Fallo de DKIM

El fallo de DKIM en los mensajes de tu dominio puede ser el resultado de un fallo en la alineación del identificador para el protocolo DKIM o de problemas en la configuración de tu registro. Hoy vamos a profundizar en cómo la especificación DKIM autentifica sus dominios, por qué DKIM podría estar fallando para sus mensajes, y cómo arreglar el fallo de DKIM fácilmente con algunos consejos y trucos.

¿Qué es DKIM y por qué hay que configurarlo?

DKIM es un sistema de autenticación de correo electrónico que le ayuda a verificar la legitimidad de sus fuentes de envío junto con la garantía de que el contenido de su correo electrónico ha permanecido inalterado durante todo el proceso de entrega.

Si vamos a hablar de por qué necesitamos una configuración DKIM para nuestros correos electrónicos, tenemos que hablar de cómo el correo electrónico puede convertirse en un vector para llevar a cabo actividades fraudulentas. Los ataques de suplantación de identidad, que van desde el phishing hasta la suplantación de dominios, así como las infecciones de malware, pueden llevarse a cabo a través de correos electrónicos falsos. Por ello, las empresas deben establecer un sistema de filtrado para autentificar a los remitentes de correo electrónico. De este modo, no sólo protegen su propia reputación, sino que evitan que millones de usuarios sean víctimas de estafas por correo electrónico.  

DKIM es uno de estos sistemas de verificación del correo electrónico que utiliza un valor hash (clave privada) para firmar la información del correo electrónico que se coteja con la clave pública alojada en el DNS del remitente. Los correos electrónicos firmados digitalmente con una firma DKIM tienen un alto nivel de protección contra cualquier alteración por parte de un tercero malintencionado.

Reenvío automático de correo electrónico y DKIM frente a SPF

En los correos electrónicos reenviados automáticamente, las cabeceras de los correos electrónicos se modifican debido a la participación de uno o más servidores intermediarios. El mensaje reenviado toma la información de cabecera de este servidor intermediario de terceros que puede o no estar incluido como fuente de envío autorizada en el registro SPF del remitente original. 

Si no se incluye, el SPF fallará para ese mensaje. 

Dado que las firmas DKIM se incluyen en el cuerpo del correo electrónico, el reenvío no tiene ningún efecto sobre DKIM. Por ello, configurar DKIM sobre su política SPF existente puede ayudar a evitar fallos de autenticación no deseados en sus mensajes reenviados. 

Cómo solucionar el problema sin DKIM

La configuración de DKIM junto con SPF es una recomendada Sin embargo, no es obligatorio.

  • Si no quiere configurar DKIM para sus dominios, pero quiere resolver el fallo de SPF para sus correos electrónicos reenviados, puede utilizar un método llamado redirección de correo electrónico. La redirección de sus correos electrónicos conserva las cabeceras originales de sus mensajes.  
  • Si no, también puede asegurarse de incluir las direcciones IP de todos los servidores intermediarios que participan en el proceso de reenvío en el registro SPF de su dominio. 

Significado del fallo de DKIM

Si tiene activado DKIM para sus correos electrónicos salientes, los servidores receptores verifican la autenticidad del correo electrónico comparando su clave privada DKIM con la clave pública publicada en sus DNS. Si coincide, DKIM pasa para el mensaje, o bien DKIM falla.

El fallo de DKIM se refiere al estado fallido de su comprobación de autenticación DKIM, debido a una falta de coincidencia en los dominios especificados en la cabecera de firma DKIM y en la cabecera From y a incoherencias entre los valores del par de claves.

Los casos de prueba para DKIM fallan

1. Error en la sintaxis del registro DKIM

 

Si no utiliza un generador de registros generador de registros DKIM para generar su registro intentando configurarlo manualmente para su dominio, puede implementarlo de forma errónea. Los errores sintácticos en tus registros DNS pueden llevar a un fallo de autenticación, y en este caso, DKIM falla.

