DKIM en TXT vs. CNAME - Diferencias clave y mejores prácticas

Blog

¿Confundido entre DKIM en TXT vs. CNAME? Explore las diferencias, pros y contras, y ejemplos reales para decidir la mejor forma de publicar DKIM para su dominio.

por Milena Baghdasaryan

Tiempo de lectura: 5 min
DKIM en TXT vs. CNAME - Diferencias clave y mejores prácticas
Índice-

DKIM es un estándar de autenticación de correo electrónico que aprovecha la criptografía de clave pública/privada para firmar mensajes de correo electrónico. Los registros DKIM le ayudan a comprobar si un correo electrónico entrante se envió realmente desde el dominio al que está asociada la clave DKIM. Como resultado, un registro DKIM le permite ver si un correo electrónico ha sido manipulado en tránsito y si es seguro abrirlo.

DKIM existe en su DNS como un registro DNS TXT (texto) o CNAME (nombre canónico). El uso de TXT o CNAME depende de una serie de factores que se describen a continuación.

Puntos clave

  • DKIM es un estándar de autenticación de correo electrónico diseñado para identificar direcciones de remitente de correo electrónico falsificadas.
  • Los registros DKIM son siempre registros TXT. Sin embargo, algunos proveedores utilizan la delegación CNAME para apuntar tu dominio a un registro TXT alojado en sus servidores.
  • Cada uno de estos métodos tiene sus propias ventajas y limitaciones. 
  • Elegir uno u otro depende de lo que priorices: control y seguridad o facilidad y comodidad. 
  • Los errores más comunes son el formato incorrecto del selector, la mezcla de TXT/CNAME para el mismo selector y los retrasos TTL durante la rotación de teclas.

Entender la publicación de registros DKIM

Veamos en qué consiste un registro DKIM. 

¿Qué contiene un registro DKIM?

Un registro DKIM incluye un selector, una clave pública y un algoritmo. Puede generar su registro DKIM con la herramienta en línea de PowerDMARC.

Selectores DKIM

Los selectores DKIM permiten al servidor de correo electrónico del destinatario localizar y verificar la clave pública del remitente. Ayuda a identificar qué clave pública DKIM utilizar para la verificación entre varias. Puede encontrarlo en la cabecera DKIM-Signature de cada correo electrónico firmado. Es el parámetro "s=".

Clave pública

La clave pública DKIM se publica en el DNS de su dominio como un registro TXT (o a veces un CNAME que apunta a la clave de su proveedor). Los servidores receptores la utilizan para verificar el hash del mensaje creado con la clave privada del remitente, lo que garantiza la integridad y autenticidad del correo electrónico.

La clave, proporcionada por la organización que envía su correo electrónico, se insertará directamente en su zona DNS como un registro TXT. Alternativamente, será un CNAME que apuntará a la clave en el DNS de su proveedor.

Algoritmo

El algoritmo utilizado para el hashing se define en la directiva a= de la cabecera DKIM-Signature (no en el registro DNS). Los algoritmos de firma DKIM admitidos son:

  • rsa-sha256 (recomendado y más común)
  • rsa-sha1 (obsoleto debido a su menor seguridad)

Ubicación y sintaxis de DNS

El registro DKIM es un registro TXT que contiene varios pares etiqueta-valor, normalmente separados por punto y coma:

v=DKIM1; k=rsa; p=PUBLIC_KEY

  • v=DKIM1 especifica la versión DKIM.
  • k=rsa, donde "k" se refiere al tipo de clave (RSA es el único soportado actualmente)
  • p=PUBLIC_KEY La clave pública real utilizada para verificar la firma

He aquí un ejemplo: selector._dominio.ejemplo.com


Aquí, "selector" es un identificador único para la clave DKIM, y ejemplo.com es su dominio.

Método 1 - DKIM como registro TXT

Con este método, su clave pública DKIM se publica como un registro DNS TXT en la ubicación selector._clavedominio.ejemplo.com. El correo saliente se firma con la clave privada, y los servidores receptores utilizan la clave pública de su DNS para verificar la firma.

Pros

  • Control total: El uso de DKIM como registro TXT le ofrece un control total sobre sus claves DKIM y DNS.
  • Sin dependencia de terceros: No necesitarás depender de terceros proveedores cuando utilices este método. Te dará una mayor sensación de privacidad y seguridad, ya que tú eres el propietario de tus datos.

