¿Qué es un registro DKIM? Esta es una consulta bastante frecuente en estos tiempos, especialmente en el ámbito de la seguridad cibernética. Todo esto se debe al hecho de que los correos electrónicos se han convertido en el principal medio de comunicación entre empresas, proveedores y asociados, pero desafortunadamente, los buzones de correos no son 100% seguros.
Tus mensajes de correo pueden ser interceptados, falsificados y modificados por actores maliciosos en línea, razón por la cual más empresas buscan implementar DMARC para proteger sus infraestructuras de correo electrónico, por lo cual se hace esencial comprender el papel que juega DKIM en este sistema.
DMARC es un estándar de autenticación que verifica tus correos electrónicos y le permite a tu lista de destinatarios saber que todos los mensajes enviados desde tu dominio provienen de ti sin dejo de duda, este protocolo funciona en tándem con SPF y DKIM.
En esta publicación vamos a mostrarte todo lo que necesitas saber sobre DKIM, también vamos a estudiar lo qué es un registro DKIM TXT, qué es una clave DKIM y todos los aspectos relevantes de esta política de seguridad; toma asiento y disfruta esta inmersión profunda en DKIM.
¿Qué es DKIM?
Cuando alguien se pregunta qué es DKIM, la forma más breve de explicarlo es refiriéndonos a esta política de seguridad como una firma digital. Si deseas una explicación más técnica, podemos decirte que DKIM es una abreviatura en inglés para “DomainKeys Identified Mail” o claves de identificación de dominio digitales; un registro DKIM está presentado en formato TXT, modificado para ser agregado al DNS de tu dominio.
El registro TXT contiene una clave pública utilizada por los servidores de tus destinatarios para verificar la firma digital en todos tus mensajes y asegurarse de que provengan de tu dominio.
¿Cuáles son los componentes del registro DKIM?
Cuando agregas un registro DKIM a tu DNS, una serie de componentes se ponen en funcionamiento para asegurarse de que el trabajo de verificar tu dominio se lleve a cabo de forma efectiva; la mayoría de estos elementos son bastante informales y son representados mediante el uso de etiquetas.
¿Cómo funciona un registro DKIM?
Las etiquetas funcionan como comandos señalados por una sola letra seguida de un signo igual, por ejemplo: “s=.” El valor de cada etiqueta indica información sobre el remitente y la clave pública.
La estructura de cada registro DKIM se basa en una estricta y cuidadosa sintaxis, ya que una firma DKIM solo funciona si está configurada correctamente. Algunas etiquetas están disponibles para el remitente; algunas otras son obligatorias, mientras que hay otras que son opcionales.
La ausencia de una etiqueta genera errores de verificación con ciertos proveedores de correo, también las etiquetas sin valor añadido a algún registro se toman como espacios vacíos, mientras que las etiquetas que sobran son eliminadas de forma predeterminada.
Si tu proveedor de servicios de correo te proporciona registros DKIM con barras invertidas antes de punto y coma o comillas dobles encerrando el registro, puedes eliminarlos antes de agregarlos a tu DNS.
Estos caracteres adicionales pueden alterar la sintaxis de tu registro DKIM, usualmente el servidor maneja la presencia de cualquier comilla adicional, descartando cualquier otro carácter de forma automática.
En este ejemplo te mostramos el aspecto que debería tener un registro DKIM 100% funcional:
v=1; a=rsa-sha286;
d=example.com; s=big-email;
h=from:to:subject;
bh=1xGbmmJeqQzJ5QMeHLElPZWTig6aBMwtxzt6Dei3GzO8s=;
b=LiIvJeRyqMo0gngiCygwpiKphJjYezb5kXBKCNj8DqRVcCk7obK6OUg4o+EufEbB
tRYQfQhgIkx5m70IqA6dP+1yc9n5JU-7bTkT9FxgIYFJutPbxbyfsBXlbD4wJ-Mdt8/Wk4w
ZG4tu/g+OA49mS7VX+64FXr79MPwOMRRmJ3lNwJU=
¿Qué es un encabezado DKIM?
Ahora que sabes lo qué es un registro DKIM, podemos analizar cómo funcionan los encabezados de estos registros. Cada vez que generas un mensaje, el servidor de envío crea una firma digital utilizando el encabezado de tu mensaje, un hash del cuerpo del correo y la clave privada de tu DNS.
Todos estos elementos se combinan para crear una firma digital para tu correo electrónico, el cual forma parte del encabezado DKIM.
Esta firma DKIM es uno de los múltiples encabezados adjuntos en tu mensaje. Los servicios proveedores de correo rara vez muestran encabezados cuando los mensajes de correo llegan a tu buzón, a menos que los destinatarios tengan una configuración específica para sus bandejas de entrada.
Los servicios de buzón como Gmail permiten a los usuarios ver los remitentes de sus correos electrónicos con solo hacer clic en la sección superior derecha de cualquier mensaje, y elegir la opción para ver el mensaje original.
¿Cómo verificar si tu registro DKIM es válido?
Siempre tienes la posibilidad de usar la herramienta de búsqueda DKIM gratuita de EasyDMARC para verificar si tu dominio tiene registros DKIM. Solo asegúrate de ingresar el nombre de tu selector junto a tu dominio, de esa manera, podrás observar los registros DKIM que están publicados en tu dominio.
Dado que los dominios pueden tener múltiples registros DKIM para diferentes claves públicas y una amplia gama de remitentes, debes recordar usar los nombres de cada selector para cada uno.
¿Qué sucede si falla DKIM?
Una vez que creas un registro DKIM, este no está exento de errores, ya que la verificación DKIM aún puede fallar debido a varias razones, tales como:
- Falta de alineación entre el dominio que genera la firma DKIM y el dominio de envío
- Sintaxis incorrecta en el registro público DKIM incluido en tu DNS
- El dominio del remitente no puede acceder a la zona DNS para realizar las búsquedas necesarias para la autenticación
- La longitud de la clave DKIM usada en las firmas digitales es demasiado corta, ten presente que las claves modernas deben ser de 1024/2048 bits.
Cuando falla la alineación de DKIM, la capacidad de entrega de tus correos se ve afectada, una de las razones más comunes es cuando la etiqueta d=value en el encabezado no coincide con el valor de la firma DKIM publicada; si este fuese el caso, el servidor receptor enviará todos tus mensajes directamente a la carpeta de correo no deseado o los bloqueará.
Resumen
Si tienes una empresa con una sólida presencia en línea, debes conocer la importancia de los correos electrónicos. Obtener un dominio seguro debe ser una prioridad, ya que tus clientes y socios comerciales se sentirán más seguros sabiendo que sus mensajes están autenticados.
La mejor manera de hacer que tu dominio alcance este estándar de seguridad al 100% es implementando políticas DMARC. DKIM sin DMARC no es suficiente por sí solo para proteger tu infraestructura de correos electrónicos.
Lo mismo ocurre con DKIM sin SPF, y por eso mismo que DMARC es tan esencial.
Combina y mejora tus protocolos DKIM y SPF.
Ten presente lo importante que es autenticar tus mensajes con una firma DKIM configurada correctamente.
Si no tienes un registro DKIM en tu dominio, debes generar un registro TXT para ser agregado a tu DNS y obtener tu set de claves públicas y privadas.
Si no estás seguro de cuál es la ubicación de este registro digital, usa nuestro generador DKIM o ponte en contacto con uno de nuestros especialistas, en EasyDMARC estamos felices de ayudarte.