¿Qué son las etiquetas DKIM?
Las etiquetas DKIM son mecanismos o comandos utilizados en el registro DKIM que denotan información específica sobre el protocolo DKIM configurado del remitente. DKIM es la abreviatura de DomainKeys Identified Mail, un protocolo de autenticación de correo electrónico que funciona mediante una firma digital cifrada. También es crucial para implementar y hacer funcionar correctamente la política DMARC.
Una firma DKIM correctamente alineada permite a los proveedores de servicios de correo electrónico verificar su dominio. Gigantes de la tecnología como Google y Yahoo utilizan este protocolo para evitar el phishing y la suplantación de identidad. el phishing y la suplantación de identidad.
¿Cómo funciona DKIM?
El servidor del destinatario utiliza los datos del encabezado del correo electrónico y el registro DKIM oficial del dominio para verificar la autenticidad de los mensajes de correo electrónico. La cabecera con la firma DKIM se coloca en la parte superior de un mensaje de correo electrónico. Hay varias etiquetas DKIM que contienen información sobre el remitente para que el servidor del destinatario sepa dónde buscar para verificar un correo electrónico.
Estas etiquetas son el componente informativo que muestra valores específicos, cada uno de los cuales representa detalles sobre el cuerpo del correo electrónico. Todas las DomainKeys tienen una clave privada que se utiliza para cifrar las firmas digitales DKIM. Aparte de esto, también tienen una clave pública publicada en el DNS del dominio.
Así, siempre que se envíen correos electrónicos desde su dominio, la clave privada de los correos debe coincidir con la clave pública. De lo contrario, el mensaje no llegará a los buzones de los destinatarios. Este proceso es muy rápido y no consume más de unos segundos. Sin embargo, sólo funciona si generas un registro DKIM y añades las etiquetas de autenticación DKIM correctas.
¿Qué es una etiqueta en el registro DKIM?
Las etiquetas de registro DKIM son letras simples utilizadas como comandos y seguidas de un signo igual. Todas las letras tienen una etiqueta DKIM que designa valores específicos que representan piezas de información sobre el remitente. Cada etiqueta incluye detalles sobre la ubicación de la clave pública utilizada para cifrar los mensajes.
Tipos de etiquetas DKIM
Las etiquetas DKIM se pueden clasificar en 'etiquetas obligatorias' y 'etiquetas opcionales', y el valor de cada una de ellas es importante a la hora de generar un registro DKIM. Hay otras etiquetas DKIM que se clasifican como 'no requeridas' o 'no recomendadas'. Puede establecerlas en función de las instancias de su utilidad o de los requisitos de cada dominio. Necesita las etiquetas de autenticación DKIM correctas al añadir un registro DKIM a su DNS. Conozcamos estas etiquetas en detalle.
Etiquetas obligatorias
Las etiquetas DKIM obligatorias son tan importantes para la cabecera de firma DKIM que su mensaje no pasará la prueba de verificación sin ellas. El buzón del destinatario descartará los mensajes sin estas etiquetas.
- v= Es la etiqueta de versión que denota el estándar DKIM que se está utilizando. Su valor es siempre 1.
- a= Esta etiqueta DKIM indica el algoritmo criptográfico utilizado para crear la firma. El valor utilizado es rsa-sha256. Si su ordenador tiene capacidades de CPU reducidas, puede utilizar rsa-sha1. Sin embargo, no se recomienda por razones de seguridad.
- s= Indica el nombre del registro selector utilizado para encontrar la clave pública en el DNS de un dominio. En este campo se introduce un nombre o un número.
- d= Muestra el dominio utilizado con el registro selector para localizar claves públicas. Su valor es el mismo que el nombre de dominio utilizado por el remitente.
- b= Esta etiqueta DKIM se utiliza para los datos hash de la cabecera. Suele ir emparejada con la etiqueta h= para redactar la firma DKIM. Siempre está codificada en Base64.
- bh= Tiene el hash calculado de los correos electrónicos. Su valor es una cadena de caracteres que denota un hash determinado por un algoritmo.
- h= Esta etiqueta alista las cabeceras vistas en el algoritmo de firma para generar el hash en la etiqueta b=. Su valor no puede eliminarse ni modificarse.
