Rotación de la clave DKIM

La rotación de claves DKIM es el proceso de actualización de sus claves DKIM. Debe rotar sus claves periódicamente; el período exacto no es importante, pero el proceso en sí lo es. ¿Por qué debería hacerlo? La rotación de claves se refiere a la creación de nuevas claves y a la actualización de los registros DNS con esas nuevas claves. El objetivo de la rotación de las claves DKIM es similar a la razón por la que cambia sus contraseñas periódicamente: es una medida de seguridad que ayuda a evitar que los atacantes se hagan pasar por su dominio y envíen correos electrónicos de spam o phishing.

Veamos por qué se utilizan las claves DKIM en primer lugar.

¿Por qué se utilizan las claves DKIM?

DKIM son las siglas de DomainKeys Identified Mail. Es una forma de añadir una capa adicional de seguridad a tu servidor de correo electrónico para que tus mensajes no sean marcados como spam y acaben en las carpetas de correo basura. La mejor manera de pensar en DKIM es como un identificador encriptado que se adjunta a sus mensajes para que los destinatarios puedan verificar que el mensaje fue realmente enviado por usted, la persona que dice provenir. Este identificador, o clave, es lo que les permite verificarlo.

¿Cómo funciona DKIM?

DKIM funciona añadiendo este identificador a cada correo electrónico que se envía. Cuando alguien recibe uno de estos correos, puede comprobar la cabecera o el pie del mensaje y encontrar una cadena de números y letras, que es el identificador cifrado o la clave DKIM. Antes de enviar un correo electrónico a su destinatario, el servidor de correo electrónico del remitente firma cada correo con una firma digital, que luego es validada por el servidor de correo electrónico receptor. Este proceso demuestra que el correo electrónico no ha sido manipulado ni alterado de ninguna manera. 

Cuando envías tu correo electrónico, la firma se adjunta como cabecera al final del mensaje. Los servidores receptores utilizan claves públicas (proporcionadas por los propietarios de los dominios a través de los registros DNS) para descifrar y verificar estas firmas.

¿Por qué es importante la rotación de claves DKIM para la seguridad de su dominio?

La rotación de claves DKIM se produce cuando se empieza a utilizar un nuevo par de claves privadas/públicas para firmar y autenticar el mensaje, y luego se deja de utilizar el par de claves privadas/públicas antiguo.

¿Por qué es importante? Bueno, si alguien consiguiera acceder a tu clave privada, podría utilizarla para enviar correos electrónicos fraudulentos que parezcan proceder de ti. Para evitar este tipo de actividad maliciosa, es una buena práctica rotar tus claves cada pocos meses.

Para entender mejor la importancia de la rotación de claves DKIM, veamos este ejemplo: 

Supongamos que envías una campaña de correo electrónico para una venta navideña en tu tienda. Utilizas tus claves DKIM para firmar tus correos electrónicos, pero si envías suficientes correos electrónicos utilizando el mismo par de claves a lo largo del tiempo, los malos actores pueden llegar a interceptar y descifrar uno de ellos, ya que cada mensaje utiliza el mismo algoritmo de hash criptográfico. Una vez que tienen tu clave pública, pueden empezar a firmar sus correos electrónicos de phishing con ella sin que lo sepas. Por eso la rotación periódica de la clave DKIM es crucial para la seguridad de tu dominio.

¿Cómo puede rotar sus claves DKIM?

1. Rotación manual de la clave DKIM

Puede rotar manualmente sus claves DKIM de vez en cuando creando nuevas claves para su dominio. Para ello, siga estos pasos: 

  • Diríjase a nuestro generador gratuito de registros generador de registros DKIM herramienta
  • Introduzca la información de su dominio e introduzca el selector DKIM que desee 
  • Pulse el botón "Generar". 
  • Copie su nuevo par de claves DKIM 
  • La clave pública se publicará en su DNS, sustituyendo su registro anterior
  • La clave privada debe ser compartida con su ESP (si está subcontratando sus correos electrónicos) o cargada en su servidor de correo electrónico (si maneja la transferencia de correo electrónico en sus instalaciones) 

2. Delegación de la clave DKIM del subdominio

Los propietarios de dominios pueden externalizar la rotación de claves DKIM permitiendo que un tercero se encargue de ello por ellos. Esto es cuando el propietario del dominio delega un subdominio dedicado a un proveedor de correo electrónico y le pide que genere un par de claves DKIM en su nombre. Esto permite a los propietarios evadir la molestia de la rotación de la clave DKIM externalizando la responsabilidad a un tercero. 

