DomainKeys vs. DKIM: ¿Cuál es la diferencia?
por
Tiempo de lectura: 6 min
Puntos clave
- Yahoo introdujo DomainKeys en 2004 para verificar la identidad del dominio del remitente y reducir los correos electrónicos falsificados.
- DKIM (DomainKeys Identified Mail) fue estandarizado por el IETF en RFC 4871 (2007), fusionando DomainKeys de Yahoo e Identified Internet Mail de Cisco en un único estándar abierto.
- DKIM permite a los remitentes firmar un hash canonicalizado de las cabeceras y el contenido del cuerpo seleccionados, lo que garantiza la integridad del mensaje incluso cuando se producen modificaciones no críticas (como cambios en los espacios en blanco).
- Los selectores en DKIM simplifican la rotación de claves y permiten múltiples claves para diferentes servicios.
- DKIM valida que un correo electrónico ha sido autorizado por el dominio que figura en la firma y que su contenido no ha sido alterado en tránsito.
- DKIM contribuye a las comprobaciones de alineación de DMARC, ayudando a los propietarios de dominios a aplicar políticas anti-spoofing.
DomainKeys y DKIM son dos tecnologías de autenticación de correo electrónico relacionadas pero distintas, diseñadas para proteger contra la suplantación de identidad, el phishing y el spam. DomainKeys, introducida por Yahoo en 2004, fue el primer paso hacia la validación de la autenticidad del remitente mediante firmas criptográficas. Sin embargo, su flexibilidad y adopción eran limitadas. DKIM evolucionó a partir de DomainKeys y Cisco's Identified Internet Mail hasta convertirse en una solución estandarizada y ampliamente adoptada. En la actualidad, DKIM es la piedra angular de la comunicación segura por correo electrónico, ya que garantiza que los mensajes permanezcan auténticos e inalterados durante la transmisión, al tiempo que es compatible con DMARC para la aplicación de políticas.
¿Qué era DomainKeys (DK)?
DomainKeys fue uno de los primeros protocolos de autenticación de correo electrónico desarrollado y publicado por Yahoo en 2004. Tenía un objetivo muy simple, sencillo y admirable: verificar la identidad del dominio del remitente y reducir el creciente número de spam, phishing y correo electrónico falsificado.
Así funcionaba DomainKeys. Utilizaba un sencillo esquema de firma que aplicaba firmas criptográficas a todo el mensaje. Aunque se trataba de un paso adelante, seguía careciendo de flexibilidad en la selección de cabeceras y se rompía fácilmente con el reenvío o las modificaciones de las listas de correo. Debido a estas limitaciones, finalmente fue sustituido por DKIM y quedó obsoleto.
Inconvenientes de DomainKeys
He aquí algunas razones por las que DomainKeys tuvo que ser finalmente sustituido:
- Era propietario: Era un estándar propietario de Yahoo y nunca logró una estandarización generalizada del IETF.
- Carecía de mecanismo selector: Carecía de "selectores", lo que significa que un dominio sólo podía utilizar una única clave pública. Esto dificultaba enormemente la rotación de claves y la gestión de distintos servicios de envío de correo electrónico.
- Las firmas eran bastante frágiles: El método de firma era muy rígido. Las firmas casi siempre se rompían si el correo electrónico era reenviado o modificado ligeramente por una lista de correo.
- Su flexibilidad era limitada: Ofrecía muy pocas opciones de algoritmos de firma y canonicalización (es decir, cómo se procesa el correo electrónico antes de firmarlo).
Introducción a DKIM (DomainKeys Identified Mail)
DKIMo DomainKeys Identified Mail, es un protocolo de autenticación de correo electrónico que permite a los remitentes impedir que el contenido del correo electrónico sea manipulado durante su entrega. DKIM surgió de una colaboración entre Yahoo y Cisco en 2004-2005 y se convirtió en norma del IETF en 2007 (RFC 4871).
Funciona añadiendo una firma digital a la cabecera del mensaje. En cuanto el receptor recibe el correo firmado con DKIM, comprueba la firma para asegurarse de que es válida. Si es válida, sabe que el mensaje se ha transmitido intacto y no ha sido manipulado por piratas informáticos.
Aquí tiene un ejemplo de firma DKIM:
Firma DKIM: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:subject:date; bh=abc123...; b=xyz456...
Cómo funciona DKIM
DKIM se basa en un par de claves criptográficas: una clave privada y una clave pública. Estas claves son esenciales para garantizar que un correo electrónico es auténtico y no ha sido alterado.
Cuando se envía un correo electrónico, el servidor de correo del remitente utiliza la clave privada para crear una firma digital. Esta firma se añade al correo electrónico en la cabecera DKIM, una parte especial del correo electrónico que contiene la propia firma junto con información sobre el dominio de firma, el algoritmo utilizado y qué cabeceras se incluyeron en la firma.
