Etiquetas DKIM: Etiquetas obligatorias y opcionales

Blog

Las etiquetas DKIM son mecanismos o comandos utilizados en el registro DKIM que denotan información específica sobre el protocolo DKIM configurado del remitente.

por Ahona Rudra

Última actualización:
Tiempo de lectura: 6 min
Etiquetas DKIM: Etiquetas obligatorias y opcionales
Índice-

DKIM es la abreviatura de DomainKeys Identified Mail, un protocolo de autenticación de correo electrónico que funciona mediante una firma digital cifrada. También es un protocolo complementario que puede combinarse con su política política DMARC.

El protocolo DKIM puede implementarse estableciendo un registro en su DNS, formado por una combinación de etiquetas DKIM y sus valores correspondientes. En este blog, nos sumergiremos en explicaciones detalladas de las etiquetas de firma DKIM obligatorias, opcionales, recomendadas y desaconsejadas con ejemplos. 

¿Qué son las etiquetas DKIM?

Las etiquetas DKIM son instrucciones en el registro DKIM que especifican detalles sobre el remitente para la verificación de la firma digital. 

Unas etiquetas de firma DKIM correctamente configuradas permiten a los proveedores de servicios de correo electrónico autenticar sus mensajes de correo electrónico. Gigantes tecnológicos como Google y Yahoo han impuesto este protocolo a los remitentes de correo electrónico para evitar el spam, phishing y spoofing.

 

Puntos clave

  1. DKIM es un protocolo de autenticación de correo electrónico que utiliza una firma digital cifrada para verificar la legitimidad de los mensajes de correo electrónico.
  2. Las etiquetas de firma DKIM correctamente configuradas son esenciales para garantizar la autenticación de los correos electrónicos, evitando que sean descartados por los buzones de los destinatarios.
  3. Las etiquetas DKIM se clasifican en obligatorias, opcionales y no recomendadas, siendo algunas de ellas fundamentales para superar las pruebas de verificación DKIM.
  4. La utilización de etiquetas DKIM opcionales y recomendadas puede mejorar la seguridad del correo electrónico y ayudar en el proceso de verificación contra ataques de suplantación de identidad.
  5. La implementación de DKIM puede ser compleja, por lo que muchas organizaciones optan por soluciones alojadas para gestionar su configuración de DKIM de forma eficiente.

Cómo funcionan las etiquetas de firma DKIM

El servidor del destinatario utiliza los datos de la cabecera del correo electrónico y los datos oficiales del dominio DKIM del dominio para verificar la autenticidad de los mensajes de correo electrónico. Se añade una cabecera de firma DKIM al correo electrónico saliente. Varias etiquetas de firma DKIM contienen información sobre el remitente para que el servidor del destinatario sepa dónde buscar para verificar un correo electrónico.

Estas etiquetas de firma DKIM son el componente informativo que muestra valores específicos, cada uno de los cuales representa detalles sobre el cuerpo del correo electrónico. Todas las DomainKeys tienen una clave privada que se utiliza para cifrar las firmas digitales DKIM. Aparte de esto, también tienen una clave pública publicada en el DNS del dominio.

Así, siempre que se envíen correos electrónicos desde su dominio, la clave privada de los correos debe coincidir con la clave pública. De lo contrario, el mensaje no llegará a los buzones de los destinatarios. Este proceso es muy rápido y no consume más de unos segundos. Sin embargo, sólo funciona si generas un registro DKIM y añades las etiquetas DNS DKIM correctas.

 

¡Simplifique las etiquetas DKIM con PowerDMARC!

Prueba de 15 díasAgendar demo

Explicación de las etiquetas de registro DKIM

Las etiquetas de registro DNS DKIM son letras simples utilizadas como comandos y seguidas de un signo igual. Todas las letras tienen una etiqueta DKIM que designa valores específicos que representan piezas de información sobre el remitente. Cada etiqueta de firma DKIM incluye detalles sobre la ubicación de la clave pública utilizada para cifrar los mensajes.

Tipos de etiquetas DKIM 

Las etiquetas de firma DKIM se pueden clasificar en "etiquetas obligatorias" y "etiquetas opcionales", y el valor de cada una de ellas es importante a la hora de generar un registro DKIM. Hay otras etiquetas de firma DKIM que se clasifican como 'no requeridas' o 'no recomendadas'. Puede establecerlas en función de las instancias de su utilidad o de los requisitos de cada dominio. Necesita las etiquetas de autenticación DKIM adecuadas al añadir un registro DKIM a su DNS. Conozcamos estas etiquetas en detalle.

Etiquetas DKIM obligatorias 

Las etiquetas DKIM obligatorias son tan importantes para la cabecera de firma DKIM que su mensaje no pasará la prueba de verificación sin ellas. El buzón del destinatario descartará los mensajes sin estas etiquetas. 

  • v= Es la etiqueta de versión DKIM que denota el estándar DKIM que se está utilizando. Su valor es siempre 1.
  • a= Esta etiqueta DKIM indica el algoritmo criptográfico utilizado para crear la firma. El valor utilizado es rsa-sha256. Si su ordenador tiene capacidades de CPU reducidas, puede utilizar rsa-sha1. Sin embargo, no se recomienda por razones de seguridad. 
  • s= Indica la etiqueta selectora DKIM utilizada para encontrar la clave pública en el DNS de un dominio. En este campo introducirá un nombre o un número.
  • d= La etiqueta de dominio DKIM muestra el dominio utilizado con el registro selector para localizar claves públicas. Su valor es el mismo que el nombre de dominio utilizado por el remitente.
  • b= La etiqueta DKIM body se utiliza para los datos hash de la cabecera. Suele ir emparejada con la etiqueta h= para redactar la firma DKIM. Siempre se codifica en Base64. 
  • bh= La etiqueta hash del cuerpo DKIM contiene el hash calculado de los correos electrónicos. Su valor es una cadena de caracteres que denota un hash determinado por un algoritmo.
  • h= Esta etiqueta alista las cabeceras vistas en el algoritmo de firma para generar el hash en la etiqueta b=. Su valor no puede eliminarse ni modificarse. 

