Cómo solucionar un fallo de DKIM

Blog

Comprenda las consecuencias de los fallos de DKIM, los errores comunes y la resolución de problemas paso a paso para solucionar los problemas de autenticación DKIM y proteger la capacidad de entrega del correo electrónico.

por Maitham Al Lawati

Última actualización:
10 10 minutos de lectura
Cómo solucionar un fallo de DKIM
Índice-

Los fallos de DKIM en sus correos electrónicos pueden dañar la reputación de su dominio y afectar a la entregabilidad de sus correos electrónicos. Solucione todos los fallos de DKIM con este sencillo tutorial paso a paso.

Índice

Puntos clave

  1. Los fallos de DKIM suelen deberse a discrepancias entre la dominio de la firma DKIM y el encabezado «De».
  2. Errores en sintaxis de los registros DKIM, la comunicación del servidor y el tiempo de inactividad del DNS pueden provocar problemas de autenticación DKIM.
  3. Entre las causas más comunes de fallo de DKIM se incluyen la configuración incorrecta de terceros proveedores y las modificaciones en el cuerpo del correo electrónico durante el tránsito.
  4. Utilizar generadores de registros DKIM fiables y supervisar los informes DMARC puede reducir significativamente los casos de fallo DKIM.
  5. Implementación de SPF y DMARC junto con DKIM ayuda a mejorar la seguridad del correo electrónico y garantiza que los correos electrónicos se autentiquen correctamente.
  6. Si la autenticación DKIM falla, los correos electrónicos pueden acabar en la carpeta de spam, ser rechazados o rebotados, dependiendo de las políticas del servidor del destinatario.

Los fallos de DKIM pueden arruinar la colocación en la bandeja de entrada porque indican a los servidores receptores que tus correos electrónicos no pueden autenticarse de forma fiable. Si ves «Error en la autenticación DKIM», «dkim=fail»o rebotes como «550 Validación DKIM fallida», , suelen deberse a tres causas: la clave DKIM falta o está mal formada en el DNS, el mensaje se modificó después de la firma (reenvío, puertas de enlace, pies de página) o el dominio de firma DKIM no coincide con el visible From en DMARC.

Esta guía explica qué significa un fallo DKIM, cómo solucionarlo paso a paso utilizando encabezados de correo electrónico y comprobaciones DNS, y cómo evitar que se repitan los fallos con una configuración adecuada del proveedor y los informes DMARC.

¿Qué significa un fallo de DKIM?

El fallo de DKIM (DomainKeys Identified Mail) se produce cuando un servidor de correo receptor no puede validar la firma DKIM de un mensaje. En términos prácticos, el servidor comprueba el encabezado DKIM-Signature, recupera la clave pública del remitente del DNS utilizando el selector (la etiqueta s=), y verifica si la firma coincide con lo que se firmó (encabezados y hash del cuerpo). Si coincide, DKIM aprueba el mensaje; de lo contrario, DKIM falla.

El fallo de DKIM se refiere al estado fallido de la comprobación de autenticación DKIM, debido a una discrepancia entre los dominios especificados en el encabezado de la firma DKIM y el encabezado «De», y a inconsistencias entre los valores del par de claves.

¿Qué ocurre cuando DKIM falla?

Cuando DKIM falla, el impacto en la entrega del correo electrónico depende de las políticas de filtrado del destinatario y de si se aplica DMARC en su dominio.

En la mayoría de los casos, un fallo de DKIM aumenta el riesgo de spam en lugar de provocar un bloqueo inmediato. Los servidores receptores tratan los mensajes sin firmar o no verificables como menos fiables y pueden enviarlos a la carpeta de spam, especialmente si los fallos se producen de forma constante a lo largo del tiempo.

El rechazo suele producirse solo cuando el fallo de DKIM se combina con otros fallos de autenticación. Si tanto DKIM como SPF fallan, y su dominio tiene una política DMARC configurada para poner en cuarentena o rechazar, el mensaje fallará DMARC y puede ser restringido, puesto en cuarentena o devuelto con errores como «550 DKIM validation failed».