Sin embargo, esto puede causar problemas de anulación de políticas con las entradas DMARC. Se recomienda que las claves rotadas sean supervisadas y revisadas por los controladores de dominio para garantizar un despliegue fluido y sin errores. 

3. Delegación de clave DKIM CNAME

CNAME significa nombre canónico, y son registros DNS que se utilizan para apuntar a los datos de un dominio externo. La delegación CNAME permite a los propietarios de dominios apuntar a la información del registro DKIM que mantiene cualquier tercero externo. Esto es similar a la delegación de subdominios, ya que el propietario del dominio sólo tiene que publicar algunos registros CNAME en sus DNS, mientras que la infraestructura DKIM y la rotación de claves DKIM son gestionadas por el tercero al que apunta el registro. 

Por ejemplo, 

"dominio.com" es el dominio desde el que se van a firmar los correos electrónicos de origen, y "tercero.com" es el proveedor que se encargará del proceso de firma. 

s1._dominio.dominio.com CNAME s1.dominio.com.terceros.com

El mencionado registro CNAME debe publicarse en el DNS del propietario del dominio. 

Ahora, s1.domain.com.third-party.com ya tiene un registro DKIM publicado en su DNS que puede ser s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Esta información se utilizará para firmar los correos electrónicos procedentes de domain.com. 

Nota: Es necesario publicar varios registros DKIM (recomendado: al menos 3 registros CNAME) con diferentes selectores en su DNS para permitir la rotación de claves DKIM. Esto permitirá a su proveedor cambiar de clave mientras firma y le proporcionará opciones alternativas.

4. Rotación automática de la clave DKIM

La mayoría de los proveedores de correo electrónico y los proveedores de servicios de correo electrónico de terceros permiten la rotación automática de la clave DKIM para los clientes. Por ejemplo, si utiliza Office 365 para enrutar sus correos electrónicos, le alegrará saber que Microsoft admite la rotación automática de claves DKIM para sus usuarios de Office 365. 

Hemos cubierto un documento completo sobre cómo habilitar la rotación de claves DKIM para sus correos electrónicos de Office 365 en nuestra base de conocimientos. 

Ventajas de rotar automáticamente sus claves DKIM

  • No tiene que hacer nada por su parte si su proveedor permite la rotación automática de las claves DKIM. Todo es gestionado por ellos. 
  • Las configuraciones manuales son propensas a los errores humanos.
  • La rotación automática de las llaves es rápida y eficaz, y no requiere ninguna interferencia por su parte. 
  • El sistema de gestión de DKIM está completamente externalizado y gestionado por un tercero.

Implementación de una estrategia de rotación de claves DKIM

Lo llamamos las "3 Ds de la rotación de claves DKIM":

  • Discuta 
  • Decidir
  • Despliegue 

Esto resume una estrategia eficaz de rotación de claves DKIM para sus dominios. Cuando utilice un servicio de terceros para sus correos electrónicos y su proveedor se encargue de la rotación, asegúrese de mantener una conversación abierta y transparente sobre cuándo y con qué frecuencia desea rotar sus claves. Deberías tener voz y voto en lo que respecta a los plazos, así como al tamaño que quieres utilizar para tu clave de selección (si quieres utilizar 1024 bits o 2048 bits para mayor seguridad). 

Una vez pasada la fase de discusión, usted y su proveedor deben decidir mutuamente cuál es su estrategia y finalmente proceder a desplegarla.