Etiquetas DKIM opcionales

Aparte de las etiquetas de firma DKIM, hay varias etiquetas opcionales. Esto significa que si su firma DKIM no incluye estas etiquetas, no se producirá ningún error en el momento de la verificación. Sin embargo, los expertos recomiendan utilizarlas para evitar la suplantación de identidad. 

Los spoofers no asignan valores de tiempo, a diferencia de los correos electrónicos corporativos auténticos. Por lo tanto, si tu bandeja de entrada detecta valores de hora incorrectos para un remitente, es más probable que rechace el correo electrónico por completo. 

Se recomienda utilizar estas etiquetas de registro DKIM recomendadas, ya que ayudan al servidor del destinatario en el proceso de verificación. 

  • g= Funciona como la granularidad de tu clave pública y su valor es el mismo que la parte local de la etiqueta i=. También puede introducir un asterisco (*) como comodín. Esta etiqueta DKIM bloquea las direcciones firmantes para que no puedan utilizar los registros del selector. Cualquier correo electrónico que tenga una dirección de firma que no coincida con esta etiqueta falla la verificación. 
  • h= Denota un algoritmo hash aceptable y tiene valores específicos establecidos en 'sha1' y 'sha256'. Los firmantes y verificadores los necesitan.
  • k= Es el tipo de clave. Su valor por defecto es 'rsa', que debería ser soportado por firmantes y verificadores.
  • n= Los administradores utilizan esta etiqueta para añadir notas legibles.
  • t= Esta es una etiqueta importante, ya que funciona como una marca de tiempo de la firma que muestra la hora de envío del correo electrónico. El formato de esta etiqueta es en segundos numerados a partir de las 00:00:00 del 1 de enero de 1970 (UTC).
  • x= Esta etiqueta indica la fecha de caducidad de la firma. Complementa a la etiqueta t= asignando una fecha de entrega. 
  • t=y Se utiliza para especificar una firma de prueba de dominio y la utilizan los remitentes cuando se configura DKIM por primera vez. Se sugiere ya que algunos proveedores de buzones pasan por alto las firmas DKIM en modo de prueba. Debe eliminar la etiqueta antes del despliegue completo.
  • t=s es la sustitución de la etiqueta t=y. Dice que cualquier firma DKIM que utilice la etiqueta i= debe tener el mismo valor de dominio que el dominio primario.

No es necesario

No necesita estas etiquetas de firma DKIM si es la primera vez que crea una cabecera DKIM. Suelen hacer que tu firma DKIM sea técnica y compleja. 

  • c= es una etiqueta de registro DKIM que funciona como algoritmo de canonicalización y describe los niveles de modificación de un correo electrónico a mitad de tránsito hacia otro proveedor de buzones. Se utiliza para evitar pequeñas modificaciones en los correos electrónicos en tránsito. De lo contrario, puede provocar una verificación fallida. Las modificaciones incluyen espacios en blanco o envolturas de línea.

Su valor se establece en valor1 o valor2. Value1 está destinado a la cabecera, mientras que Value2 es para el cuerpo del mensaje. Puede definirse como "simple" o "relajado" para especificar la tolerancia a las modificaciones en el correo electrónico. 

  • i= representa la identidad del usuario o agente. Su valor es la dirección de correo electrónico que tiene un dominio y subdominio a su sitio web, que es lo mismo que la etiqueta d=.

Estas etiquetas DNS DKIM no son necesarias para ninguna cabecera DKIM. Sólo se utilizan cuando se desea controlar alguna de las especificaciones que se mencionan a continuación;

  • l= La etiqueta de longitud DKIM facilita la firma parcial del cuerpo del mensaje denotado por el número de bits a firmar. Esta etiqueta no se recomienda, ya que deja el mensaje vulnerable a la manipulación. 
  • z= Alista las cabeceras originales de los mensajes y es utilizado por los proveedores de buzones para operar errores de verificación de diagnóstico.

Conclusiones

La implementación y gestión de su protocolo DKIM puede requerir experiencia, tiempo y esfuerzo, lo que a menudo supera con creces su ancho de banda. Por eso las organizaciones eligen nuestra solución DKIM alojada. Le ayudamos a generar registros DKIM, configurar sus etiquetas de firma DKIM y gestionar sus selectores y claves DKIM en una única plataforma. 

Además, proporcionamos asistencia experta en la configuración de protocolos complementarios como DMARC y SPF para reforzar sus defensas contra los ataques basados en el correo electrónico.

Para obtener más información y una estrategia de seguridad de dominios personalizada para organizaciones, de eficacia probada para mejorar su capacidad de entrega, póngase en póngase en contacto hoy mismo.

Últimas publicaciones de Ahona Rudra (ver todas)
Última actualización:
Cómo exportar registros DNSCómo exportar registros DNSTipos de DNSExplicación de los tipos más comunes de consultas, servidores y registros DNS