¿Por qué generar un par aquí en vez de dejar que lo haga mi proveedor de correo?

La mayoría de proveedores gestionados (Google Workspace, Microsoft 365, Mailgun, SendGrid) te dan una clave DKIM lista. Pero si ejecutas **tu propio SMTP** (Postfix + opendkim, exim, Haraka, un mailer Node propio), si estás **cambiando de proveedor** y quieres seguir firmando durante la transición, o si simplemente quieres **rotar** una clave rancia que tu panel nunca exponía, generas el par tú. Esta herramienta lo hace en un clic sin necesidad de instalar OpenSSL.

¿Qué longitud de clave elijo: 1024, 2048 o 4096?

**2048 bits es la respuesta correcta para casi todos**. Es la recomendación del **RFC 8301** y el default moderno de facto. **1024 bits** aún funciona en la mayoría de receptores pero se considera débil (NIST lo deprecó para firmas RSA hace años) y proveedores como Google ahora avisan de ello. **4096 bits** es técnicamente más fuerte pero produce firmas aproximadamente **5-7 veces más lentas** de calcular y una clave pública que algunos paneles DNS heredados tienen problemas para alojar. La firma se recalcula en cada mensaje saliente, así que 4096 puede convertirse en un coste de CPU medible en servidores de correo de alto volumen sin ganancia real de seguridad frente a 2048.

¿Qué es un "selector" y cómo lo elijo?

Un **selector** es una etiqueta corta (típicamente alfanumérica, p. ej. `mail2024`, `s1`, `google`, `mxvault`) que pasa a formar parte del nombre DNS donde publicas la clave pública: ` ._domainkey. `. El mensaje firmado incluye el selector en su header DKIM-Signature (`s=mail2024`), así los receptores saben qué clave recuperar. El sentido de los selectores es que puedes publicar **varias claves simultáneamente** bajo selectores distintos, que es exactamente lo que permite una **rotación de claves limpia** sin downtime. Elige algo descriptivo como `mail-2026-05` si rotas en un calendario.

¿Dónde va la clave privada después de descargarla?

A tu **servidor de correo**, en una ubicación que el daemon SMTP (o su módulo de firma como opendkim) pueda leer. Rutas típicas: `/etc/opendkim/keys/ / .private` en Linux, o lo que documente tu proveedor. **Los permisos importan**: el archivo solo debe ser legible por el usuario del servidor de correo (`chmod 600`, propietario `opendkim` o tu usuario de mailer). La clave privada no sale del servidor, no se manda por correo y no se commitea a un repo de git. Si lo hace, trátala como comprometida y rótala al momento.

¿Cada cuánto debería rotar las claves DKIM?

La guía del sector de **M3AAWG** y Google es **cada 6 meses** para emisores en producción. En la práctica muchos emisores pequeños rotan anualmente y siguen bien, mientras que plataformas grandes (proveedores transaccionales, grandes empresas) suelen rotar trimestralmente. La rotación es barata si la haces bien: genera un nuevo selector, publica la nueva clave en DNS, cambia la config del servidor para firmar con la nueva y **espera al menos una semana** antes de retirar el selector antiguo (para que el correo firmado antes del cambio aún verifique, ya que las firmas DKIM se comprueban en la entrega, que puede ser horas o días después del envío para correo retrasado).

¿Cómo se relaciona DKIM con SPF y DMARC?

**SPF** dice "estas direcciones IP pueden enviar correo por mi dominio". **DKIM** dice "este mensaje concreto se firmó con la clave privada de mi dominio, así que el contenido es auténtico". **DMARC** los une: dice a los receptores "si un mensaje falla tanto SPF como DKIM, haz X" (X normalmente es `none` para monitorizar, `quarantine` para carpeta de spam o `reject` para descartar). Quieres **los tres**. DKIM es el más fuerte de los tres porque la firma cubre el cuerpo del mensaje, así que aunque un salto intermedio modifique headers, la firma puede seguir verificando. SPF se rompe en cuanto se reenvía un mensaje; DKIM sobrevive a la mayoría de reenvíos.

¿Qué pasa si mi clave privada se filtra?

Cualquiera con la clave puede firmar correo como tu dominio, frustrando todo el propósito de DKIM. **Trata una filtración como algo serio**: genera al momento un par nuevo bajo un **selector nuevo**, publica la nueva clave pública en DNS, cambia tu servidor para firmar con la nueva y **revoca la clave filtrada** poniendo el valor `p=` de su registro DNS a vacío (`v=DKIM1; k=rsa; p=`). Los receptores que intenten verificar una firma de la clave filtrada verán el `p=` vacío y rechazarán la firma como revocada. No borres directamente el TXT antiguo: deja la revocación durante unas semanas para que los receptores vean "revocado explícitamente" en lugar de "selector ausente".

¿Por qué el registro TXT está dividido en varios strings entrecomillados?