Cuando el correo electrónico llega al destinatario, su servidor de correo recupera la clave pública del DNS del remitente. A continuación, el servidor utiliza esta clave pública para comprobar la cabecera DKIM y verificar que la firma coincide con el mensaje. Si es así, se confirma que el correo electrónico es auténtico y no ha sido alterado.
En resumen el encabezado DKIM lleva la firma, la clave privada la genera y la clave pública la verifica, protegiendo tanto la integridad como la autenticidad del correo electrónico.
Innovación clave: La innovación clave de DKIM con respecto a DomainKeys fue la introducción de firmas criptográficas estandarizadas y flexibles con selectores y una canonicalización robusta para una autenticación fiable basada en dominios.
DomainKeys frente a DKIM: las principales diferencias
Sólo hay dos letras de diferencia en el acrónimo, pero la diferencia es enorme. DKIM vino a solucionar las limitaciones de DomainKeys.
1. Normalización y adopción
- DomainKeys: Era propietario e impulsado por Yahoo, y su adopción fue bastante limitada; hoy en día, está completamente obsoleto.
- DKIM: Se trata de un norma abierta del IETF. Esta neutralidad y superioridad técnica se convirtieron en las principales razones por las que todos los grandes proveedores de correo electrónico, incluidos Google y Microsoft, lo adoptaron.
2. Flexibilidad de la firma
- DomainKeys: Firmaba cabeceras específicas y todo el cuerpo del mensaje, lo que a menudo provocaba la ruptura de la firma si los mensajes se modificaban en tránsito.
- DKIM: El hash del cuerpo y la canonicalización de DKIM lo hacen más tolerante a pequeños cambios de formato, aunque el reenvío o las modificaciones en las listas de correo pueden romper las firmas. Permite al remitente elegir exactamente qué cabeceras firmar (h= ). Además, firma un hash del cuerpo del mensaje (bh= ), que es más resistente a pequeñas modificaciones como el reenvío. También utiliza la canonicalización (c= ) para definir cómo se tratan los cambios en los mensajes, como los espacios en blanco.
3. Gestión de claves y selectores
- DomainKeys: Carecía del mecanismo selector, lo que obligaba a que todos los mensajes de un dominio utilizaran una única clave pública, lo que complicaba la rotación y gestión de claves.
- DKIM: Introdujo el concepto de "selectores". Un selector es un nombre que apunta a un específico clave pública en su DNS. Esto le permite:
- Utiliza diferentes claves para diferentes servicios, ya sea para Google Workspace, para tu plataforma de marketing, etc.
- Rote sus llaves por seguridad sin interrumpir el flujo de correo.
Si necesita ayuda para crear su registro DKIM, puede utilizar un generador de registros DKIM gratuito para asegurarse de que la sintaxis es correcta.
4. Seguridad e integridad
- DomainKeys: Se centraba en la autenticidad del remitente.
- DKIM: La comprobación del hash del cuerpo (bh=) confirma que el contenido del correo electrónico no ha sido alterado desde que fue firmado.
DomainKeys frente a DKIM: tabla comparativa
| Característica | DomainKeys (DK) | Correo Identificado con Claves de Dominio (DKIM) |
|---|---|---|
| Desarrollado por | Yahoo (propietario) en 2004 | Esfuerzo conjunto de Yahoo y Cisco, estandarizado posteriormente por el IETF. Introducido en 2007 (RFC 4871), actualizado en RFC 6376 (2011). |
| Propósito | Autenticar el dominio del remitente para reducir los correos falsos y el spam | Autenticar el dominio del remitente y garantizar la integridad del mensaje |
| Nombre del campo de cabecera | DomainKey-Signature: | Firma DKIM: |
| Mecanismo selector | No se admite | Soportado (selector._clavedominio.ejemplo.com) |
| Gestión de claves | Clave única para todo el dominio | Varias teclas mediante selectores; fácil rotación de las teclas |
| Alcance de la firma | Todo el cuerpo del mensaje y algunas cabeceras | Cabeceras específicas elegidas por el remitente (h= etiqueta) y cuerpo del mensaje con hash (bh= etiqueta) |
| Opciones de canonización | Básico o ninguno | Opciones de canonicalización sencillas y flexibles |
| Hashing corporal | Todo el cuerpo firmado directamente | Utiliza el hash del cuerpo (bh=) para resistir mejor los pequeños cambios. |
| Dominio de verificación | Basado en el dominio "De" o "Remitente | Basado en la etiqueta d= de la firma |
| Integración con DMARC | No se admite | Totalmente compatible y utilizado para comprobaciones de alineación |
| Adopción y situación | Adopción limitada; obsoleta | Ampliamente adoptado y utilizado |
| Limitación principal | Proceso de firma rígido, sin selectores, rotura de firma | No protege el encabezado visible "De" (necesita DMARC) |
Por qué DKIM sustituyó a DomainKeys
DKIM sustituyó a DomainKeys porque resolvía las principales limitaciones técnicas del protocolo: falta de estandarización, ausencia de un mecanismo selector para la rotación de claves y fragilidad de las firmas que se rompían con pequeños cambios en los mensajes. DKIM introdujo la firma flexible de encabezados, una criptografía más potente y la estandarización del IETF, lo que lo hizo más fiable, escalable y ampliamente adoptado para la autenticación del correo electrónico.
