Cómo solucionar un fallo de DKIM

Blog

Los fallos de DKIM en sus correos electrónicos pueden dañar la reputación de su dominio y afectar a la entregabilidad de sus correos electrónicos. Solucione todos los fallos de DKIM con este sencillo tutorial paso a paso.

por Maitham Al Lawati

Tiempo de lectura: 8 min
Cómo solucionar un fallo de DKIM
Índice-

El fallo de DKIM en los mensajes de tu dominio puede deberse a un fallo en la alineación de identificadores del protocolo DKIM o a problemas en la configuración de tus registros. Hoy vamos a profundizar en cómo la especificación DKIM autentica tus dominios, por qué DKIM puede estar fallando en tus mensajes y cómo arreglar DKIM fácilmente con una guía paso a paso.

Puntos clave

  • DKIM falla cuando el dominio de la firma DKIM no coincide con el encabezado "De", o cuando no coinciden los valores del par de claves.
  • Errores en la sintaxis del registro DKIM, configuraciones erróneas de terceros proveedores, problemas de comunicación con el servidor, caídas del DNS y modificaciones por parte de los MTA pueden provocar fallos en DKIM.
  • Problemas como el formato incorrecto, el hash del cuerpo no verificado o la falta de claves públicas en DNS provocan fallos específicos de DKIM.
  • Para solucionar los fallos de DKIM utilice generadores de registros DKIM fiables para evitar errores de sintaxis. Compruebe la alineación en la cabecera de firma DKIM y en la cabecera De y trabaje con un proveedor externo como PowerDMARC para garantizar una configuración DKIM correcta.
  • Supervise los resultados de la autenticación DKIM mediante los informes DMARC.

¿Qué significa un fallo de DKIM?

Si tiene activado DKIM para sus correos electrónicos salientes, los servidores receptores verifican la autenticidad del correo electrónico comparando su clave privada DKIM con la clave pública publicada en sus DNS. Si coincide, DKIM pasa para el mensaje, o bien DKIM falla.

El fallo de DKIM se refiere al estado fallido de su comprobación de autenticación DKIM, debido a una falta de coincidencia en los dominios especificados en la cabecera de firma DKIM y en la cabecera From y a incoherencias entre los valores del par de claves.

Razones comunes del fallo de DKIM

1. Error en la sintaxis del registro DKIM

 

Si no utiliza un generador de registros DKIM para generar su registro intentando configurarlo manualmente para su dominio, puede que no lo implemente correctamente. Los errores sintácticos en tus registros DNS pueden provocar fallos de autenticación.

2. DKIM Comprobación de fallos de alineación

Si dispone de DMARC configurado para su dominio además de DKIM, durante la comprobación DKIM, el valor del dominio en el campo d= de la firma DKIM en la cabecera del correo electrónico debe coincidir con el dominio que aparece en la dirección del remitente. Puede ser una alineación estricta, en la que los dos dominios tienen que coincidir exactamente, o una alineación relajada que permite una coincidencia organizativa para pasar la comprobación.

Puede producirse un fallo DKIM si el dominio de la cabecera de la firma DKIM no coincide con el dominio encontrado en la cabecera De, lo que podría ser un caso típico de suplantación de dominio o ataque de suplantación. 

3. No ha configurado DKIM para sus proveedores de correo electrónico de terceros

Si utiliza varios proveedores de correo electrónico de terceros para enviar correos electrónicos en nombre de su organización, debe ponerse en contacto con ellos para obtener instrucciones sobre cómo activar DKIM para sus correos electrónicos salientes. Si utiliza sus propios dominios o subdominios registrados en este servicio de terceros para enviar correos electrónicos a sus clientes, asegúrese de solicitar a su proveedor que gestione DKIM por usted.

Lo ideal es que, si su proveedor externo le ayuda a externalizar sus correos electrónicos, configure su dominio publicando un registro DKIM en sus DNS utilizando un selector DKIM que sea único para usted, sin que tenga que entrometerse.

O, 

Puede generar un par de claves DKIM y entregar la clave privada a su proveedor de correo electrónico mientras publica la clave pública en su propio DNS.

Los errores de configuración en el mismo pueden provocar el fallo de DKIM, por lo que debe comunicarse abiertamente con su proveedor de servicios en relación con su configuración de DKIM. 

Nota: Algunos servidores de intercambio de terceros inducen pies de página formateados en el cuerpo del mensaje. Si estos servidores son servidores intermediarios en un proceso de reenvío de correo electrónico, el pie de página unido puede ser un factor que contribuya al fallo de DKIM.

4. Problemas en la comunicación con el servidor

En ciertas situaciones, el correo electrónico puede ser enviado desde un servidor que tiene DKIM desactivado. En tales casos, DKIM fallará para ese correo electrónico. Es importante asegurarse de que las partes que se comunican tienen DKIM correctamente activado. 