2. Fallo de alineación del identificador DKIM

Si tiene DMARC configurado para su dominio además de DKIM, durante la verificación DKIM el valor del dominio en el campo d= de la firma DKIM en la cabecera del correo electrónico tiene que coincidir con el dominio encontrado en la dirección del remitente. Puede ser una alineación estricta, en la que los dos dominios tienen que coincidir exactamente, o una alineación relajada que permite una coincidencia organizativa para pasar la verificación.

Un fallo de DKIM puede ocurrir si el dominio de la cabecera de la firma DKIM no coincide con el dominio encontrado en la cabecera From, lo que podría ser un caso típico de suplantación de dominio o ataque de suplantación. 

3. No ha configurado DKIM para sus proveedores de correo electrónico de terceros

Si utiliza varios proveedores de correo electrónico de terceros para enviar correos electrónicos en nombre de su organización, debe ponerse en contacto con ellos para obtener instrucciones sobre cómo activar DKIM para sus correos electrónicos salientes. Si utiliza sus propios dominios o subdominios registrados en este servicio de terceros para enviar correos electrónicos a sus clientes, asegúrese de solicitar a su proveedor que gestione DKIM por usted.

Lo ideal es que, si su proveedor externo le ayuda a externalizar sus correos electrónicos, configure su dominio publicando un registro DKIM en sus DNS utilizando un selector DKIM que sea único para usted, sin que tenga que entrometerse.

O, 

Puede generar un par de claves DKIM y entregar la clave privada a su proveedor de correo electrónico mientras publica la clave pública en su propio DNS.

Los errores de configuración en el mismo pueden llevar al fracaso de DKIM, por lo que es imperativo que se comunique abiertamente con su proveedor de servicios en relación con su configuración de DKIM. 

Nota: Algunos servidores de intercambio de terceros inducen pies de página formateados en el cuerpo del mensaje. Si estos servidores son servidores intermediarios en un proceso de reenvío de correo electrónico, el pie de página unido puede ser un factor que contribuya al fallo de DKIM.

4. Problemas en la comunicación con el servidor

En ciertas situaciones, el correo electrónico puede ser enviado desde un servidor que tiene DKIM desactivado. En tales casos, DKIM fallará para ese correo electrónico. Es importante asegurarse de que las partes que se comunican tienen DKIM correctamente activado. 

5. Modificaciones en el cuerpo del mensaje por parte de los agentes de transferencia de correo (MTA)

A diferencia de SPF, DKIM no verifica la dirección IP del remitente o la ruta de retorno al verificar la autenticidad de los mensajes. En su lugar, garantiza que el contenido del mensaje no ha sido manipulado en tránsito. A veces, los MTA participantes y los agentes de reenvío de correo electrónico pueden alterar el cuerpo del mensaje durante la envoltura de líneas o el formateo del contenido, lo que puede hacer que DKIM falle. 

El formato del contenido de un correo electrónico suele ser un proceso automatizado para garantizar que el mensaje sea fácilmente comprensible para cada destinatario. 

6. Interrupción del DNS / tiempo de inactividad del DNS

Esta es una razón común para los fallos de autenticación, incluyendo el fallo de DKIM. La interrupción del DNS puede ocurrir debido a una variedad de razones, incluyendo ataques de denegación de servicio. El mantenimiento rutinario de su servidor de nombres también puede ser la razón detrás de una caída de DNS. Durante este periodo de tiempo (normalmente corto), los servidores de destinatarios no pueden realizar consultas DNS. 

Como sabemos que DKIM existe en su DNS como un registro TXT/CNAME, el cliente-servidor realiza una búsqueda para consultar el DNS del remitente para la clave pública durante la autenticación. Durante una interrupción, se considera que esto no es posible y por lo tanto puede romper DKIM. 

7. Uso de OpenDKIM

Una implementación de DKIM de código abierto conocida como OpenDKIM es comúnmente utilizada por proveedores de correo como Gmail, Outlook, Yahoo, etc. OpenDKIM se conecta con el servidor a través del puerto 8891 durante la verificación. A veces, los errores pueden ser causados por la habilitación de permisos erróneos debido a los cuales su servidor no puede enlazar con su socket. 