Beneficios empresariales de la implantación de DKIM
DKIM ofrece numerosas ventajas:
Prevención de la suplantación de identidad y el phishing
Aunque DKIM no puede detener por sí solo los ataques de suplantación de identidad y phishing, funciona con DMARC para mejorar la seguridad de los dominios y evitar las falsificaciones.
Protección de marca
Cuando un estafador utiliza su dominio para enviar correos electrónicos maliciosos, la reputación de su marca se resiente. Los destinatarios asocian su nombre con spam y el fraude, lo que conduce a una pérdida de confianza. DKIM preserva la integridad de su marca en la bandeja de entrada.
Entregabilidad del correo electrónico
Los principales proveedores de bandejas de entrada, como Google y Microsoft esperan y exigen una autenticación válida. Los correos electrónicos que pasan DKIM se consideran más fiables.
Integridad de los mensajes
La firma DKIM garantiza que el contenido del correo electrónico no ha sido manipulado después de su envío. Esto ayuda a garantizar que el mensaje que lee el destinatario es exactamente el mismo que usted envió.
Por qué DKIM por sí solo no es suficiente
DKIM es una herramienta poderosa, pero tiene una limitación importante cuando se utiliza sola: no detiene la falsificación del encabezado "De".
DKIM comprueba que el correo electrónico haya sido firmado por un dominio que figure en el campo d= de su firma. Sin embargo no requiere que el dominio coincida con el visible "visible que ve el usuario. Un phisher podría enviar un correo electrónico "desde" el nombre del CEO, pero firmarlo con su propio dominio malicioso. El correo electrónico pasaría una comprobación DKIM, pero seguiría siendo un ataque de suplantación de identidad.
Aquí es donde DMARC entra en juego.
DMARC tiende un puente entre la autenticación y la identidad. Garantiza que el dominio autenticado por DKIM o SPF coincide con el dominio visible para el destinatario en el encabezado "De".
Resumen
DomainKeys allanó el camino, pero DKIM sigue siendo el estándar para la autenticación de correo electrónico de confianza hoy en día. Su combinación con DMARC garantiza la protección contra la suplantación de identidad y el phishing.
Si configura algo de forma incorrecta, incluso los correos electrónicos legítimos pueden quedar bloqueados. Para evitar estos problemas y otros desafíos con DKIM, PowerDMARC's DKIM alojado de PowerDMARC. Se trata de un servicio en la nube que se encarga de todos los aspectos del proceso de gestión de DKIM. Desde un panel centralizado, puede añadir, editar y gestionar varios selectores y claves para todos sus dominios, sin tener que ocuparse de los cambios a nivel de DNS.
Inicie una prueba gratuita hoy mismo para aumentar la capacidad de entrega, mejorar la autenticación y proteger su dominio contra la suplantación de identidad.
Preguntas frecuentes
- ¿Se sigue utilizando DomainKeys en la actualidad?
Ya no. Fue obsoleto y sustituido por el moderno protocolo DKIM.
- ¿Cómo puede ayudar PowerDMARC con la gestión de DKIM?
PowerDMARC ofrece una solución DKIM alojada que permite la implantación automática de DKIM, el selector y la gestión de claves.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Ahona es la Directora de Marketing de PowerDMARC, con más de 5 años de experiencia escribiendo sobre temas de ciberseguridad, especializada en seguridad de dominios y correo electrónico. Ahona tiene un posgrado en Periodismo y Comunicaciones, consolidando su carrera en el sector de la seguridad desde 2019.
Últimas publicaciones de Ahona Rudra (ver todas)
- Caso práctico de DMARC MSP: cómo Pablo Herreros simplificó la gestión de registros DNS para los clientes con PowerDMARC - 10 de diciembre de 2025
- SMB1001 y DMARC: lo que las pymes deben saber para cumplir con la normativa de seguridad del correo electrónico - 8 de diciembre de 2025
- Los mejores analizadores de dominios para la seguridad del correo electrónico en 2026 - 5 de diciembre de 2025
