¿Qué es DKIM y cómo funciona?

DKIM es una forma eficaz de garantizar que sus correos electrónicos no sean manipulados mientras están en camino de ser entregados. Los métodos y protocolos de autenticación basados en dominios son muy eficaces contra los ciberataques basados en el correo electrónico, cada vez más frecuentes, sobre todo con el auge del trabajo a distancia. El correo electrónico sigue siendo una forma dominante de comunicación empresarial, pero también es un vector primario para ataques como el phishing, por lo que una verificación sólida es crucial. Es importante tener en cuenta que la autenticación del correo electrónico no es infalible, y los atacantes aún pueden encontrar formas de eludir estas medidas. Por lo tanto, siempre es una buena idea ser cauteloso al abrir mensajes de correo electrónico, especialmente los que contienen enlaces o archivos adjuntos. DKIM es uno de esos protocolos diseñados para combatir estas amenazas.

Se basa en la criptografía de clave pública y funciona añadiendo una firma digital a la cabecera del mensaje, normalmente firmando cabeceras como "De", "Para", "Asunto" y "Fecha". Cuando el receptor recibe un correo electrónico con DKIM, comprueba la firma digital utilizando la clave pública publicada en el DNS del remitente para asegurarse de que es válida. Si lo es, sabe que el mensaje no se ha alterado durante la transferencia y que procede realmente del dominio reivindicado.

¿Qué es DKIM?

DKIM son las siglas de DomainKeys Identified Mail. Es un protocolo de autenticación de correo electrónico que permite a los remitentes evitar que el contenido del correo electrónico se altere durante el proceso de entrega. Formado originalmente por la fusión de DomainKeys (de Yahoo) e Identified Internet Mail (de Cisco) en 2004, DKIM se ha convertido en una técnica ampliamente adoptada.

Se basa en la criptografía de clave pública y funciona añadiendo una firma digital a la cabecera del mensaje. Cuando el receptor recibe un correo electrónico con DKIM, comprueba la firma digital para asegurarse de que es válida. Si lo es, sabe que el mensaje ha permanecido inalterado durante la transferencia. Los principales proveedores, como Google, Microsoft y Yahoo, comprueban el correo entrante en busca de firmas DKIM. Por ejemplo, Google exige ahora a los nuevos remitentes que transmiten correos electrónicos a usuarios de Gmail que configuren al menos SPF o DKIM. Google realiza comprobaciones aleatorias de los mensajes entrantes, y los correos electrónicos que carecen de estos métodos de autenticación pueden ser rechazados con un error 5.7.26 o marcados como spam.

¿Qué es una cabecera DKIM?

Una cabecera DKIM es una parte de un correo electrónico que contiene la firma criptográfica DKIM. Esta firma la añade el servidor de correo del remitente, concretamente el Agente de Transferencia de Correo (MTA), que crea una cadena única de caracteres denominada valor hash basándose en el contenido y las cabeceras del mensaje. Durante el proceso de autenticación, el campo de firma de la cabecera DKIM ayuda a verificar la autenticidad de los mensajes salientes. Ayuda a los receptores a confirmar que el correo electrónico es auténtico y procede de un remitente legítimo.

¿Qué son las claves DKIM?

Las claves DKIM son pares de claves criptográficas privadas y públicas que se utilizan en la autenticación DKIM.

• Clave pública: La clave pública DKIM se almacena en el DNS del remitente (como un registro TXT) y es utilizada por los servidores de correo receptores para verificar las firmas DKIM.
• Clave privada: La clave privada DKIM se mantiene segura en el servidor de correo del remitente y se utiliza para generar y añadir la firma digital a cada mensaje saliente como parte de la cabecera DKIM.

¿Cómo funciona DKIM?

Durante el proceso de autenticación DKIM, el dominio del remitente genera un par de claves criptográficas y, cuando se envía un correo electrónico, el servidor remitente (MTA) añade una firma DKIM a la cabecera del mensaje utilizando la clave privada. Esta firma incluye un valor hash de partes seleccionadas del correo electrónico.

