Mejores Prácticas de EmailConfigurar DKIM Office 365: Guía paso a paso Configure DKIM en Office 365 en solo 5 minutos. Siga esta guía paso a paso de 2026 para publicar registros CNAME, habilitar DKIM y corregir errores de configuración fácilmente.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Risotto lidera en Zero Trust con un enfoque 'runtime-first', monitoreo eBPF, aplicación dinámica de privilegios mínimos y automatización de cumplimiento.
Una configuración incorrecta de DKIM es una de las causas más comunes de fallos en la deliverability de email en entornos de Microsoft 365 (antes Office 365).
Sin esto, tus mensajes salientes pueden pasar el SPF pero aun así se marcan como no autenticados. Esto activa los filtros de spam, falla la alineación DMARC y aumenta la exposición al spoofing y phishing.
La configuración DKIM de Microsoft abarca múltiples portales de administración y a menudo requiere PowerShell para finalizar.
Esa complejidad lleva a configuraciones incompletas o a largos retrasos en la implementación de una autenticación de dominio adecuada.
Esta guía simplifica el proceso en seis pasos claros y accionables. Aprenderás cómo generar registros DKIM, publicar CNAMEs, activar la firma y verificar que tu dominio personalizado está autenticando el correo correctamente.
Antes de empezar, asegúrate de que todos los ajustes de dominio y administración requeridos estén verificados. Revisarlos ahora te puede ahorrar horas de resolución de problemas más tarde.
Esta sección contiene los pasos esenciales para activar la firma DKIM en tu dominio de Office 365. Sigue estos seis pasos con atención para asegurar una configuración correcta, siempre que hayas completado los requisitos previos.
Solo verás los dominios que se hayan verificado en tu tenant de Microsoft 365. Si tu dominio no aparece en la lista, es probable que aún no se haya añadido o verificado en el centro de administración de Microsoft 365.
Una vez que hagas clic en la configuración DKIM de tu dominio, Microsoft mostrará dos registros CNAME requeridos, estas son las claves públicas para tu dominio.
Normalmente se llaman:
Apuntan a puntos finales de clave DKIM alojados por Microsoft como:
Estos valores se generan dinámicamente, así que cópialos siempre exactamente como se muestran. Nunca los modifiques ni los aproximes manualmente.
Nota: La interfaz de usuario de DNS de cada proveedor es diferente, pero los nombres de los selectores siempre seguirán este patrón:
Advertencia de Proxy de Cloudflare: Configúralos como ‘DNS Only.’ No los uses como proxy, o Microsoft no podrá validar los registros.
Además, si DKIM se configuró previamente (con otro proveedor de email), primero busca y elimina cualquier registro selector1/2._domainkey que pueda causar conflicto.
Después de guardar los registros, comienza la propagación del DNS. Esto puede tardar:
Puedes verificar que los registros están activos usando herramientas como:
Si se detecta DNS, verás que el estado se actualiza a “Firmando”. Si la opción falla o recibes un error como “El registro CNAME no existe para esta configuración”, es posible que el DNS aún no se haya propagado, así que inténtalo de nuevo en unas horas.
Authentication-Results: ... dkim=pass ...
Además, confirma que el dominio listado bajo d= en el encabezado DKIM-Signature coincida con tu dominio personalizado.
DMARC es otro registro importante que necesitas configurar. Lee nuestra guía de DMARC para una configuración rápida.
Usa esta sección para identificar y solucionar rápidamente los problemas más comunes de configuración de DKIM, sin tener que interpretar errores confusos de Microsoft ni adivinar.
Microsoft no puede detectar los registros selector1 y selector2 requeridos.
DKIM está técnicamente activo, pero Microsoft sigue usando el dominio de inquilino predeterminado en lugar del tuyo personalizado.
El DNS está activo, pero los encabezados del email muestran dkim=fail o ninguna firma.
El email se está enviando desde un dominio que no tiene DKIM activado.
Para confirmar que todo funciona correctamente, envía un email de prueba y pásalo por el spam test de MailReach. Te indicará inmediatamente si DKIM está pasando y si hay algún problema de DNS o de firma antes de que afecten la llegada a la bandeja de entrada.
