DKIM Domain Alignment Failures - RFC 5322 Correcciones
por
Tiempo de lectura: 6 min
Se produce un error de alineación RFC 5322 cuando el dominio del encabezado "De:" (visible para los usuarios) no coincide con el dominio DKIM d= (en la firma). DMARC exige que el dominio del encabezado "De:" coincida con el dominio autenticado por SPF o DKIM.
DKIM ayuda a comprobar si un correo electrónico ha sido manipulado en tránsito. A efectos de DMARC, DKIM también autentica la identidad del dominio que afirma enviar el correo electrónico (a través de d=). DMARC comprueba si la dirección "De:" de un mensaje de correo electrónico coincide con los dominios autenticados por SPF y DKIM.
Puntos clave
- Se produce un error de alineación RFC 5322 cuando el dominio del encabezado "De:" no coincide con el dominio especificado en la firma DKIM (etiqueta d=).
- La alineación de dominios DKIM es necesaria para pasar DMARC si la alineación SPF falla o está ausente.
- Los dos modos de alineación en DMARC son estricto y relajado.
- El uso de herramientas de marketing por correo electrónico y el reenvío de correo electrónico pueden provocar un desajuste en la alineación DKIM RFC 5322.
- Haga coincidir siempre los dominios DKIM y "De:", establezca el modo de alineación pertinente, mantenga el encabezado "De:" original y añada claves DKIM de subdominio.
¿Qué es la RFC 5322?
RFC 5322 define la sintaxis de las cabeceras de correo electrónico de Internet, incluida la cabecera "De:". DKIM y DMARC se basan en estas cabeceras para la autenticación. SPF, por su parte, comprueba el remitente del sobre (MAIL FROM) según la RFC 5321. El RFC 5322 se publicó en octubre de 2008, y ahora es un estándar para dar formato a las cabeceras y cuerpos de los correos electrónicos.
Si no hubiera requisitos de alineación, los atacantes podrían haber utilizado simplemente un SPF o DKIM válidos de un dominio y falsificar la dirección "De:" de otro. Con el requisito de alineación, el trabajo de los hackers se vuelve mucho más difícil: si los dominios no se alinean, la autenticación DMARC fallará y el correo electrónico se enviará a spam o se rechazará directamente.
¿Qué es la alineación de dominios DKIM?
Para entender mejor qué es la alineación de dominios DKIM, sería útil entender primero cómo funciona DKIM.
Qué es DKIM y cómo funciona
DKIM (DomainKeys Identified Mail) es un protocolo de autenticación de correo electrónico que permite a una persona u organización responsabilizarse de la transmisión de un correo electrónico. Añade una firma digital que los proveedores de buzones pueden comprobar para asegurarse de que el correo electrónico no ha sido manipulado en tránsito.
Al enviar un correo electrónico, el dominio remitente firma los mensajes salientes con una clave privada. A continuación, el servidor receptor comprueba la firma con ayuda de una clave pública que se publica en las DNS del dominio.
La etiqueta "d=", un componente clave de la firma DKIM, especifica el dominio responsable de la firma del mensaje. Este dominio se incluye en la cabecera DKIM y es utilizado por los servidores receptores para comprobar la clave pública para su verificación.
La diferencia entre relajado y estricto en DMARC
Alineación DMARC ayuda a garantizar que el dominio del encabezado "De:" coincide con el dominio autenticado por SPF o DKIM. Existen dos modos de alineación en DMARC: relajado o estricto.
- Alineación relajada: El dominio de la cabecera "De:" sólo tiene que coincidir con el dominio de la organización utilizado en la autenticación SPF o DKIM. Este es un modo más "indulgente" y flexible, y resulta especialmente útil cuando se utilizan subdominios o servicios de correo electrónico de terceros.
- Alineación estricta: En el caso del modo de alineación estricta, el dominio del encabezado "De:" tiene que coincidir exactamente con el dominio utilizado en la autenticación SPF o DKIM.
| Modo de alineación | De: Ejemplo de cabecera | DKIM d= Ejemplo | Resultado DMARC |
|---|---|---|---|
| Estricto | [email protected] | d=example.com | ✅ Pase |
| Estricto | [email protected] | d=example.com | ❌ Fallo |
| Relajado | [email protected] | d=example.com | ✅ Pase |
| Relajado | [email protected] | d=mail.example.com | ✅ Pass (mismo dominio organizativo, basado en la lista pública de sufijos) |
Por qué es importante la alineación DKIM y RFC 5322
El principal objetivo del requisito de alineación DKIM y RFC 5322 es impedir el acceso no autorizado.
Cuestión central: Requisito de alineación de DMARC
DMARC exige que el dominio del encabezado "De:" del correo electrónico coincida, al menos parcialmente, con el dominio especificado en el campo "d=" de la firma DKIM. En alineación estricta, los dominios deben coincidir exactamente. En la alineación relajada, deben compartir al menos el mismo dominio organizativo.
Escenarios comunes de desajuste
He aquí algunos de los casos más comunes de desajuste:
Uso de herramientas de marketing
Las herramientas de marketing suelen enviar correos electrónicos desde direcciones como [email protected] pero los firman con un dominio DKIM "d=ejemplo.com". En tal situación, si la alineación DKIM está configurada en alineación estricta (adkim=s) es probable que vea que la alineación de la firma DKIM falla.
Reenvío de correo electrónico
Aunque el reenvío suele afectar más a SPF que a DKIM, DKIM también puede fallar durante el reenvío, pero sólo si el mensaje es modificado (por ejemplo, por listas de correo). Tenga en cuenta que la cabecera "From:" rara vez es modificada por los reenviadores.