5. Modificaciones en el cuerpo del mensaje por parte de los agentes de transferencia de correo (MTA)

A diferencia de SPF, DKIM no verifica la dirección IP del remitente o la ruta de retorno al verificar la autenticidad de los mensajes. En su lugar, garantiza que el contenido del mensaje no ha sido manipulado en tránsito. A veces, los MTA participantes y los agentes de reenvío de correo electrónico pueden alterar el cuerpo del mensaje durante la envoltura de líneas o el formateo del contenido, lo que puede hacer que DKIM falle. 

El formato del contenido de un correo electrónico suele ser un proceso automatizado para garantizar que el mensaje sea fácilmente comprensible para cada destinatario. 

6. Interrupción del DNS / tiempo de inactividad del DNS

Esta es una razón común para los fallos de DKIM. La caída de DNS puede ocurrir debido a una variedad de razones, incluyendo ataques de denegación de servicio. El mantenimiento rutinario de su servidor de nombres también puede ser la razón de una caída de DNS. Durante este periodo de tiempo (normalmente breve), los servidores de destinatarios no pueden realizar consultas DNS. 

Como sabemos que DKIM existe en su DNS como un registro TXT/CNAME, el cliente-servidor realiza una búsqueda para consultar el DNS del remitente para la clave pública durante la autenticación. Durante una interrupción, se considera que esto no es posible y por lo tanto puede romper DKIM. 

7. Uso de OpenDKIM

Una implementación de DKIM de código abierto conocida como OpenDKIM es comúnmente utilizada por proveedores de correo como Gmail, Outlook, Yahoo, etc. OpenDKIM se conecta con el servidor a través del puerto 8891 durante la verificación. A veces, los errores pueden ser causados por la habilitación de permisos erróneos debido a los cuales su servidor no puede enlazar con su socket. 

Compruebe su directorio para asegurarse de que ha habilitado los permisos correctamente, o si tiene un directorio configurado para su enchufe. 

Diferentes resultados de autenticación DKIM fallida

1. Resultado de la autenticación: dkim=neutral (formato incorrecto)

Los saltos de línea generados automáticamente en su registro DKIM pueden provocar el mensaje de error: dkim=neutral (formato incorrecto). Cuando su validador de correo electrónico enlaza los registros de recursos rotos durante la verificación, produce un valor erróneo. Una posible solución es utilizar claves DKIM de 1024 bits (en lugar de 2048 bits) para ajustarse al límite de 255 caracteres del DNS. 

2. Resultado de la autenticación: dkim=fail (firma incorrecta)

Un resultado de autenticación DKIM fallida puede deberse a modificaciones de contenido en el cuerpo del mensaje por parte de un tercero, debido a lo cual el encabezado de firma DKIM no coincidió con el cuerpo del correo electrónico. 

3. Resultado de la autenticación: dkim=fail (hash del cuerpo de la firma DKIM no verificado)

El "DKIM-signature body hash not verified" o "DKIM signature body hash did not verify" son dos resultados alternativos devueltos por el servidor receptor para el mismo error que implica el valor del hash del cuerpo DKIM (bh= ) ha sido alterado de alguna manera en tránsito. Incluso si su par de claves DKIM está configurado correctamente y tiene una clave pública válida publicada en su DNS, pequeñas modificaciones en el valor hash, como la inserción de espacios o caracteres especiales, pueden hacer que la verificación del hash del cuerpo falle en DKIM.

El valor de la etiqueta bh= puede verse alterado por las siguientes razones: 

  • Servidores intermediarios encargados de modificar el contenido del correo 
  • Adición de pies de página de correo electrónico por parte de su proveedor de servicios de correo electrónico  

4. Resultado de la autenticación: dkim=fallo (no hay clave para la firma)

Este error puede ser el resultado de una clave pública inválida o ausente en su DNS. Es imprescindible que se asegure de que sus claves públicas y privadas para DKIM coinciden y están configuradas correctamente. ¿Está seguro de que su registro DNS DKIM está publicado y es válido? Compruébelo ahora con nuestro comprobador gratuito de registros DKIM. 

¡Evite los fallos de DKIM con PowerDMARC!

Prueba de 15 díasAgendar demo

Cómo detener un fallo DKIM para sus mensajes

No es posible abordar todos los problemas mencionados anteriormente simplemente porque no se pueden evitar todos. Sin embargo, hemos reunido algunos consejos útiles que puede implementar para minimizar las posibilidades de que el DKIM falle. 

¿Cómo puedo solucionar el fallo DKIM?