Este método está pensado para administradores que gestionan múltiples dominios, automatizando la configuración entre tenants, o gestionando dominios que no son visibles en la UI. Si gestionas un solo dominio, el portal de Defender es más rápido y fiable, mientras que PowerShell ofrece un mayor control administrativo.
Empieza conectándote a Exchange Online PowerShell usando tus credenciales de administrador de Microsoft 365. Esto te permite ver y gestionar las configuraciones DKIM a gran escala.
Ejecuta un comando para listar todas las configuraciones DKIM en tu tenant. Esto te ayuda a identificar qué dominios ya tienen DKIM configurado y cuáles aún necesitan atención.
Si tu dominio no aparece en la lista, tendrás que inicializar DKIM manualmente. Esto crea la configuración y le dice a Microsoft que prepare las claves DKIM para tu dominio personalizado.
Una vez inicializado, puedes obtener los registros CNAME exactos de selector1 y selector2 para ese dominio. Estos deben publicarse en tu configuración DNS, igual que con el método estándar.
Después de confirmar que los registros se han propagado, habilita la firma DKIM para el dominio. Esto activa la configuración y empieza a firmar el correo saliente.
Microsoft soporta la rotación de claves para una seguridad mejorada. Si lo necesitas, puedes iniciar una rotación usando un solo comando de PowerShell. Mientras ambos selectores permanezcan en el DNS, la transición será fluida.
PowerShell es una opción efectiva para integrar múltiples dominios o gestionar un tenant global.
Incluso con automatización, DKIM representa solo un componente de tu estrategia de autenticación de email. MailReach te ayuda a monitorear la reputación del dominio y la ubicación de spam a escala, especialmente cuando gestionas volumen en múltiples marcas o clientes.
Ten expectativas realistas con los tiempos. La configuración de DKIM es rápida por tu parte, pero los proveedores de correo quizás no reconozcan los cambios de inmediato.
Una vez que publicas los registros CNAME en tu DNS, pueden tardar minutos en activarse o, en algunos casos, hasta dos días completos. Esto depende de los valores TTL y del ciclo de actualización de tu proveedor de DNS.
Hasta que los registros se propaguen globalmente, Microsoft no te dejará activar DKIM. Si sigues viendo errores de DNS después de publicar los registros, normalmente es un retraso en la propagación y no una mala configuración.
Después de que hayas activado DKIM en el portal de Microsoft 365 y el sistema detecte tus registros, la firma se activa de inmediato. Todos los nuevos correos salientes incluirán una firma DKIM a partir de ese momento.
Sin embargo, DKIM no se aplica de forma retroactiva. Cualquier email enviado antes de activar DKIM permanecerá sin firmar.
Cuando rotes las claves DKIM, tómate un tiempo extra para la transición. Microsoft puede retrasar la firma activa con el nuevo selector hasta cuatro días para asegurar que los cambios de DNS se reconozcan por completo.
Ambos registros, selector1 y selector2, deben permanecer en el DNS para evitar cualquier interrupción durante la rotación de claves.
En las primeras 24 horas después de la configuración, los proveedores de buzones como Gmail u Outlook podrían seguir tratando tu dominio como no verificado, especialmente si aún no pueden detectar los registros DKIM. Si observas una ubicación mixta en la bandeja de entrada o tasas de apertura más bajas durante este período, no te asustes.
Estos son hábitos prácticos y a largo plazo para mantener tu configuración DKIM saludable, especialmente cuando gestionas la entregabilidad en varias bandejas de entrada o unidades de negocio. Cada uno incluye un ejemplo de situación para que sepas cuándo es importante.
Microsoft 365 (antes Office 365) usa por defecto claves DKIM de 2048 bits. Se recomienda mantener esta configuración. Algunos sistemas antiguos todavía usan claves de 1024 bits, pero muchos proveedores (incluido Gmail) ahora las consideran débiles.
Ejemplo: Si tu dominio estaba configurado previamente con DKIM de 1024 bits en otra plataforma (como cPanel), cámbiate a 2048 bits al migrar a Office 365. Una diferencia en la fuerza de la clave puede causar problemas de entregabilidad durante el warm-up o al aplicar DMARC.