Cómo DMARC cambia el resultado

DMARC evalúa la autenticación de forma diferente a DKIM por sí solo. Para superar DMARC, un correo electrónico solo necesita un método de autenticación alineado:

  • SPF pasa y se alinea → DMARC pasa, incluso si DKIM falla
  • DKIM pasa y se alinea → DMARC pasa, incluso si SPF falla
  • Ambos fallan o no coincidenDMARC falla, la acción depende de la política

Esto significa que un fallo de DKIM no interrumpe automáticamente la entrega, pero los fallos repetidos debilitan la reputación del remitente y eliminan una importante capa de protección de autenticación.

Razones comunes del fallo de DKIM

1. Error en la sintaxis del registro DKIM

Si no utilizas un generador de registros DKIM fiable generador de registros DKIM y, en su lugar, crea manualmente el registro para tu dominio, es habitual que se produzcan errores de configuración. Los problemas de sintaxis en los registros DNS DKIM, como etiquetas que faltan, comillas rotas, valores truncados o espacios adicionales, pueden impedir que los servidores receptores validen la firma DKIM, lo que da lugar a un fallo en la autenticación DKIM.

 2. DKIM Comprobación de fallos de alineación

Si tienes DMARC configurado para su dominio además de DKIM, durante la comprobación DKIM, el valor del dominio en el campo d= de la firma DKIM en el encabezado del correo electrónico debe coincidir con el dominio que se encuentra en la dirección del remitente. Puede ser una coincidencia estricta, en la que los dos dominios deben coincidir exactamente, o una coincidencia flexible, que permite que una coincidencia organizativa supere la comprobación. 

Puede producirse un error DKIM si el dominio del encabezado de la firma DKIM no coincide con el dominio que aparece en el encabezado «De», lo que podría ser un caso típico de suplantación de dominio o ataque de suplantación de identidad. 

3. No ha configurado DKIM para sus proveedores de correo electrónico de terceros

Si utiliza varios proveedores de correo electrónico de terceros para enviar correos electrónicos en nombre de su organización, debe ponerse en contacto con ellos para obtener instrucciones sobre cómo activar DKIM para sus correos electrónicos salientes. Si utiliza sus propios dominios o subdominios registrados en este servicio de terceros para enviar correos electrónicos a sus clientes, asegúrese de solicitar a su proveedor que gestione DKIM por usted.

Lo ideal sería que, si tu proveedor externo te ayuda a externalizar tus correos electrónicos, configurara tu dominio publicando un registro DKIM en su DNS utilizando un selector DKIM que sea exclusivo para usted, sin que usted tenga que intervenir.

O, 

Puede generar un par de claves DKIM y entregar la clave privada a su proveedor de correo electrónico mientras publica la clave pública en su propio DNS.

Las configuraciones incorrectas en el mismo pueden provocar un fallo de DKIM, por lo que debe comunicarse abiertamente con su proveedor de servicios en relación con su configuración de DKIM

Nota: Algunos servidores de intercambio de terceros introducen pies de página formateados en el cuerpo del mensaje. Si estos servidores son servidores intermedios en un proceso de reenvío de correo electrónico, el pie de página adjunto puede ser un factor que contribuya al fallo de DKIM. 

4. Problemas en la comunicación con el servidor

En determinadas situaciones, el correo electrónico puede enviarse desde un servidor que tiene DKIM desactivado. En tales casos, DKIM fallará para ese correo electrónico, incluso si otros servidores de su infraestructura están configurados correctamente. Es importante asegurarse de que las partes comunicantes tengan DKIM correctamente activado. 

5. Modificaciones en el cuerpo del mensaje por parte de los agentes de transferencia de correo (MTA)

A diferencia de SPF, DKIM no verifica la dirección IP del remitente o la ruta de retorno al verificar la autenticidad de los mensajes. En su lugar, garantiza que el contenido del mensaje no ha sido manipulado en tránsito. A veces, los MTA participantes y los agentes de reenvío de correo electrónico pueden alterar el cuerpo del mensaje durante la envoltura de líneas o el formateo del contenido, lo que puede hacer que DKIM falle. 

El formato del contenido de un correo electrónico suele ser un proceso automatizado para garantizar que el mensaje sea fácilmente comprensible para cada destinatario. 