El dominio del remitente publica la clave pública correspondiente en un registro DNS. Al recibir el correo electrónico, el servidor del destinatario recupera la firma DKIM de la cabecera, consulta al DNS la clave pública y la utiliza para descifrar el valor hash de la firma. A continuación, el servidor receptor calcula de forma independiente su propio valor hash a partir de las cabeceras y el cuerpo del correo electrónico recibido. Compara este hash recalculado con el hash descifrado de la firma. Si los dos valores hash coinciden, la firma es válida, lo que confirma que el correo electrónico es auténtico, no ha sido alterado y ha sido enviado desde el dominio indicado, protegiéndolo así contra falsificaciones y manipulaciones.

¿Cómo sé que DKIM funciona?

Para comprobar que DKIM funciona correctamente en su dominio, puede utilizar una comprobación DKIM para verificar su configuración. Pruebe a utilizar nuestra herramienta gratuita de comprobación de DKIM aquí. Además, supervisa los informes agregados DMARC, que proporcionan información sobre los resultados de autenticación DKIM para los correos electrónicos que afirman proceder de tu dominio. Comprobar los registros de consulta DNS para sus registros DKIM también puede indicar la frecuencia con la que los servidores receptores obtienen su clave pública.

¿Qué es un registro DKIM?

Un registro DKIM es un conjunto de instrucciones a nivel de máquina publicadas como un registro TXT en la configuración DNS de su dominio. Contiene la clave pública correspondiente a la clave privada utilizada para la firma. Este registro indica a Internet que los mensajes que afirman proceder de su dominio pueden verificarse utilizando esta clave, lo que permite a los servidores de correo confirmar que un mensaje no ha sido alterado de camino a su destino y que procede de una fuente autenticada.

Firma DKIM

A firma DKIM es una firma criptográfica añadida a la cabecera de un mensaje de correo electrónico que verifica su autenticidad y garantiza que no ha sido manipulado durante el tránsito. Se genera utilizando la clave privada y se verifica utilizando la clave pública que se encuentra en el registro DKIM.

Selector DKIM

selector DKIM es un identificador único utilizado para especificar qué par de claves DKIM se utilizó para firmar el mensaje, lo que permite a los dominios gestionar varias claves (por ejemplo, para diferentes servicios de envío). Se trata de un valor de cadena alfanumérica que se define en la etiqueta s= de la cabecera DKIM del correo electrónico. El selector debe ser distinguible y diferente para cada proveedor de correo electrónico que utilice.

Por ejemplo, en el nombre de registro DKIM s1._clave.dominio.com, s1 es su selector.

Ejemplo de registro DKIM

v=DKIM1;
k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...
Los registros DKIM también pueden incluir una etiqueta "t=y", que indica que el dominio está en modo de prueba; esta etiqueta debe utilizarse temporalmente durante la configuración inicial y eliminarse para el despliegue completo.

¿Cuáles son las ventajas de DKIM?

Las empresas necesitan DKIM para autenticar sus correos electrónicos salientes y garantizar su legitimidad. DKIM desempeña un papel fundamental a la hora de evitar ataques del tipo Man-in-the-Middle (MITM) y prevenir cambios injustificados en el contenido del correo electrónico por parte de terceros. Ayuda a proteger las relaciones con los clientes y la reputación de la marca garantizando la fiabilidad de los correos electrónicos.

DKIM impide la alteración de los mensajes

Cuando se pregunte qué hace DKIM para evitar el fraude en el correo electrónico, tenga en cuenta lo siguiente: la firma digital es un sistema a prueba de fallos. Si el correo electrónico ha sido interceptado y alterado, la verificación de la firma fallará porque el hash recalculado no coincidirá con el hash descifrado de la firma, por lo que el correo electrónico será rechazado o marcado como sospechoso.

Minimizar la suplantación de identidad con un dominio DKIM

Un correo electrónico enviado por un atacante que intente suplantar su dominio no tendrá una firma válida generada con su clave privada. No superará la comprobación de autenticación DKIM, lo cual es otra muestra más de contra qué protege DKIM a su organización.

Consulte las últimas estadísticas de fraude por correo electrónico aquí.