  • Genere su registro DKIM utilizando una herramienta generadora de confianza y notable para obtener resultados precisos, y copie-pegue siempre sus valores para evitar errores
  • Compruebe su registro DKIM para ver si hay lagunas y errores 
  • Implemente SPF y DMARC para obtener una capa adicional de seguridad contra la suplantación de dominios. DMARC necesita que SPF o DKIM pasen para que los mensajes pasen la validación, por lo tanto, en caso de que su DKIM falle y SPF pase, sus mensajes todavía pasarán DMARC y serán entregados.
  • Habilite los informes DMARC para sus dominios 
  • Supervise los informes de errores DKIM y los resultados de autenticación en un lector DMARC panel de control
  • Hable en detalle con sus proveedores de correo electrónico sobre la configuración de DKIM, si son compatibles con el protocolo y cómo lo gestionan 
  • Obtenga asesoramiento experto sobre la configuración de la autenticación de su correo electrónico por parte de nuestro equipo de especialistas en DMARC registrándose para una prueba gratuita de DMARC con nuestro analizador  

Tenga en cuenta que hemos cubierto algunas indicaciones comunes de fallos de DKIM y su probable causas, al tiempo que proporcionamos una posible solución en torno a ellos. Sin embargo, los errores pueden aparecer debido a varias razones subyacentes que son específicas de su dominio y servidores, que no han sido cubiertas en este artículo.

Debe adquirir conocimientos suficientes sobre los protocolos de autenticación antes de implantarlos en su organización o aplicar sus políticas. Un fallo en DKIM, SPF o DMARC puede afectar a la entregabilidad de su correo electrónico.  

Reenvío automático de correo electrónico y DKIM frente a SPF

En los correos electrónicos reenviados automáticamente, las cabeceras de los correos electrónicos se modifican debido a la participación de uno o más servidores intermediarios. El mensaje reenviado toma la información de cabecera de este servidor intermediario de terceros que puede o no estar incluido como fuente de envío autorizada en el registro SPF del remitente original. 

Si no se incluye, el SPF fallará para ese mensaje. 

Dado que las firmas DKIM se incluyen en el cuerpo del correo electrónico, el reenvío no afecta a DKIM. Por este motivo, configurar DKIM sobre la política SPF existente puede ayudar a evitar fallos de autenticación DKIM no deseados en los mensajes reenviados. 

Cómo solucionar el problema sin DKIM

La configuración de DKIM junto con SPF es una recomendada Sin embargo, no es obligatorio.

  • Si no desea configurar DKIM para sus dominios, pero desea resolver el fallo SPF para sus correos electrónicos reenviados, puede utilizar un método llamado redireccionamiento de correo electrónico. El redireccionamiento de sus correos electrónicos conserva las cabeceras originales de sus mensajes.  
  • Si no, también puede asegurarse de incluir las direcciones IP de todos los servidores intermediarios que participan en el proceso de reenvío en el registro SPF de su dominio. 

¿Qué es DKIM y por qué hay que configurarlo?

DKIM es un sistema de autenticación de correo electrónico que le ayuda a verificar la legitimidad de sus fuentes de envío junto con la garantía de que el contenido de su correo electrónico ha permanecido inalterado durante todo el proceso de entrega.

Si vamos a hablar de por qué necesitamos una configuración DKIM para nuestros correos electrónicos, tenemos que hablar de cómo el correo electrónico puede convertirse en un vector para llevar a cabo actividades fraudulentas. Los ataques de suplantación de identidad, que van desde el phishing a la suplantación de dominios, así como las infecciones de malware, pueden llevarse a cabo a través de correos electrónicos falsos. Por ello, las empresas deben establecer un sistema de filtrado para autenticar a los remitentes de correo electrónico. Al hacerlo, no sólo protegen su propia reputación, sino que también evitan que millones de usuarios sean víctimas de estafas por correo electrónico. El fallo de DKIM, como leerá a continuación, se produce cuando la clave privada no coincide con la clave pública.

DKIM es uno de estos sistemas de verificación del correo electrónico que utiliza un valor hash (clave privada) para firmar la información del correo electrónico que se coteja con la clave pública alojada en el DNS del remitente. Los correos electrónicos firmados digitalmente con una firma DKIM tienen un alto nivel de protección contra cualquier alteración por parte de un tercero malintencionado.

Preguntas frecuentes sobre el fallo de DKIM

1. ¿Qué remitentes fallan el DKIM?

El fracaso es típico de los remitentes que:

  • configurar el protocolo de forma incorrecta
  • utilizar claves de 2048 bits para los proveedores de correo electrónico no compatibles
  • el contenido del correo electrónico fue alterado por un tercero intermediario durante la transferencia del mensaje

2. ¿Puede DMARC pasar si DKIM no pasa?

Sí, siempre que SPF pase para el correo electrónico. Si ha configurado DMARC y ha alineado los mensajes de correo electrónico con los mecanismos SPF y DKIM, sólo necesita pasar una de las comprobaciones (SPF o DKIM) para pasar DMARC. Sin embargo, si su alineación DMARC sólo se basa en la autenticación DKIM, DMARC fallará y también lo hará DKIM.

Últimos comentarios de Maitham Al Lawati (ver todos)
¿Qué es la política DMARC? Ninguna, Cuarentena y Rechazopolítica dmarcNCSC Mail Check Changes & Their Impact on UK Public Sector Email Secur...