6. Interrupción del DNS / tiempo de inactividad del DNS

Esta es una razón común para los fallos de DKIM. La caída de DNS puede ocurrir debido a una variedad de razones, incluyendo ataques de denegación de servicio. El mantenimiento rutinario de su servidor de nombres también puede ser la razón de una caída de DNS. Durante este periodo de tiempo (normalmente breve), los servidores de destinatarios no pueden realizar consultas DNS. 

Como sabemos que DKIM existe en su DNS como un registro TXT/CNAME, el cliente-servidor realiza una búsqueda para consultar el DNS del remitente para la clave pública durante la autenticación. Durante una interrupción, se considera que esto no es posible y por lo tanto puede romper DKIM. 

7. Uso de OpenDKIM

Una implementación DKIM de código abierto conocida como OpenDKIM es utilizada habitualmente por proveedores de correo electrónico como Gmail, Outlook, Yahoo, etc. OpenDKIM se conecta con el servidor a través del puerto 8891 durante la verificación. A veces, pueden producirse errores al habilitar permisos incorrectos, lo que impide que el servidor se conecte al socket. 

Compruebe su directorio para asegurarse de que ha habilitado los permisos correctamente, o si tiene un directorio configurado para su enchufe. 

Mensajes de error comunes de DKIM y su significado

Comprender los mensajes de error específicos de DKIM le ayuda a identificar y resolver rápidamente los problemas de autenticación. A continuación se muestran los mensajes de error de DKIM más comunes y su significado:

1. Resultado de la autenticación: dkim=neutral (formato incorrecto)

Los saltos de línea generados automáticamente en su registro DKIM pueden provocar el mensaje de error: dkim=neutral (formato incorrecto). Cuando su validador de correo electrónico enlaza los registros de recursos rotos durante la verificación, produce un valor erróneo. Una posible solución es utilizar claves DKIM de 1024 bits (en lugar de 2048 bits) para ajustarse al límite de 255 caracteres del DNS. 

2. Resultado de la autenticación: dkim=fail (firma incorrecta)

A autenticación DKIM ha fallado puede deberse a modificaciones del contenido del cuerpo del mensaje realizadas por un tercero, por lo que el encabezado de la firma DKIM no coincide con el cuerpo del correo electrónico. 

3. Resultado de la autenticación: dkim=fail (hash del cuerpo de la firma DKIM no verificado)

Los mensajes «DKIM-signature body hash not verified» (Hash del cuerpo de la firma DKIM no verificado) o «DKIM signature body hash did not verify» (El hash del cuerpo de la firma DKIM no se ha verificado) son dos resultados alternativos que devuelve el servidor receptor para el mismo error, lo que implica que el valor del hash del cuerpo DKIM (bh= tag) se ha alterado de alguna manera durante la transmisión. Incluso si su par de claves DKIM está configurado correctamente y tiene una clave pública válida publicada en su DNS, pequeñas modificaciones en el valor hash, como la inserción de espacios o caracteres especiales, pueden hacer que la verificación del hash del cuerpo falle en DKIM.

El bh= puede modificarse por las siguientes razones: 

  • Servidores intermediarios encargados de modificar el contenido del correo 
  • Adición de pies de página de correo electrónico por parte de su proveedor de servicios de correo electrónico  

4. Resultado de la autenticación: dkim=fallo (no hay clave para la firma)

Este error puede ser el resultado de una clave pública inválida o ausente en su DNS. Es imprescindible que se asegure de que sus claves públicas y privadas para DKIM coinciden y están configuradas correctamente. ¿Está seguro de que su registro DNS DKIM está publicado y es válido? Compruébelo ahora con nuestro comprobador gratuito de registros DKIM.

Cómo solucionar los fallos de DKIM y evitar que vuelvan a producirse

No es posible abordar todas las cuestiones mencionadas anteriormente, simplemente porque no todas pueden evitarse. Sin embargo, hemos recopilado algunos consejos útiles que puede aplicar para minimizar las posibilidades de que DKIM falle. 

