¿Cómo solucionar el error "La firma DKIM no es válida"?

Si ha recibido el error "La firma DKIM no es válida", hay problemas con su configuración DKIM y debe solucionarlos ahora mismo. Los errores de firma DKIM no válida pueden producirse debido a: 

• Un registro DKIM registro DNS entrada
• Retrasos en la propagación del DNS
• Errores encontrados durante la evaluación de la firma DKIM
• Posibles alteraciones de los mensajes de correo electrónico u otros motivos. 

Este blog se centrará en algunas de las razones más comunes del error "La firma DKIM no es válida" y en algunas recomendaciones para volver a la normalidad. 

Acerca de las firmas DKIM

DKIM o Domain Keys Identified Mail es un protocolo de autenticación de correo electrónico. DKIM ayuda a mantener la legitimidad de los mensajes de correo electrónico garantizando que no se realicen cambios durante la transferencia. Esto evita que los actores de amenazas y los atacantes man-in-the-middle alteren el contenido del correo electrónico.

A firma DKIM es una cabecera que se añade a los mensajes de correo electrónico para que el servidor de correo del destinatario pueda autenticar los mensajes comprobando la clave DKIM del remitente. Este proceso se basa en criptografía basada en la criptografía.

Algunas etiquetas comunes en una cabecera de firma DKIM son las siguientes: 

1. v (Versión): Especifica la versión DKIM que se está utilizando. Por ejemplo, "v=DKIM1" indica la versión 1 de DKIM.
2. a (Algoritmo): Indica el algoritmo criptográfico utilizado para generar la firma. Los algoritmos más comunes son rsa-sha256 y rsa-sha1. Por ejemplo, "a=rsa-sha256".
3. d (Dominio): Especifica el dominio propietario de la clave DKIM utilizada para generar la firma. Por ejemplo, "d=ejemplo.com".
4. s (Selector): Indica el selector de clave DKIM específico utilizado para localizar la clave pública DKIM en el registro DNS. Por ejemplo, "s=dkim2024".
5. h (Cabeceras firmadas): Lista las cabeceras que se incluyeron en el cálculo de la firma DKIM. Esto garantiza que cualquier cambio en estas cabeceras hará que falle la verificación de la firma. Por ejemplo, "h=From:To:Subject:Date".
6. b (Firma): Contiene la firma criptográfica real generada para el mensaje de correo electrónico completo. Por ejemplo, "b=AbCdEfGhIjKlMnOp...".

La presencia de un registro DKIM erróneo o la falta de campos de cabecera DKIM puede provocar el error La firma DKIM no es válida.

¡Simplifique DKIM con PowerDMARC!

¿Cuándo puede fallar DKIM con el error "Su firma DKIM no es válida''?

Verá el mensaje 'Su firma DKIM no es válida' cuando falle la comprobación de autenticación DKIM. Estas son las razones más comunes de este fallo:

• El dominio de la firma DKIM y el dominio del remitente no coinciden.
• El registro de clave pública DKIM publicado en DNS no es correcto.
• El registro de clave pública DKIM publicado en DNS no se publica en absoluto.
• El servidor no consigue llegar a la zona DNS del dominio del remitente para realizar la búsqueda. Esta es una situación común para los proveedores de alojamiento pobres.
• La longitud de la clave DKIM es insuficiente como 1024, y se admiten claves largas de 2048 bits. Cuando su proveedor de alojamiento de correo web firma correos electrónicos con una longitud de clave DKIM menor, se produce un error de firma DKIM no válida.
• Se han realizado algunas modificaciones en el mensaje durante el reenvío automático. 

Todos los casos, salvo el último, son cuestiones técnicas que puede resolver un experto. Sin embargo, no es realista evitar el último, ya que no se puede controlar a los destinatarios para que dejen de añadir pies de página de cumplimiento. Entonces, ¿qué puede ocurrir cuando estos mensajes reenviados automáticamente no cumplen ni SPF ni DKIM y usted ha establecido la política política DMARC en "rechazar"?

Antes, los servidores de los destinatarios se enfrentaban a todo un reto a la hora de gestionar estos mensajes no autenticados pero legítimos. Pero hoy en día, todos los principales proveedores de servicios de correo electrónico o ESP utilizan Cadena de Recepción Autenticada o protocolo ARC.

Este protocolo permite a los servidores de correo identificar el servidor de correo que lo gestionaba anteriormente. Esto les permite conocer los pasos de evaluación de la autenticación. 

¿Cómo solucionar el error "La firma DKIM no es válida"? 

A pesar de alinear los registros DKIM, puede aparecer un error de firma DKIM no válida. Veamos cuáles son las posibles causas de "La firma DKIM no es válida" y cómo solucionarlas. 

1. Solución de problemas de entradas DNS DKIM incorrectas

Después de crear el registro DKIM TXT y añadirlo al archivo de configuración DNS, si se encuentra con el error "La firma DKIM no es válida", puede solucionarlo siguiendo estos pasos:

Pasos para encontrar errores en su registro DKIM

• Regístrese en PowerDMARC y navegue hasta la sección Búsqueda DKIM en Power Toolbox.
• Introduzca su nombre de dominio y selector (o déjelo en blanco para que nuestra plataforma autodetecte su selector). Haga clic en el botón Buscar.
• Nuestra herramienta analizará su entrada DNS DKIM y resaltará los errores en la sintaxis de su registro.

