RFC 6376 — Firmas de Correo Identificadas por Claves de Dominio (DKIM)
ELI5: DKIM coloca una firma a prueba de manipulaciones en tu correo electrónico y la clave pública correspondiente en tu DNS, para que los receptores puedan confirmar que el mensaje realmente proviene de tu dominio y no fue alterado en tránsito.
Por qué existe este RFC
DKIM proporciona a los correos electrónicos una firma verificable a nivel de dominio que sobrevive al reenvío, complementando la verificación basada en la ruta de SPF.
Cómo funciona
El remitente firma encabezados seleccionados y el cuerpo; la clave pública se encuentra en <selector>._domainkey.<domain> en DNS. La firma nombra el dominio firmante en su etiqueta d=.
Por qué importa el dominio del remitente
La clave DKIM es un registro DNS bajo tu dominio de envío (subdominio), y su dominio d= es lo que DMARC alinea — otra razón para enviar desde un dominio en el que puedas publicar registros.
Guía práctica
Para la configuración práctica, consulta Por qué deberías usar un subdominio para enviar correos electrónicos.