Cons

  • Rotación manual de claves: Tú mismo eres el responsable de actualizar las claves, lo que puede resultar complicado para los usuarios sin conocimientos técnicos.
  • Mayor riesgo de errores de configuración: La configuración DIY aumenta las posibilidades de errores que pueden debilitar la seguridad del correo electrónico. Utilice nuestro comprobador DKIM gratuito gratuito para evitar errores.

Método 2 - DKIM mediante delegación CNAME

Este método funciona de forma bastante diferente al primero. En lugar de publicar tu clave pública DKIM directamente, creas un registro CNAME en selector._domainkey.example.com que apunta al registro DKIM de tu proveedor de servicios de correo electrónico (ESP). 

Una vez que un servidor receptor busca su clave DKIM, la consulta DNS sigue el CNAME hasta el DNS del ESP. Aquí es donde se aloja el registro TXT real con la clave pública. Los principales proveedores como SendGrid, Mailchimp y Amazon SES utilizan esta opción. 

Pros

  • Rotación automática de teclas: Este método no requiere actualizaciones manuales, y la rotación de claves se realiza automáticamente.
  • Fácil configuración: Este método es más adecuado para principiantes o para gestionar varios dominios. Permite una gestión continua y sin complicaciones.

Cons

  • Menos visibilidad: Una configuración más sencilla tiene el coste de un control y una visión limitados de sus claves DKIM y DNS.
  • Restricciones CNAME: Los CNAMEs profundamente anidados o encadenados pueden alcanzar los límites de resolución DNS o causar problemas de rendimiento. Algunos proveedores requieren formatos específicos o no admiten la delegación de CNAME, lo que puede romper DKIM si no se sigue.

TXT vs. CNAME - ¿Cuál debe utilizar?

A la hora de decidir si utilizar DKIM en TXT frente a CNAME, aquí tiene algunos consejos generales que debería seguir. 

Utilice TXT si...

  • Usted mismo aloja su correo electrónico y tiene conocimientos técnicos
  • Desea un control total sobre DKIM y DNS.
  • Prefiere gestionar y rotar las llaves usted mismo.

Nota: En algunos casos, su proveedor puede requerir la introducción directa de TXT, por lo que este método no es opcional. 

Utilice CNAME si...

  • Utiliza un ESP como Mailchimp, SES o SendGrid.
  • Prefiere la gestión automatizada de DKIM.
  • No tienes tiempo o conocimientos técnicos para la configuración manual.

Mezcla de TXT/CNAME para el mismo selector

DNS no permite tener un registro TXT y un registro CNAME en el mismo nombre de dominio (es decir, el mismo selector DKIM). Utilice sólo un tipo de registro (TXT o CNAME) por selector. Elija TXT para el control manual o CNAME si delega en un ESP.

Ejemplos reales

Si busca ejemplos de DKIM en TXT frente a CNAME, aquí tiene uno para cada uno, con una descripción concisa. 

Ejemplo de DKIM TXT

google._domainkey.example.com. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG..."

Este registro almacena directamente la clave pública DKIM en su DNS bajo el selector y dominio especificados.

Ejemplo de DKIM CNAME

em1234._dominio.ejemplo.com. IN CNAME em1234.example.dkim.emailsvc.com.

Este registro delega la búsqueda de claves DKIM a un proveedor externo apuntando a su registro DKIM alojado.

Resumen 

La elección de DKIM en TXT frente a CNAME puede parecer difícil. Ambos métodos funcionan bien y ambos se utilizan habitualmente, por lo que la decisión suele depender de usted. Su elección dependerá a menudo de si prioriza el control total y directo sobre la comodidad, o viceversa. 

Sea cual sea su elección final, audite siempre la configuración actual de DKIM para comprobar su cumplimiento. Esto puede ayudarle a evitar brechas de seguridad y garantizar el máximo nivel de seguridad para sus comunicaciones.

CTA

Últimos mensajes de Milena Baghdasaryan (ver todos)
Dirección del destinatario rechazada: Acceso denegado - Causas y soluciones (SMTP 550...Dirección del destinatario rechazada