Vivimos en una época en la que las estafas por correo tienen un alcance muy amplio; ya hemos podido apreciar muchos esfuerzos para hacer que esta forma de comunicación sea más segura. DKIM es uno de ellos.
Pero, ¿qué es DKIM?
¿Cómo funciona? ¿Cómo surgió y cómo sirve para mejorar las comunicaciones por correo a nivel mundial? En esta publicación vamos a explorar todos los aspectos relevantes relacionados a las políticas DKIM.
Comencemos con una definición rápida: DKIM es una abreviación del término “DomainKeys Identifiable Mail” lo cual significa “claves de identificación de dominio digitales”. DKIM es un protocolo de seguridad que permite a los destinatarios verificar si todos los mensajes que reciben son enviados a través de un dominio de correo electrónico genuino.
Con DKIM, se asigna una firma digital privada y encriptada a cada correo electrónico enviado desde tu dominio, luego los servidores que reciben el mensaje autentican esta firma digital usando una clave pública para el descifrar la encriptación. DKIM también funciona como un filtro para garantizar que el contenido de los mensajes no haya sido manipulado durante el tráfico.
DKIM nace de la necesidad de aumentar la seguridad en las comunicaciones en línea, es uno de los sistemas diseñados para reemplazar el antiguo protocolo de transferencia simple para correos (SMPT) y también es parte integral de DMARC, trabajando en conjunto con SPF.
Cuando se trata de comparar DKIM frente a SPF, ambos protocolos ofrecen protección contra el spam, la suplantación de identidad y los ataques phishing. Sin embargo, no hay comparación entre DKIM y DMARC, ya que esta última mejora las funciones de DKIM y SPF para brindar seguridad de correo electrónico incomparable.
Con DKIM, una firma digital se verifica usando una serie de protocolos criptográficos, este proceso funciona con un par de claves, una privada y otra pública, ambas publicadas en el DNS. Aquí es donde entra en juego el proceso de agregar un registro DKIM a tu DNS.
¿Qué es un registro DKIM? Básicamente, es un registro DNS TXT que contiene una clave pública que utilizan los servidores de correos receptores para hacer coincidir un mensaje firmado con una clave privada. Si bien es esencial saber cómo funcionan los registros DKIM, esta publicación se enfoca más en cómo surgió DKIM.
DKIM combina dos estándares de seguridad, el primero es el DomainKeys, un sistema creado por Yahoo! que usaba un par de claves pública y privada, para verificar los correos electrónicos.
El sistema se basó en la concepción binaria básica para decidir cuándo se debía aceptar o rechazar un correo electrónico en cualquier bandeja de entrada, según algunas especificaciones programadas previamente.
DomainKeys fue creado por Mark Delany en el año 2004, muchos otros miembros del equipo mejoraron estos protocolos de seguridad y fue finalmente publicado en el año 2007. La historia de fondo de DomainKeys se remonta a RFC 4870, la cual fue reemplazada por RFC 4871; la estructura básica del sistema actual está registrada bajo la patente de norteamericana número #6.986-049.
El segundo estándar de seguridad es “Internet Identified Mail” o correo identificado de Internet (IIM), el cual fue creado por Jim Fenton y Michael Thomas en CISCO. Este original sistema usaba firmas digitales incluidas en el mensaje de todos los correos enviados para verificar su legitimidad.
En la actualidad, la firma DKIM es visible para los destinatarios como un encabezado adicional en el mensaje, y la verificación se realiza a través del Agente de Transferencia de Correos (MTA), siendo este parte integral de la tecnología DKIM y DMARC.
Claves de dominio de Yahoo!
Cuando Yahoo! creó DomainKeys, el objetivo era implementar un sistema de verificación para el dominio de envío y el cuerpo de los correos electrónicos. El mecanismo se basaba en inspecciones rápidas con un enfoque directo y binario de «sí” o “no», enviando el correo a la carpeta de spam o a la bandeja de entrada.
Este estándar de autenticación basado en firmas funcionó inicialmente con un par de claves, una privada y otra pública.
El proceso es muy similar a los protocolos DKIM modernos, pero la solución era más compleja, ya que había dos procesos distintos, uno manejado por los servidores de envío y el otro manejado por los servidores de recepción.