  • Genere y publique el registro DKIM correctamente. Utilice un generador de registros DKIM de confianza. generador de registros DKIM y copie y pegue los valores para evitar errores de sintaxis y claves truncadas.
  • Valida tu registro DKIM en DNS. Comprueba si hay selectores que falten, problemas de formato y problemas de propagación del DNS utilizando un verificador de registros DKIM.
  • Utilice SPF y DMARC junto con DKIM. DMARC puede pasar cuando SPF o DKIM pasan y se alinea, lo que ayuda a reducir los rechazos falsos cuando falla un método.
  • Habilitar Informes DMARC. Los informes muestran qué fuentes de envío no superan la verificación DKIM y con qué frecuencia, para que puedas corregir el flujo específico en lugar de hacer conjeturas.
  • Audite a los remitentes externos. Confirme que todos los proveedores que envían utilizando su dominio estén correctamente configurados para firmar con DKIM y alineados con su dominio de remitente.
  • Supervise continuamente el rendimiento de la autenticación. Realice un seguimiento de las tendencias de fallos de DKIM a lo largo del tiempo utilizando un DMARC para detectar picos antes de que disminuya la entrega en la bandeja de entrada.
  • Escalar cuando los fallos persistan. Si DKIM sigue fallando después de las comprobaciones de DNS y del proveedor, solicite asistencia especializada de PowerDMARC para revisar la firma, el enrutamiento y el manejo del correo intermedio.

Tenga en cuenta que hemos cubierto algunos mensajes de error comunes de DKIM y sus probables causas, al tiempo que proporcionamos una posible solución para ellos. Sin embargo, pueden aparecer errores debido a diversas razones subyacentes específicas de su dominio y servidores, que no se han tratado en este artículo. 

Debe adquirir conocimientos suficientes sobre los protocolos de autenticación antes de implantarlos en su organización o aplicar sus políticas. Un fallo en DKIM, SPF o DMARC puede afectar a la entregabilidad de su correo electrónico.  

He aquí por qué más de 10 000 clientes confían en PowerDMARC.

  • Enorme reducción de los intentos de suplantación de identidad y los correos electrónicos no autorizados.
  • Incorporación más rápida + gestión automatizada de la autenticación
  • Inteligencia y notificación de amenazas en tiempo real en todos los dominios
  • Mejores tasas de entrega de correo electrónico gracias a estrictas Aplicación de DMARC

Los primeros 15 días corren por nuestra cuenta.

Regístrese para obtener una prueba gratuita.

Impacto del reenvío de correos electrónicos en DKIM y SPF

El reenvío de correo electrónico a menudo interfiere con la autenticación porque los mensajes pasan por uno o más servidores intermedios antes de llegar al destinatario final.

¿Por qué falla el SPF en los correos electrónicos reenviados?

SPF comprueba si la dirección IP remitente está autorizada para enviar correo para el dominio que figura en el remitente del sobre (Return-Path). Cuando un correo electrónico se reenvía automáticamente, el servidor de reenvío se convierte en la IP remitente aparente. Si ese servidor no figura en el registro SPF del remitente original, SPF fallará.

Nota: El SPF se evalúa en función de la IP de envío del reenviador, no del servidor del remitente original, por lo que los correos electrónicos reenviados suelen fallar el SPF incluso cuando la configuración original es correcta.

¿Qué ocurre con DKIM durante el reenvío?

DKIM solo puede sobrevivir al reenvío si el mensaje permanece sin cambios después de ser firmado. En la práctica, muchos servicios de reenvío y puertas de enlace de seguridad modifican los correos electrónicos añadiendo pies de página, avisos legales o reescribiendo el contenido. Incluso los cambios más pequeños pueden invalidar la firma DKIM y provocar que la autenticación DKIM falle.

  • Firma el correo saliente con DKIM. DKIM mejora las posibilidades de que los correos electrónicos reenviados se autentiquen cuando el contenido no se modifica durante el tránsito.
  • Utilice SRS (Sender Rewriting Scheme) en los sistemas de reenvío. SRS reescribe el remitente del sobre para que SPF pueda validar correctamente después del reenvío.
  • Evite añadir servidores de reenvío a los registros SPF. Este enfoque es difícil de mantener y puede dar lugar a límites de búsqueda SPF.

Se recomienda configurar DKIM junto con SPF, sin embargo, no es obligatorio.

