clic en “Agregar Selector” y elige un nombre para el selector — algo como 'zoho' o 'default' funciona bien.
   
4. Zoho luego te mostrará el registro DNS para publicar:
   
   • Host: zoho._domainkey.tudominio.com (o incluye el dominio completo si es necesario)
     
   • Tipo: TXT
     
   • Value: una cadena larga que empieza con v=DKIM1; p=...
     
5. Ve a tu proveedor de DNS, agrega un TXT registro con:
   
   
   • Host: zoho._domainkey
     
   • Value: pega la clave de Zoho
     
6. De nuevo en Zoho Admin, haz clic en “Verificar” una vez que el registro se haya propagado.
   

✅ Una vez verificado, Zoho empezará a firmar todos los correos salientes con DKIM.

Plataformas de Email Marketing y Transaccionales (Mailchimp, SendGrid, Brevo, etc.)

Estas plataformas normalmente te dan varios registros DNS para publicar para los registros DKIM (y SPF o DMARC). El formato más común implica dos registros CNAME:

1. En el panel de tu herramienta de email, ve a la sección de Autenticación de Dominio o Verificación de Remitente.
   (En Mailchimp: Sitio web > Dominios > Autenticar)
   
   
2. Agrega tu dominio, y la herramienta generará los registros necesarios.
   
   • Normalmente, esto incluye 1 o 2 registros CNAME para DKIM
     
   • A veces también incluye un registro TXT para SPF
     
3. Copia cada registro y agrégalos a la configuración DNS de tu dominio.
   
   Ejemplo (Mailchimp)
   
   
   • CNAME 1: k1._domainkey.tudominio.com → dkim.mailchimp.com
     
   • CNAME 2: k2._domainkey.tudominio.com → dkim2.mailchimp.com
     
4. Una vez agregados, vuelve a la plataforma y haz clic en Verificar o Autenticar
   

• Para SendGrid, Brevo y la mayoría de otras plataformas, la configuración es similar: muestran pares host/valor, a menudo mte1._domainkey / dkim1, etc., que debes ingresar como CNAMEs en tu panel DNS

SPF vs DKIM vs DMARC: ¿Cuál es la diferencia?

Estos tres acrónimos suelen aparecer juntos y funcionan mejor en equipo. Así es como se desglosan:

¿Necesitas los tres?

Sí, lo ideal es que sí. Pero DKIM suele ser el más importante cuando hablamos de deliverability y confianza del dominio, especialmente para Gmail y Outlook.

Si empiezas desde cero, empieza con DKIM y SPF. Luego añade DMARC cuando estés listo para monitorear y aplicar la política.

No dejes que una configuración perfecta termine en spam   

A estas alturas, ya hiciste lo más difícil: configuraste DKIM, autenticaste tu dominio y empezaste a calentar tu bandeja de entrada. Esa es la base.

Pero una deliverability consistente es un proceso continuo.

¿Qué la mantiene fuerte?

• Patrones de envío estables (sin saltos repentinos de volumen)

• Señales de engagement consistentes (aperturas, respuestas, poco spam)

• Comportamiento de remitente limpio (sin listas malas o enlaces en listas negras)

MailReach monitorea todo esto detrás de cámaras. Si la reputación de tu bandeja de entrada empieza a decaer, sabrás qué está mal antes de que arruine tus campañas. 

Usa MailReach para mantenerte en la bandeja de entrada, no solo para llegar una vez.

Regístrate en MailReach ahora.