Un único character-string en un registro DNS TXT está **topado en 255 octetos** por el **RFC 1035**. Una clave pública RSA de 2048 bits en base64 son unos **400 caracteres**, y una de 4096 unos **730**, ambos muy por encima del tope. DNS lo resuelve permitiendo que un único registro TXT contenga **varios strings entrecomillados** que el resolver concatena: `"v=DKIM1; k=rsa; p=MIIBIj..." "...AQAB"`. Algunas UI modernas de DNS (Cloudflare, Route 53) aceptan el string largo y lo dividen por ti automáticamente; los paneles más antiguos (algunas instalaciones de cPanel, OVH clásico, registradores genéricos) te obligan a meter el formato dividido tú mismo. Te damos ambos, pega el que acepte tu proveedor.

¿Cuál es la estrategia correcta de rollover con varios selectores?

El patrón limpio: (1) **genera** un par nuevo bajo un nuevo selector, p. ej. `s2-2026`; (2) **publica** la nueva clave pública en DNS mientras el selector antiguo `s1-2025` aún está; (3) **espera a la propagación DNS** (unas horas a un día); (4) **cambia** el servidor de correo para firmar con la clave del nuevo selector; (5) **espera al menos 1-2 semanas** para que cualquier correo en vuelo o retrasado firmado con la clave antigua aún verifique; (6) **revoca** el selector antiguo vaciando su valor `p=`; (7) **elimina** el registro TXT antiguo del todo otro mes después. Esta secuencia sin downtime es exactamente para lo que existen los selectores en DKIM: nunca tienes que romper la firma para rotar.

Generador de par de claves DKIM - gratis

Generador de par de claves DKIM

Elige un selector y la longitud de clave. Devolvemos el par de claves RSA: instala la clave privada en tu servidor de correo y publica la pública como registro TXT en el DNS.

Selector

Etiqueta DNS corta. Elige algo descriptivo (p. ej. mail-2026-05) para que rotarla sea fácil.

Longitud de clave

Dominio (opcional)

Si indicas un dominio, mostraremos el nombre completo del registro DNS: '<selector>'._domainkey.'<domain>'

Guarda la clave privada AHORA

No guardamos copia. Si cierras esta pestaña, pierdes la clave para siempre. Descárgala, guárdala en un gestor de contraseñas o instálala en tu servidor antes de salir.

¿Paranoico?

Generamos la clave en nuestro servidor y te la enviamos por TLS. Si la clave no debe salir nunca de tu máquina, ejecútalo en local: openssl genrsa -out private.pem 2048 y openssl rsa -in private.pem -pubout -out public.pem.

Qué es un par de claves DKIM

DKIM (DomainKeys Identified Mail) es la forma que tiene tu servidor de correo de firmar criptográficamente cada mensaje saliente para que receptores como Gmail y Outlook puedan verificar que el mensaje vino de verdad de tu dominio y no se manipuló por el camino. Para eso, tu servidor necesita un par de claves: una clave privada que vive en el servidor y firma cada mensaje, y una clave pública que publicas como registro DNS TXT en `<selector>._domainkey.<tu-dominio>` para que los receptores la recuperen.

Esta herramienta genera ese par para ti en la petición del navegador y devuelve la clave privada codificada en PEM (que instalas en tu servidor de correo) y el registro TXT listo para pegar (que publicas en el DNS). RSA, 1024 / 2048 / 4096 bits, generado con el crypto nativo de Node (bindings de OpenSSL por debajo). Nunca almacenamos la clave.

Cómo usarla

Elige un selector: una etiqueta corta tipo `mail2024`, `s1` o `google`. Identifica qué clave firmó el mensaje, así un selector nuevo te permite rotar sin romper el correo antiguo.
Elige una longitud de clave: 2048 bits es el default moderno. 1024 es legacy (aún se acepta pero está desaconsejado). 4096 es exagerado para casi todos y ralentiza la ruta de firma.
Opcional: introduce tu dominio para que mostremos el nombre DNS completo (`<selector>._domainkey.<tu-dominio>`). Sin él, igualmente obtienes el cuerpo del registro TXT.
Pulsa Generar. Devolvemos la clave privada en formato PEM y el valor del registro TXT listo para pegar en tu panel de DNS.
Guarda la clave privada ya. Nosotros no la almacenamos. Cerrar esta pestaña la pierde para siempre. Instálala en tu servidor de correo (Postfix + opendkim, exim, MTA-STS, Mailgun, SendGrid, Postmark, tu propio SMTP) según la documentación de tu proveedor.
Publica el registro TXT en `<selector>._domainkey.<tu-dominio>` en tu DNS. Si tu proveedor limita un único string TXT a 255 caracteres (la mayoría lo hace: es el límite del RFC), usa el formato dividido que te damos: `"part1" "part2"` en una sola línea.
Espera a la propagación DNS (unos minutos a unas horas), luego envía un correo de prueba y comprueba en los headers `dkim=pass`. Gmail lo muestra bajo "Mostrar original".