  • Si no desea configurar DKIM para tus dominios, pero quieres reducir fallos de SPF causados por el reenvío, utilice SRS (Sender Rewriting Scheme) o un método de redireccionamiento adecuado en el sistema de reenvío. SRS reescribe el remitente del sobre (Return-Path) para que SPF pueda validar correctamente después del reenvío.
  • De lo contrario, si usted controla la infraestructura de reenvío y esta utiliza servidores de salida fijos, puede autorizar esas direcciones IP de envío en su registro SPF. Este enfoque es más difícil de mantener y puede alcanzar los límites de búsqueda de SPF, por lo que es mejor utilizarlo solo en entornos controlados.

Por qué DKIM sigue siendo importante

DKIM es un método de autenticación de correo electrónico que demuestra dos cosas a los servidores receptores:

  1. el mensaje fue enviado por un servidor autorizado para firmar en nombre del dominio, y
  2. las partes firmadas del mensaje no se modificaron durante el tránsito.

Esto es importante porque los proveedores de bandejas de entrada utilizan señales de autenticación para decidir si confían en tu correo. Cuando DKIM falla repetidamente, pierdes una señal de confianza clave, lo que puede provocar que tu correo sea clasificado como spam, ralentizado o devuelto, especialmente cuando se aplica DMARC.

Si hoy estás solucionando fallos de DKIM, no te conformes con que «funcione una vez». Asegúrate de que todas las fuentes de envío (incluidas las plataformas de terceros) firmen de forma coherente y supervisa los fallos a través de los informes DMARC para que el problema no vuelva a repetirse.

Preguntas frecuentes

1. ¿Qué es DKIM y por qué configurarlo?

DKIM (DomainKeys Identified Mail) es un método de autenticación de correo electrónico que añade una firma criptográfica a los correos electrónicos salientes. Los servidores receptores verifican la firma utilizando la clave pública publicada en el DNS de su dominio. Si la firma se verifica, indica que el mensaje no se modificó después de ser firmado y que el correo electrónico se envió a través de una configuración de firma DKIM legítima para el dominio.

DKIM no es un filtro de spam en sí mismo, pero es una señal de confianza clave que se utiliza junto con SPF y DMARC para reducir la suplantación de identidad y mejorar la capacidad de entrega.

2. ¿Qué remitentes no superan la verificación DKIM?

El fracaso es típico de los remitentes que:

  • configurar el protocolo de forma incorrecta
  • utilizar claves de 2048 bits para los proveedores de correo electrónico no compatibles
  • el contenido del correo electrónico fue alterado por un tercero intermediario durante la transferencia del mensaje

3. ¿Puede DMARC pasar si DKIM no lo hace?

Sí, siempre que el correo electrónico supere la comprobación SPF. Si ha configurado DMARC y ha alineado los correos electrónicos con SPF y DKIM , solo necesitas pasar una de las comprobaciones (SPF o DKIM) para pasar DMARC. Sin embargo, si tu alineación DMARC solo se basa en la autenticación DKIM, DMARC fallará y DKIM también.

4. ¿Por qué se bloquea mi mensaje debido a un fallo de DKIM?

Los mensajes pueden bloquearse cuando DKIM falla si el servidor receptor tiene políticas de autenticación estrictas o si su política DMARC está configurada en «rechazar» y tanto DKIM como SPF fallan en las comprobaciones de alineación.

5. ¿Cómo puedo comprobar DKIM en los encabezados de los correos electrónicos?

Busque el campo «DKIM-Signature» en los encabezados del correo electrónico y compruebe el campo «Authentication-Results» para ver el estado de DKIM. Puede ver los encabezados de los correos electrónicos en la mayoría de los clientes de correo electrónico seleccionando «Ver fuente» o «Mostrar original».

6. ¿Puede DKIM fallar si SPF pasa?

Sí, DKIM y SPF son métodos de autenticación independientes. DKIM puede fallar debido a problemas con la firma, mientras que SPF se basa en la autorización de la IP. Por eso, implementar ambos protocolos proporciona una mejor cobertura de seguridad para el correo electrónico.

Últimos comentarios de Maitham Al Lawati (ver todos)
Última actualización:
Cómo solucionar el error 550 SPF Check Failed [SOLUCIONADO]Cómo solucionar el error 550 SPF Check Failed554 5.7.5 Error permanente al evaluar la política DMARC554 5.7.5 Error permanente en la evaluación de la política DMARC [SOLVED]