La rotación de claves reduce el riesgo de compromiso y ayuda a mantener la alineación con los estándares de cumplimiento.
Ejemplo: Si envías emails transaccionales o regulados (en áreas como finanzas, salud, educación), rotar las claves DKIM cada 6-12 meses puede satisfacer auditorías internas y revisiones de seguridad. También reduce la exposición a claves antiguas durante transiciones de dominio o de TI.
Para que DKIM pase la alineación DMARC, el dominio en la firma DKIM (d=) debe coincidir con el dominio de tu dirección de remitente.
Ejemplo: Si envías desde marketing@brand.com pero tu DKIM sigue firmado por onmicrosoft.com, DMARC fallará. Esto suele pasar cuando los administradores se saltan el último paso de habilitar DKIM para el dominio personalizado. Esto debería corregirse antes de aplicar una política DMARC de p=reject.
Incluso después de que DKIM esté activado, deja los CNAMEs en tu DNS. Microsoft 365 usa ambos selectores para permitir una rotación de claves sin interrupciones.
Ejemplo: Un miembro junior del equipo podría quitar selector1._domainkey, pensando que sobra. Esto rompe la rotación de claves y puede hacer que la firma falle sin avisar. Deja siempre ambos registros publicados a menos que Microsoft diga lo contrario de forma explícita.
DKIM es una parte del perfil de confianza de tu dominio. Para proteger que tus emails lleguen a la bandeja de entrada, combínalo con:
Por ejemplo: Si estás lanzando cold outreach desde un dominio nuevo, solo DKIM no evitará que tus correos terminen en spam. Combinarlo con SPF, un registro DMARC (p=none para empezar) y una herramienta de email warmup les da a los proveedores de buzones señales consistentes con el tiempo. Esto es especialmente importante si tus volúmenes de envío aumentan rápidamente.
La autenticación fuerte es tu base técnica, pero es solo una parte de la colocación en la bandeja de entrada. MailReach te ayuda a mantenerla con tests de spam diarios, seguimiento de la reputación del dominio y un warmup automatizado que respeta tus configuraciones de DKIM, SPF y DMARC.
Configurar DKIM en Office 365 es rápido, pero su impacto crece con el tiempo. Ahora has añadido una capa clave de autenticación que los proveedores de correo revisan para decidir si tus correos fríos llegan a la bandeja de entrada o a la carpeta de spam.
DKIM es tu base técnica y verifica la identidad de tu dominio. Sin embargo, construir una reputación de remitente requiere un esfuerzo continuo.
El verdadero desafío empieza después de la configuración. Dominios nuevos, buzones nuevos o picos repentinos de volumen pueden activar los filtros de spam, incluso con DKIM. Sin pruebas y monitoreo constantes, no sabrás si tu reputación está mejorando o si está cayendo en silencio.
Aquí es donde podemos ayudarte. ¿Listo para ir más allá?
MailReach automatiza el inbox warm-up, las pruebas de DKIM y SPF, y la monitorización de la salud del dominio en todos los proveedores de buzones para asegurar que los emails lleguen a las bandejas de entrada de tus clientes potenciales.
Cada correo en spam equivale a un cliente potencial perdido. Empieza a mejorar tu posicionamiento en la bandeja de entrada hoy mismo con las pruebas de spam y el warmup de MailReach.
Seguir las reglas no es suficiente: descubre dónde aterrizan tus emails y qué los está frenando. Verifica tu puntuación de spam con nuestra prueba gratuita y mejora la entregabilidad con el warmup de MailReach.
Sin el warmup adecuado, tus mejores campañas no sirven de nada. Puedes empezar probando dónde aterrizan tus emails y empezar a mejorarlo hoy mismo.
¿Qué hace que el asunto de un correo electrónico sea bueno?
Las 5 mejores herramientas para reducir la tasa de spam en 2026
Las 4 Mejores Alternativas a Inbox Ally en 2026
Técnicas de verificación de correos electrónicos de ventas B2B en 2026
Los filtros de spam limitan el número de correos electrónicos no solicitados que puedes enviar al día. Detalles sobre los límites de los correos electrónicos no solicitados y nuestros consejos para automatizar el proceso.
Configurar DKIM Office 365: Guía paso a paso