Cuándo es útil

Seis escenarios típicos en los que necesitas un par DKIM fresco:

Montar DKIM por primera vez en un dominio o servidor de correo nuevo. Necesitas el par antes de poder configurar cualquiera de los dos lados.
Rotación de claves cada 6-12 meses como práctica de higiene de seguridad. Genera un selector nuevo, publícalo, cambia la clave de firma en el servidor y retira el selector antiguo tras un periodo de gracia.
Sospecha de compromiso de clave: si crees que la clave privada se filtró (brecha en el servidor, commit accidental a un repo público, ex admin aún con acceso), genera una nueva al momento y revoca la antigua vaciando su valor `p=`.
Añadir una segunda fuente de envío (un proveedor transaccional como SendGrid junto a tu propio Postfix). Cada fuente suele querer su propio selector y clave.
Migrar de una clave legacy de 1024 bits a una moderna de 2048. La mayoría de proveedores avisan a gritos sobre esto en 2026.
Probar DKIM en un dominio de staging antes de activarlo en el correo de producción.

Herramientas relacionadas: verificador DNS de email (verifica el registro publicado), consulta DNS, analizador de cabeceras de correo.

Preguntas y respuestas

DKIM (DomainKeys Identified Mail) es un estándar de autenticación de correo. Tu servidor firma cada mensaje saliente con una clave privada y los receptores recuperan tu clave pública del DNS para verificar la firma. Si las matemáticas cuadran, el receptor sabe que el mensaje vino de verdad de tu dominio y que el cuerpo no se modificó por el camino. Sin DKIM, Gmail y Outlook marcarán tu correo como sospechoso o lo mandarán directo a spam. DKIM es uno de los tres pilares de la entrega moderna de correo, junto con SPF (qué IPs pueden enviar por ti) y DMARC (qué deben hacer los receptores cuando SPF o DKIM fallan).

Qué es un par de claves DKIM

Cómo usarla

Elige un selector: una etiqueta corta tipo `mail2024`, `s1` o `google`. Identifica qué clave firmó el mensaje, así un selector nuevo te permite rotar sin romper el correo antiguo.

Elige una longitud de clave: 2048 bits es el default moderno. 1024 es legacy (aún se acepta pero está desaconsejado). 4096 es exagerado para casi todos y ralentiza la ruta de firma.

Opcional: introduce tu dominio para que mostremos el nombre DNS completo (`<selector>._domainkey.<tu-dominio>`). Sin él, igualmente obtienes el cuerpo del registro TXT.

Pulsa Generar. Devolvemos la clave privada en formato PEM y el valor del registro TXT listo para pegar en tu panel de DNS.

Guarda la clave privada ya. Nosotros no la almacenamos. Cerrar esta pestaña la pierde para siempre. Instálala en tu servidor de correo (Postfix + opendkim, exim, MTA-STS, Mailgun, SendGrid, Postmark, tu propio SMTP) según la documentación de tu proveedor.

Publica el registro TXT en `<selector>._domainkey.<tu-dominio>` en tu DNS. Si tu proveedor limita un único string TXT a 255 caracteres (la mayoría lo hace: es el límite del RFC), usa el formato dividido que te damos: `"part1" "part2"` en una sola línea.

Espera a la propagación DNS (unos minutos a unas horas), luego envía un correo de prueba y comprueba en los headers `dkim=pass`. Gmail lo muestra bajo "Mostrar original".

Cuándo es útil

Seis escenarios típicos en los que necesitas un par DKIM fresco:

Montar DKIM por primera vez en un dominio o servidor de correo nuevo. Necesitas el par antes de poder configurar cualquiera de los dos lados.
Rotación de claves cada 6-12 meses como práctica de higiene de seguridad. Genera un selector nuevo, publícalo, cambia la clave de firma en el servidor y retira el selector antiguo tras un periodo de gracia.
Sospecha de compromiso de clave: si crees que la clave privada se filtró (brecha en el servidor, commit accidental a un repo público, ex admin aún con acceso), genera una nueva al momento y revoca la antigua vaciando su valor `p=`.
Añadir una segunda fuente de envío (un proveedor transaccional como SendGrid junto a tu propio Postfix). Cada fuente suele querer su propio selector y clave.
Migrar de una clave legacy de 1024 bits a una moderna de 2048. La mayoría de proveedores avisan a gritos sobre esto en 2026.
Probar DKIM en un dominio de staging antes de activarlo en el correo de producción.

Herramientas relacionadas: verificador DNS de email (verifica el registro publicado), consulta DNS, analizador de cabeceras de correo.

Preguntas y respuestas

Generador de par de claves DKIM

Qué es un par de claves DKIM

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Comprobador de DNS de correo (SPF/DKIM/DMARC)

Consulta DNS

Validador de cadena DNSSEC

Analizador de cabeceras de correo

Consulta WHOIS

Generador de par de claves DKIM

Qué es un par de claves DKIM

Cómo usarla

Cuándo es útil

Preguntas y respuestas

Herramientas relacionadas

Comprobador de DNS de correo (SPF/DKIM/DMARC)

Consulta DNS

Validador de cadena DNSSEC

Analizador de cabeceras de correo

Consulta WHOIS