Compruebe su directorio para asegurarse de que ha habilitado los permisos correctamente, o si tiene un directorio configurado para su enchufe. 

Fallos en el resultado de la autenticación DKIM

1. Resultado de la autenticación: dkim=neutral (formato incorrecto)

Los saltos de línea generados automáticamente en su registro DKIM pueden provocar el mensaje de error: dkim=neutral (formato incorrecto). Cuando su validador de correo electrónico enlaza los registros de recursos rotos durante la verificación, produce un valor erróneo. Una posible solución es utilizar claves DKIM de 1024 bits (en lugar de 2048 bits) para ajustarse al límite de 255 caracteres del DNS. 

2. Resultado de la autenticación: dkim=fail (firma incorrecta)

Esto puede ser un posible resultado de modificaciones de contenido dentro del cuerpo del mensaje por parte de un tercero, debido a lo cual el encabezado de la firma DKIM no coincidió con el cuerpo del correo electrónico. 

3. Resultado de la autenticación: dkim=fail (el hash del cuerpo no se ha verificado)

Esto implica que el valor hash del cuerpo DKIM (bh= ) ha sido alterado de alguna manera en tránsito si su par de claves DKIM está configurado correctamente y tiene una clave pública válida publicada en su DNS. Pequeñas modificaciones en el valor hash, como la inserción de espacios o caracteres especiales, pueden hacer que la verificación del hash del cuerpo falle en DKIM.

4. dkim=fallo (no hay clave para la firma)

Este error puede ser el resultado de una clave pública inválida o ausente en su DNS. Es imprescindible que se asegure de que sus claves públicas y privadas para DKIM coinciden y están configuradas correctamente. ¿Está seguro de que su registro DNS DKIM está publicado y es válido? Compruébelo ahora con nuestro comprobador gratuito de registros DKIM. 

¿Cómo evitar que el DKIM falle en sus mensajes?

No es posible abordar todos los problemas mencionados anteriormente simplemente porque no se pueden evitar todos. Sin embargo, aquí hay algunos consejos útiles que puede implementar para minimizar las posibilidades de que el DKIM falle: 

  • Genere su registro DKIM utilizando una herramienta generadora de confianza y notable para obtener resultados precisos, y siempre copie y pegue sus valores para evitar errores
  • Compruebe su registro DKIM para ver si hay lagunas y errores 
  • Implemente SPF y DMARC para obtener una capa adicional de seguridad contra la suplantación de dominios y la suplantación de identidad. DMARC necesita que SPF o DKIM pasen para que los mensajes pasen la validación, por lo tanto, en caso de que su DKIM falle y SPF pase, sus mensajes aún pasarán DMARC y serán entregados.
  • Habilite los informes DMARC para sus dominios 
  • Supervise los informes de fallos de DKIM y los resultados de autenticación en un analizador de informes DMARC panel de control
  • Hable en detalle con sus proveedores de correo electrónico sobre la configuración de DKIM, si son compatibles con el protocolo y cómo lo gestionan 
  • Obtenga asesoramiento experto sobre la configuración de la autenticación de su correo electrónico por parte de nuestro equipo de especialistas en DMARC registrándose para una prueba gratuita de DMARC con nuestro analizador  

Tenga en cuenta que hemos cubierto algunas indicaciones comunes de fallos de DKIM y su probable causas, al tiempo que proporcionamos una posible solución en torno a ellos. Sin embargo, los errores pueden aparecer debido a varias razones subyacentes que son específicas de su dominio y servidores, que no han sido cubiertas en este artículo.

Es imperativo que usted construya su conocimiento en torno a los protocolos de autenticación, suficientemente, antes de implementarlos en su organización o hacer cumplir sus políticas. Los fallos de DKIM, SPF o DMARC pueden afectar a la entregabilidad de su correo electrónico.