He aquí un ejemplo de desalineación:
- De: [email protected] (cabecera RFC 5322)
- DKIM-Signature: d=ejemplo.com (dominio mal alineado y DMARC falla)
Causas comunes de los problemas de alineación
Algunas de las causas más comunes de los fallos de alineación son:
Uso de servicios de terceros
Cuando envíe correos electrónicos a través de proveedores externos de terceros que no configuren correctamente la alineación de dominios, es probable que experimente un fallo de alineación de dominios DKIM RFC 5322.
Registro DKIM mal configurado
Cuando sus registros DKIM o selectores están configurados incorrectamente, es probable que se produzca una desalineación. Incluso un pequeño error en la configuración puede provocar fallos importantes que afecten a la entregabilidad de su correo electrónico.
Inconsistencias de dominio
Cuando se utilizan dominios diferentes en la firma DKIM y en la cabecera "De:", no es de extrañar que se produzca un desajuste en la cabecera "De" RFC 5322. Tanto si la incoherencia del dominio se debe a un descuido y a una configuración incorrecta, como si forma parte de su configuración de forma intencionada, en ambos casos, es bastante probable que se produzca un desajuste y los problemas subsiguientes.
Cómo diagnosticar fallos de alineación RFC 5322
He aquí dos pasos rápidos que le ayudarán a diagnosticar el problema de alineación RFC 5322.
- Si desea diagnosticar fallos de alineación RFC 5322, en primer lugar, revise detenidamente sus informes DMARC en busca de entradas con el motivo "dkim alignment failed".
- A continuación, puede utilizar herramientas de autenticación de correo electrónico como un verificador DKIM o el comando dig para verificar sus registros DNS. Esto le ayudará a confirmar que las firmas DKIM se publican correctamente y coinciden con su dominio de envío.
Cómo corregir la desalineación DKIM-RFC 5322
He aquí algunos pasos fáciles de seguir para solucionar el desajuste DKIM-RFC 5322.
1. Coincidencia de DKIM y dominios de origen
Asegúrese siempre de que la firma DKIM utiliza el mismo dominio que el campo "De:" . Esto es mejor para los correos electrónicos enviados directamente desde su dominio.
2. Establecer modo de alineación
Asegúrese de establecer el modo de alineación que mejor se adapte a sus preferencias y necesidades. Utilice adkim=s para una alineación estricta (cuando se requiere una coincidencia exacta) o adkim=r para una alineación relajada (para permitir también subdominios) en su política DMARC.
3. Añadir claves DKIM de subdominio
Si utiliza subdominios en su dirección "De:", asegúrese de que DKIM esté configurado para firmar mensajes que utilicen ese subdominio exacto o ajuste su modo de alineación DMARC en consecuencia.
4. Conservar la cabecera inicial "De:".
Debe configurar sus servicios de correo electrónico para conservar el dominio "De:" original en la cabecera del mensaje. Puede haber ocasiones durante el reenvío de correo electrónico en las que los intermediarios modifiquen involuntariamente la cabecera "De:" u otras partes del mensaje, rompiendo potencialmente la alineación DKIM y causando fallos DMARC. Mantener el encabezado "De:" original ayuda a preservar la alineación del dominio, y cuando se combina con ARC (cadena de recepción autenticada)puede proporcionar un contexto de autenticación adicional para ayudar al servidor del destinatario a evaluar la legitimidad del mensaje a pesar de los cambios de los intermediarios.
5. Probar y validar
La comprobación y validación es un paso clave del proceso que a menudo se pasa por alto. Existen muchas herramientas de libre acceso que puede utilizar para comprobar la alineación de dominios y la configuración de DKIM. El uso de estas herramientas le ayudará a garantizar que la autenticación DMARC se aprueba y que su mensaje se entrega al destinatario previsto.
Consejos profesionales
Estos son otros consejos para una alineación sin errores.
Alineación SPF + DKIM
DMARC compara el dominio del encabezado RFC 5322.From con dominios autenticados por SPF (MAIL FROM) y DKIM (d=).
Evite que herramientas de terceros rompan las cabeceras
Procure no utilizar proveedores de servicios de correo electrónico (ESP) de terceros que rompan o alteren las cabeceras. Puede probar la conformidad de los ESP antes de proceder a la implantación completa. Esto le ayudará a evitar problemas de entrega al tiempo que garantiza el cumplimiento.
Resumen
Un error de alineación RFC 5322 puede surgir en varias situaciones, especialmente cuando se utilizan herramientas de marketing por correo electrónico o se realiza un reenvío de correo electrónico. Algunas de las causas más comunes son el uso de servicios de terceros, la configuración incorrecta de los registros DKIM y las incoherencias de dominio.
Puede diagnosticar fácilmente los fallos de alineación RFC 5322 con un analizador de informes DMARC, que le ayuda a detectar e identificar rápidamente los problemas de autenticación mediante datos DMARC visuales y legibles por humanos.
PowerDMARC puede ayudarle a iniciar su viaje hacia la autenticación de correo electrónico sin errores y a evitar fallos de alineación. Para empezar, pruebe prueba gratuita de 15 días hoy mismo.
Experto en seguridad de dominios y correo electrónico de PowerDMARC
Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.
Últimos mensajes de Yunes Tarada (ver todos)
- Explicación del mecanismo neutro del FPS: Cuándo y cómo utilizarlo - 23 de junio de 2025
- Fallos en la alineación de dominios DKIM - Correcciones RFC 5322 - 5 de junio de 2025
- Explicación de DMARCbis: qué cambia y cómo prepararse - 19 de mayo de 2025