Etiquetas opcionales
Aparte de las etiquetas de firma DKIM, hay varias etiquetas opcionales. Esto significa que si su firma DKIM no incluye estas etiquetas, no se producirá ningún error en el momento de la verificación. Sin embargo, los expertos recomiendan utilizarlas para evitar la suplantación de identidad.
Los spoofers no asignan valores de tiempo, a diferencia de los correos electrónicos corporativos auténticos. Por lo tanto, si tu bandeja de entrada detecta valores de hora incorrectos para un remitente, es más probable que rechace el correo electrónico por completo.
Etiquetas recomendadas
Se recomienda utilizar las etiquetas de registro DKIM recomendadas, ya que ayudan al servidor del destinatario en el proceso.
- g= Funciona como la granularidad de tu clave pública y su valor es el mismo que la parte local de la etiqueta i=. También puede introducir un asterisco (*) como comodín. Esta etiqueta DKIM bloquea las direcciones firmantes para que no puedan utilizar los registros del selector. Cualquier correo electrónico que tenga una dirección de firma que no coincida con esta etiqueta falla la verificación.
- h= Denota un algoritmo hash aceptable y tiene valores específicos establecidos en 'sha1' y 'sha256'. Son necesarios para los firmantes y los verificadores.
- k= Es el tipo de clave. Su valor por defecto es 'rsa', que debería ser soportado por firmantes y verificadores.
- n= Los administradores utilizan esta etiqueta para añadir notas legibles.
- t= Esta es una etiqueta importante, ya que funciona como una marca de tiempo de la firma que muestra la hora de envío del correo electrónico. El formato de esta etiqueta es en segundos numerados a partir de las 00:00:00 del 1 de enero de 1970 (UTC).
- x= Esta etiqueta indica la fecha de caducidad de la firma. Complementa a la etiqueta t= asignando una fecha de entrega.
- t=y Se utiliza para especificar una firma de prueba de dominio y la utilizan los remitentes cuando se configura DKIM por primera vez. Se sugiere ya que algunos proveedores de buzones pasan por alto las firmas DKIM en modo de prueba. Debe eliminar la etiqueta antes del despliegue completo.
- t=s es la sustitución de la etiqueta t=y. Dice que cualquier firma DKIM que utilice la etiqueta i=s debe tener el mismo valor de dominio que el dominio primario.
No es necesario
No necesita estas etiquetas DKIM si es la primera vez que crea una cabecera DKIM. Suelen hacer que tu firma DKIM sea técnica y compleja.
- c= es una etiqueta de registro DKIM que funciona como algoritmo de canonicalización y describe los niveles de modificación de un correo electrónico a mitad de tránsito hacia otro proveedor de buzones. Se utiliza para evitar pequeñas modificaciones en los correos electrónicos en tránsito. De lo contrario, puede provocar una verificación fallida. Las modificaciones incluyen espacios en blanco o envolturas de línea.
Su valor se establece en valor1 o valor2. Value1 está destinado a la cabecera, mientras que Value2 es para el cuerpo del mensaje. Puede definirse como "simple" o "relajado" para especificar la tolerancia a las modificaciones en el correo electrónico.
- i= representa la identidad del usuario o agente. Su valor es la dirección de correo electrónico que tiene un dominio y subdominio a su sitio web, que es lo mismo que la etiqueta d=.
No recomendado
Estas etiquetas DKIM no son necesarias para ninguna cabecera DKIM. Sólo se utilizan cuando se desea controlar alguna de las especificaciones que se mencionan a continuación;
- I= Especifica el número de caracteres del mensaje utilizados para contar el hash del cuerpo. Sin este valor, tendrás que asumir que se utiliza todo el cuerpo del mensaje.
- z= Alista las cabeceras originales de los mensajes y es utilizado por los proveedores de buzones para operar errores de verificación de diagnóstico.
- Puede Blockchain ayudar a mejorar la seguridad del correo electrónico? - 9 de mayo de 2024
- Proxies de centros de datos: Desvelando el caballo de batalla del mundo proxy - 7 de mayo de 2024
- Kimsuky explota las políticas DMARC "None" en recientes ataques de phishing - 6 de mayo de 2024