DKIM reduce el spam

Por lo que se conoce popularmente a DKIM es por la reducción de los mensajes de spam. Configurar DKIM correctamente aumenta la fiabilidad de sus correos electrónicos, reduciendo en gran medida las posibilidades de que sus mensajes legítimos acaben en la carpeta de spam, algo especialmente beneficioso para las campañas de marketing por correo electrónico.

DKIM aumenta la entregabilidad del correo electrónico

Además, al configurar DKIM, mejora la reputación de su remitente como fuente verificada a los ojos de los proveedores de servicios de Internet (ISP), clientes, socios y otros servicios receptores. Esto contribuye a mejorar la entregabilidad del correo electrónico y ayuda a generar ingresos al garantizar que las comunicaciones importantes lleguen a sus destinatarios. La entregabilidad del correo electrónico, es decir, la capacidad de un mensaje de llegar a la bandeja de entrada del destinatario en lugar de ser marcado como spam o rebotado, es fundamental para el marketing y la comunicación. Métricas clave como el porcentaje de mensajes rebotados, el porcentaje de mensajes abiertos, el porcentaje de clics y las quejas por spam ayudan a medir la participación. Una mala capacidad de entrega puede hacer que se malgaste la inversión en marketing, que aparezca en listas de bloqueo como Spamhaus y afectar al servicio de atención al cliente. Los proveedores de buzones de correo se centran cada vez más en las señales de compromiso del usuario (aperturas, clics, respuestas, tasas de quejas) para filtrar los correos electrónicos, lo que subraya la necesidad de una alta entregabilidad. Los correos electrónicos entregados con éxito mediante la verificación DKIM contribuyen a aumentar las tasas de clics y de apertura, lo que puede conducir a un aumento de las conversiones y las ventas.

¿Cuáles son las limitaciones de DKIM?

DKIM es extremadamente importante para la autenticación e integridad de los mensajes, sin embargo, no es perfecto. Estas son algunas de sus limitaciones:

• DKIM no autentica el remitente (la dirección "De") visible para el usuario final directamente contra el dominio de firma en todos los casos (esta comprobación de alineación forma parte de DMARC). Principalmente autentifica que el correo electrónico fue autorizado por el dominio que figura en la firma DKIM (etiqueta d=) y que no ha sido alterado. Por tanto, si alguien consigue acceso no autorizado a una cuenta o servidor legítimos, puede enviar correos electrónicos firmados con DKIM desde su dominio.
• DKIM depende de la correcta publicación y recuperación de registros DNS. Si sus registros DNS públicos no están configurados correctamente, están mal configurados o sufren retrasos en la propagación, esto puede provocar fallos de autenticación DKIM incluso para correos legítimos.
• DKIM por sí solo no dicta la política a seguir si falla la autenticación. Sólo proporciona un resultado de pasa/no pasa. No detiene intrínsecamente el spam o los intentos de phishing, sino que dificulta la falsificación. Por lo tanto, combinarlo con DMARC, que utiliza los resultados de DKIM (y/o SPF) para aplicar la política, es esencial para una protección completa.

Además, la implantación de DKIM puede plantear problemas prácticos, como la complejidad técnica que requiere experiencia en la gestión de claves y la configuración de DNS, posibles problemas de entregabilidad del correo electrónico si se configura mal, dificultades en la gestión de claves a escala y garantía de compatibilidad con servicios de envío de correo electrónico de terceros.

Emparejar DKIM con DMARC

No tiene sentido comparar DKIM frente a DMARC cuando la combinación de DKIM con DMARC (y SPF) es ideal para obtener una protección completa a la vez que se garantiza la entrega del correo electrónico sin problemas. Si utiliza ambos, DMARC aprovecha los resultados de autenticación de DKIM (junto con los de SPF) y añade comprobaciones de alineación además de la aplicación de políticas (como rechazar o poner en cuarentena los fallos), lo que hace mucho más difícil que los correos electrónicos falsificados lleguen a la bandeja de entrada. Esto ayuda a evitar que los filtros de spam los incluyan en sus listas negras, lo que significa que sus correos electrónicos legítimos se entregarán con mayor fiabilidad.