Yahoo! diseñó DomainKeys para asistir a organizaciones como bancos, tiendas de comercio electrónico, entre otras, a combatir la suplantación de identidad y los ataques de phishing al mismo tiempo que protegía a los usuarios. El estándar de autenticación abierto eventualmente se convertiría en DKIM, tal como lo conocemos hoy, con los esfuerzos y la colaboración de múltiples líderes de la industria como IBM, Microsoft, VeriSign y, por supuesto, CISCO.
Correo Identificado de Internet por CISCO
¿Qué serían las claves de identificación de dominio digitales sin el correo identificado de Internet, o IIM, creado por CISCO? Este sistema ofrecía un medio para aplicar firmas criptográficas a los mensajes de correo con fines de verificación, para lo cual los servidores de los destinatarios podían verificar la firma, y verificar el dominio del remitente para autenticar el mensaje.
Los administradores de correo pueden operar este sistema usando agentes de transferencia de correos (MTA) o agentes de usuario de correos (MUA) para autenticar el origen de todos los correos electrónicos recibidos.
Ambos métodos funcionaban con claves públicas y privadas que permitían a los remitentes firmar sus mensajes salientes, sin embargo, los receptores necesitaban el mismo software especializado que los remitentes, para poder verificar la integridad de la firma.
Según el borrador de Internet publicado por Cisco en el año 2005, el objetivo de IIM no era solo combatir la suplantación de identidad por correo, el sistema de correo identificado de Internet también se diseñó para ofrecer a los destinatarios la capacidad de clasificar y priorizar los correos deseados.
Al proporcionar un mecanismo que permitiera diferenciar el correo auténtico del spam no solicitado y otros correos, CISCO quería construir una base para las herramientas de reputación y acreditación. Los inventores esperaban que una combinación de tales especificaciones fuera capaz de eliminar el spam y los correos fraudulentos a niveles en que estos ya no fueran tan problemáticos.
¿Cómo se creó DKIM?
Yahoo! y CISCO se dieron cuenta del potencial de sus tecnologías y decidieron fusionarlas en un solo protocolo de seguridad en el año 2007. Su colaboración sentó las bases para los estándares IETF que eventualmente llevaron a la creación de STD 76, actualmente conocido como RFC 6376.
DKIM fue publicado por primera vez en el año 2011, este documento detalla los protocolos DKIM y cómo deberían funcionar.
Múltiples proveedores de servicios de correo probaron minuciosamente los mecanismos de DKIM, pero fueron finalmente Yahoo!, Gmail, AOL y FastMail quienes lo adoptaron masivamente a pesar de su comienzo accidentado. Cuando DKIM se aplicó por primera vez, el estricto proceso de verificación descartó millones de mensajes que carecían de la firma digital.
Los primeros en adoptar la política decidieron cambiar el software de su lista de correo en lugar de realizar cambios en DKIM.
Actualmente, DKIM es una de las tres políticas centrales incluidas en los protocolos DMARC y uno de los componentes principales de la seguridad de los correos electrónicos. DKIM no se ha estancado y es mejorado constantemente. RFC 8301, emitido en 2018, actualizó los tamaños de todas las claves digitales de 512 a 2048 bits y de 1024 a 4096 bits. RFC 8463, publicado el mismo año, agregó un nuevo tipo de clave que hizo que las claves públicas fueran más cortas y robustas.
Pensamientos finales
Saber qué es y cómo funciona la autenticación DKIM te ayuda a comprender su importancia y el rol que juega en la protección de tu dominio de correo electrónico.
DKIM es un protocolo de autenticación de correo basado en firmas que validan tu dominio como un remitente verificado, protegiendo así a tus destinatarios y la reputación de la marca de tu empresa contra ataques fraudulentos.
DKIM se creó fusionando dos protocolos de seguridad: DomainKeys creado por Yahoo! e Identified Internet Mail o IIM, creado por CISCO.
Si deseas crear un registro DKIM para tu sitio web, asegúrate de ejecutar una búsqueda DKIM; si el registro no existe, utiliza nuestro generador DKIM y aumenta tu reputación como remitente, tampoco te olvides de la importancia de DMARC e irás por el camino correcto para mejorar la seguridad de tu correo electrónico.