Corrección de errores en los DNS

• Inicie sesión en cPanel o en cualquier consola de gestión de DNS que utilice.
• Haga clic en Editor avanzado de zonas DNS en Dominios.
• Seleccione el dominio de la lista.
• Ir a Editar registros DNS.
• Introduzca el valor correcto para el registro DKIM editando el valor actual.
• Haga clic en Guardar.

2. Esperar los retrasos de propagación del DNS

Puede ver errores a pesar de cambiar los ajustes en el archivo de configuración DNS. Esto suele ocurrir porque la propagación DNS tarda entre 24 y 48 horas después de realizar cambios en la configuración DNS. Esto varía en función del valor TTL mencionado en el registro DNS.

En estos casos, se recomienda esperar de 3 a 4 días para que el DNS se propague completamente. Mientras tanto, puede comprobar el estado de propagación DNS del dominio utilizando herramientas o analizadores de propagación DNS. 

¿Por qué aparece el mensaje "DKIM-Signature Body Hash Not Verified"?

Si ve el estado de una firma DKIM como 'DKIM-signature body hash not verified', significa simplemente que el hash calculado del correo electrónico no coincide con el valor hash del cuerpo añadido en la etiqueta "bh=". 

Muchos servidores de correo electrónico empresarial cambian el texto en línea a la parte inferior de los correos electrónicos entrantes antes de que se desglosen los componentes. Esto conduce a un hash del cuerpo no válido, desencadenando el error DKIM-signature body hash not verified. Esto acaba provocando un error DKIM y, posteriormente, un error DMARC fallida.

En algunas situaciones, las fuentes pueden fallar las comprobaciones DKIM y DMARC porque un hacker ha manipulado el contenido de su correo electrónico. Esto también puede provocar el error de hash de cuerpo de firma DKIM no verificado. 

Algunas posibles razones por las que ve DKIM= neutral (el hash del cuerpo no se verificó) son:

• Un reenviador, un host inteligente u otro agente de filtrado modifica el contenido del correo electrónico.
• El firmante calculó mal el valor de la firma.
• Un actor malintencionado falsificó el correo electrónico y lo firmó sin tener la clave privada correcta.
• La clave pública especificada en la cabecera DKIM-Signature no es correcta.
• La clave pública publicada por el remitente en sus DNS no es correcta.

Estas son algunas de las razones más comunes que pueden provocar el error DKIM-signature body hash not verified. 

¿Cómo se puede investigar la fuente?

Cuando se encuentre con el error DKIM-signature body hash not verified, puede ser útil investigar la fuente de su correo electrónico. 

• Compruebe si la fuente pertenece a una lista autorizada de fuentes de envío para su dominio.
• Busca la fuente en Internet.
• Compruebe si aparece en la RBL lista negra sitios web.
• Examine los informes forenses DMARC para ver los tipos de correos electrónicos enviados por la fuente.
• Buscar los documentos para configurar DMARC correctamente si la fuente es válida.
• Contacte con la fuente.

¿Filtra DKIM el correo electrónico?

DKIM no filtra el correo electrónico, pero los detalles que comparte ayudan a los filtros utilizados por el dominio del destinatario. Por tanto, si un correo electrónico procede de un dominio de confianza y supera la comprobación DKIM, su puntuación de spam puede reducirse. Si no pasa la comprobación DKIM, se marca como spam o puede ponerse en cuarentena o añadirse una etiqueta de spam a la línea de asunto. 

He solucionado el error "La firma DKIM no es válida", ¿y ahora qué? 

Los siguientes pasos que puede seguir para reforzar el cumplimiento de DKIM son: 

1. Suscribirse a un analizador DKIM para supervisar sus resultados de autenticación DKIM
2. Active SPF y DMARC para mayor seguridad y evaluaciones precisas
3. Rote sus claves DKIM periódicamente Protección mejorada

Sigo sin poder solucionar el error

Si el error de firma DKIM no válida persiste, póngase en contacto con su proveedor de servicios de correo electrónico para que le asesore o póngase en contacto con nosotros para obtener asesoramiento experto sobre todo lo relacionado con la autenticación del correo electrónico.

• Acerca de
• Últimas publicaciones

Yunes Tarada

Experto en seguridad de dominios y correo electrónico de PowerDMARC

Yunes es jefe de equipo de operaciones en PowerDMARC con conocimientos especializados en autenticación y seguridad del correo electrónico. Yunes es Administrador Asociado de Azure certificado por Microsoft y cuenta con certificaciones de CompTIA A+ y muchas más.

Últimos mensajes de Yunes Tarada (ver todos)

• Email Salting Attacks: Cómo el texto oculto burla la seguridad - 26 de febrero de 2025
• Aplanamiento del FPS: ¿Qué es y por qué lo necesitas? - 26 de febrero de 2025
• DMARC frente a DKIM: diferencias clave y cómo funcionan juntos - 16 de febrero de 2025