Además, el uso conjunto de DKIM y DMARC ayuda a proteger tu marca: los spammers a menudo intentan suplantar dominios que creen que serán menos propensos a denunciarlos como spam. Pero si los dominios que están suplantando tienen DKIM configurado y una política DMARC, les resultará mucho más difícil salirse con la suya y protegerán la reputación de tu dominio.

Lo bueno de emparejarlos es que funcionan juntos a la perfección para proporcionar múltiples capas de protección contra los intentos de suplantación de identidad, al tiempo que ofrecen a los remitentes control y visibilidad (a través de los informes DMARC) sobre cómo se gestiona y autentica su correo a través de Internet.

Activar DKIM con PowerDMARC

PowerDMARC permite a los propietarios de dominios configurar fácilmente DKIM junto con SPF y DMARC, proporcionando funciones prácticas de supervisión y generación de informes. Esto les ayuda a estar al tanto de los resultados y errores de autenticación en todo momento, garantizando la entregabilidad y combatiendo activamente los ciberataques.

Nuestra plataforma es fácil de usar para empresas de todos los tamaños y puede gestionar múltiples dominios y grandes volúmenes de tráfico de correo electrónico. Proporcionamos una solución DKIM eficaz junto con otros protocolos de autenticación de correo electrónico esenciales para una protección de 360 grados contra el fraude por correo electrónico.

Obtenga su DKIM y DMARC en cuestión de minutos con PowerDMARC.

Preguntas frecuentes sobre DKIM

¿Cómo configurar DKIM?

Para configurar DKIM, es necesario generar una clave privada y el correspondiente par de claves públicas, a menudo utilizando una herramienta como un generador de registros DKIM o a través de su proveedor de servicios de correo electrónico. Se recomienda utilizar claves DKIM de al menos 1024 bits, siendo preferibles las de 2048 bits para una mayor seguridad. Rote regularmente sus claves DKIM y considere la posibilidad de utilizar claves únicas para diferentes servicios de envío o clientes. Asegúrese de que el periodo de caducidad de la firma digital, si se ha establecido, es mayor que el periodo de rotación de la clave, y recuerde revocar las claves antiguas. A continuación, configure su(s) servidor(es) de correo remitente(s) para que firme(n) los correos electrónicos salientes con la clave privada y publique(n) la clave pública como un registro DNS TXT bajo un nombre de selector específico para su dominio (por ejemplo, selector._clave.sudominio.com).

¿Cómo comprobar su registro DKIM?

Para comprobar su registro DKIM, puede utilizar nuestro comprobador gratuito comprobador DKIM gratuita. Simplemente introduzca su nombre de dominio y el selector DKIM específico que desea comprobar (si lo conoce), y consultará el DNS e informará si el registro DKIM está correctamente formateado, publicado y recuperable, o si se detecta algún problema.

¿Qué diferencia hay entre SPF y DKIM?

Aunque ambos son protocolos de autenticación de correo electrónico utilizados por DMARC, SPF (Sender Policy Framework) se centra en autorizar qué direcciones IP pueden enviar correo electrónico *para* un dominio, verificando la ruta del mensaje. DKIM se centra en verificar la *integridad del contenido* del correo electrónico y confirma que el mensaje ha sido autorizado por el propietario del dominio mediante una firma criptográfica, verificando el origen del mensaje y garantizando que no ha sido alterado. Las firmas DKIM sobreviven al reenvío, mientras que SPF a menudo se rompe durante el reenvío.

¿Puedo utilizar la misma clave DKIM para varios dominios?

No, no puede utilizar el mismo par de claves DKIM para varios dominios distintos. Cada dominio requiere su propio y único par de claves DKIM (clave privada para la firma, clave pública publicada en el DNS de ese dominio). Esto garantiza que las firmas DKIM son específicas de cada dominio y mantiene la seguridad e integridad de la autenticación del correo electrónico para cada dominio individual. No obstante, si es necesario, puede utilizar el mismo par de claves para distintos selectores *dentro* del mismo dominio, aunque lo habitual es utilizar claves independientes para cada servicio de envío.

Leer más

¿Utiliza Office 365 DKIM?

