¿Cómo solucionar el error "La firma DKIM no es válida"?

Una vez que esté familiarizado con lo que es DKIMle interesará saber qué hacer cuando su firma DKIM no sea válida. Esto puede ocurrir debido a una entrada incorrecta en el registro DNSun retraso en la propagación DNS, u otras razones. Este blog se centrará únicamente en estos últimos.

¿Por qué su firma DKIM no es válida?

Firma DKIM es una cabecera que se añade a los mensajes de correo electrónico para que el servidor de correo del destinatario pueda autenticar los mensajes comprobando la clave DKIM del remitente. Este proceso se basa en la seguridad en línea basada en la criptografía. La presencia de un registro DKIM erróneo o la falta de campos de cabecera DKIM puede provocar el error La firma DKIM no es válida.

¿Cuándo falla la comprobación DKIM?

Verá el mensaje 'Su firma DKIM no es válida' cuando falle la comprobación de autenticación DKIM. Estas son las razones más comunes de este fallo:

• El dominio de la firma DKIM y el dominio del remitente no coinciden.
• El registro de clave pública DKIM publicado en DNS no es correcto.
• El registro de clave pública DKIM publicado en DNS no se publica en absoluto.
• El servidor no consigue llegar a la zona DNS del dominio del remitente para realizar la búsqueda. Esta es una situación común para los proveedores de alojamiento pobres.
• La longitud de la clave DKIM es insuficiente como 1024, y se admiten claves largas de 2048 bits. Cuando su proveedor de alojamiento de correo web firma correos electrónicos con una longitud de clave DKIM menor, se produce un error de firma DKIM no válida.
• Se han realizado algunas modificaciones en el mensaje durante el reenvío automático. 

Todos los casos, salvo el último, son cuestiones técnicas que puede resolver un experto. Sin embargo, no es realista evitar el último, ya que no se puede controlar a los destinatarios para que dejen de añadir pies de página de cumplimiento. Entonces, ¿qué puede ocurrir cuando estos mensajes reenviados automáticamente no cumplen ni SPF ni DKIM porque ha establecido la política DMARC en "rechazar"?

Antes, los servidores de los destinatarios se enfrentaban a todo un reto a la hora de gestionar estos mensajes no autenticados pero legítimos. Pero hoy en día, todos los principales proveedores de servicios de correo electrónico o ESP utilizan Cadena de Recepción Autenticada o protocolo ARC.

Este protocolo permite a los servidores de correo identificar el servidor de correo que lo gestionaba anteriormente. Esto les permite conocer los pasos de evaluación de la autenticación. 

General La firma DKIM no es válida Errores y soluciones

A pesar de alinear los registros DKIM, puede aparecer un error de firma DKIM no válida. Veamos cuáles son las posibles causas de "La firma DKIM no es válida" y cómo solucionarlas. 

1. Entrada DNS incorrecta

Después de crear el registro DKIM TXT y añadirlo al archivo de configuración DNS, puede ver el error DKIM signature not valid en cPanel. Esto se puede resolver siguiendo estos pasos:

• Inicie sesión en cPanel.
• Haga clic en Editor avanzado de zonas DNS en Dominios.
• Seleccione el dominio de la lista.
• Ir a Editar registros DNS y compruebe el registro TXT.
• Introduzca el valor correcto para el registro DKIM.
• Guarde el archivo. Podrás ver los cambios. 

2. Retraso de propagación DNS

Puede ver errores a pesar de cambiar los ajustes en el archivo de configuración DNS. Esto suele ocurrir porque la propagación DNS tarda entre 24 y 48 horas después de realizar cambios en la configuración DNS. Esto varía en función del valor TTL mencionado en el registro DNS.

En estos casos, se recomienda esperar de 3 a 4 días para que el DNS se propague completamente. Mientras tanto, puede comprobar el estado de propagación DNS del dominio utilizando herramientas o analizadores de propagación DNS. 

¿Por qué ve DKIM=Neutral (DKIM Permfail "Body Hash Did Not Verify)?

Si ve el estado de una firma DKIM como "hash del cuerpo no verificado", significa simplemente que el hash calculado del correo electrónico no coincide con el valor hash del cuerpo añadido en la etiqueta "bh=". Muchos servidores de correo electrónico de empresas cambian el texto en línea al final de los correos electrónicos entrantes antes de que se desglosen los componentes. Esto conduce a un hash del cuerpo inválido que eventualmente causa una comprobación DMARC fallida.

En tales situaciones, las fuentes fallan las comprobaciones DMARC porque un hacker ha estado enviando correos electrónicos maliciosos utilizando su dominio. Por lo tanto, debe examinar a fondo todas las fuentes que aparecen en la sección de errores para identificarlas como válidas o maliciosas. Si una fuente genuina ha aterrizado en la sección fallida, configure y alinee SPF y DKIM correctamente. 

Algunas posibles razones por las que ve DKIM= neutral (el hash del cuerpo no se verificó) son:

• Un reenviador, un host inteligente u otro agente de filtrado modificó el contenido del correo electrónico.
• El firmante calculó mal el valor de la firma.
• Un actor malintencionado falsificó el correo electrónico y lo firmó sin tener la clave privada correcta.
• La clave pública especificada en la cabecera DKIM-Signature no es correcta.
• La clave pública publicada por el remitente en sus DNS no es correcta.

¿Cómo se puede investigar la fuente?

• Compruebe si la fuente pertenece al socio de su empresa.
• Busca sobre la fuente en internet.
• Compruebe si aparece en los sitios web de la lista negra de RBL.
• Examine los informes forenses DMARC para ver los tipos de correos electrónicos enviados por la fuente.
• Busque los documentos para configurar DMARC correctamente si la fuente es válida.
• Contacte con la fuente.

¿Filtra DKIM el correo electrónico?

DKIM no filtra el correo electrónico, pero los detalles que comparte ayudan a los filtros utilizados por el dominio del receptor. Así, si un correo electrónico procede de un dominio de confianza y supera la comprobación DKIM, su puntuación de spam podría haberse reducido. Si no pasa la comprobación DKIM, se marca como spam o puede ponerse en cuarentena o añadirse una etiqueta de spam a la línea de asunto. 

Así pues, los propietarios de dominios no pueden controlar lo que se incluye en el informe de fallos DMARC porque eso está en manos de los usuarios.

He solucionado el error de firma DKIM no válida, ¿y ahora qué? 

Los siguientes pasos que puede seguir para reforzar el cumplimiento de DKIM son: 

1. Navegar por un analizador DKIM para supervisar los resultados de la autenticación DKIM
2. Activar SPF y DMARC
3. Rote sus claves DKIM periódicamente 

Sigo sin poder solucionar el error

Si el error de firma DKIM no válida persiste, póngase en contacto con su proveedor de servicios de correo electrónico para que le asesore o póngase en contacto con nosotros para obtener asesoramiento experto sobre todo lo relacionado con la autenticación del correo electrónico.

• Acerca de
• Últimas publicaciones

Ahona Rudra

Director de Marketing Digital y Redacción de Contenidos en PowerDMARC

Ahona trabaja como responsable de marketing digital y redacción de contenidos en PowerDMARC. Es una apasionada escritora, bloguera y especialista en marketing de ciberseguridad y tecnologías de la información.

Últimas publicaciones de Ahona Rudra (ver todas)

• Los 5 principales servicios gestionados de ciberseguridad en 2023 - 29 de mayo de 2023
• ¿Cómo planificar una transición fluida de DMARC None a DMARC Reject? - 26 de mayo de 2023
• ¿Cómo comprobar la salud de su dominio? - 26 de mayo de 2023