Sí, Microsoft 365 (anteriormente Office 365) admite y utiliza DKIM. De forma predeterminada, Microsoft 365 utiliza una configuración DKIM compartida para los dominios iniciales, pero se recomienda encarecidamente configurar la firma DKIM personalizada para su(s) propio(s) dominio(s) generando los registros CNAME necesarios en su DNS según las instrucciones de Microsoft, lo que les permite gestionar las claves y el proceso de firma.

¿Puedo utilizar DMARC sin DKIM?

Técnicamente sí, puede implementar DMARC utilizando sólo SPF para la autenticación. Sin embargo, esto es *no* recomendable. DMARC depende de que SPF o DKIM (o ambos) pasen y se alineen. Confiar sólo en SPF hace que la autenticación sea frágil, ya que SPF suele fallar durante los flujos de correo indirectos (como el reenvío). Implementar tanto SPF como DKIM proporciona redundancia y una cobertura de autenticación mucho más robusta, necesaria para que DMARC funcione eficazmente.

¿Necesito DMARC si tengo DKIM implementado?

Aunque DKIM proporciona una verificación y autenticación cruciales de la integridad del mensaje, no indica a los servidores receptores qué *hacer* si falla la comprobación, ni verifica que el dominio de firma coincida con el dominio "De" visible para el usuario. A política DMARC añade esta capa esencial: comprueba la alineación entre el dominio de firma DKIM (d=) y el dominio "De", especifica si se deben poner en cuarentena o rechazar los mensajes que no superen la autenticación y la alineación, y proporciona informes sobre los resultados de la autenticación. La combinación de DKIM (y SPF) con DMARC mejora significativamente la seguridad del correo electrónico, la protección de la marca y la capacidad de entrega.

¿Qué son los problemas de DomainKeys Identified Mail?

Entre los problemas más comunes de DKIM se incluyen: sintaxis o publicación incorrecta del registro DNS; uso de un selector incorrecto; compromiso de la clave privada o falta de coincidencia con la clave pública; problemas de rotación de claves (claves caducadas); modificaciones del mensaje por parte de servidores intermedios (como listas de correo) que rompen la firma; desalineación entre el dominio de firma DKIM y el dominio de cabecera From: (que afecta a DMARC); y falta de compatibilidad con DKIM o configuración incorrecta por parte de servicios de envío de terceros. Cada uno de estos problemas puede provocar fallos en la autenticación DKIM y afectar negativamente a la entrega del correo electrónico.

¿Cuánto se tarda en crear un registro DKIM?

Generar las claves y configurar el servidor de correo puede llevar de minutos a horas, dependiendo del sistema. La publicación del registro de clave pública DKIM en su DNS suele ser rápida, pero los cambios en el DNS pueden tardar desde unos minutos hasta 48-72 horas en propagarse completamente por Internet, dependiendo de su proveedor de DNS y de la configuración TTL. Tras la configuración, se recomienda una supervisión continua (idealmente mediante informes DMARC) para garantizar que DKIM sigue funcionando correctamente.

¿Qué ocurre cuando falla el DKIM?

Cuando una DKIM falla de un correo electrónico, indica que el mensaje ha sido manipulado en tránsito o que no ha sido firmado correctamente por el dominio remitente declarado. Los servidores receptores pueden tratar el mensaje con desconfianza y marcarlo como spam o correo no deseado. Si se publica una política DMARC para el dominio y el fallo también conlleva un fallo DMARC (debido a que tampoco se ha aprobado/alineado SPF), el correo electrónico puede ponerse en cuarentena o rechazarse por completo en función de la política(p=cuarentena o p=rechazar). La implementación de SPF proporciona un mecanismo de autenticación alternativo.

¿Necesito SPF y DKIM?

Aunque SPF y DKIM son protocolos independientes que pueden autenticar correos electrónicos por sí solos hasta cierto punto, el uso de *ambos* es la mejor práctica del sector y se recomienda encarecidamente para una autenticación sólida del correo electrónico. Abordan aspectos diferentes (IP del remitente frente a integridad/origen del mensaje). Implementación de SPF, DKIM y DMARC crean un potente marco que aumenta significativamente sus defensas contra la suplantación de identidad y los ataques de phishing, mejora la capacidad de entrega y protege la reputación de su dominio.