¿Qué es una firma DKIM? | EasyDMARC

¿Qué es una firma DKIM?

10 min de lectura
DKIM Signature

En el año 2020, hubo un aumento vertiginoso en el uso de los correos electrónicos como el método de comunicación preferido a nivel mundial, como era de esperarse, la pandemia cambió todas las logísticas pasándolas al ámbito digital, y aunque las cosas están volviendo a la normalidad, la practicidad del correo electrónico se ha mantenido como estándar en muchas empresas, razón por la cual tiene sentido que la industria de la seguridad cibernética centre sus esfuerzos en hacer que las comunicaciones por correo sean más seguras.

DMARC se ha convertido en la forma perfecta de autenticar dominios de correo electrónico, pero este protocolo no funciona sin una firma DKIM; si no conoces los beneficios de DKIM o cómo funciona, puedes obtener más información en nuestras publicaciones pasadas en torno a este tópico:

  • ¿Qué es DKIM?
  • ¿Qué es un registro DKIM?
  • DKIM frente a SPF
  • DKIM frente a DMARC

Una vez que sepas cómo funcionan los registros DKIM, querrás aprender a crear una firma DKIM y agregar este mecanismo a tu dominio de correo electrónico. En esta publicación vamos a explicarte qué es exactamente una firma DKIM y cómo funciona para tu empresa.

¿Qué es una firma DKIM?

La pregunta más lógica para dar inicio a nuestro análisis es, por supuesto, ¿qué es una firma DKIM? El nombre es la abreviatura del término anglosajón «DomainKeys Identified Email». Explicado en pocas palabras, DKIM es una firma digital que va agregada a todos los mensajes de correo enviados desde tu dominio que te verifican como remitente.

DKIM no funciona como la típica firma que ve en la parte inferior de todos los mensajes en tu bandeja de entrada, esta no es un rasgo visual en la mayoría de los mensajes; DKIM funciona como un conjunto de caracteres ocultos que están incluidos en el código fuente de tus mensajes y que solo puede ser visto por los proveedores de servicios de correo electrónico, quienes son los que pueden leer esta línea de código.

Las firmas DKIM siempre van ubicadas en el encabezado de todos los correos electrónicos, dado que esta locación es la más idónea para contener los valores que permiten a los servidores receptores validar tus mensajes de correo. Los servidores ejecutan esta verificación inspeccionando la clave DKIM pública del remitente que va publicada en tu DNS, para así verificar la firma encriptada.

Las firmas DKIM son complejas, estas requieren una sintaxis y codificación adecuada, además de una lista de valores y etiquetas que indican las acciones que deben llevar a cabo los servidores de acuerdo a los resultados del proceso de verificación.

Así es como debería verse una firma DKIM real una vez que es incluida en tu DNS:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;

d=easydmarc.com; s=google;

h=from: content-transfer-encoding: subject: message-id:date:to:mime-version;

bh= 1py3bPKPbePCmMziH13AZqw0Fa +/ wnOTcnp6P-ZLMW2SwMpgo=;

b= 1yc9n5JU-7bTkT9FxgIYFJutPbxbyfsBXlbD4wJ-Mdt8/15vjYvI2-IlCipp_FFTkyd3s_yA4jX65vRSsaE2hBhTw okQIHsBTfmTFEEo01BtmUZpR5M4Mtz5Q8LE97YRDE /nI1hoPWbzDaL9qh


¿Por qué necesitas una firma DKIM?

Las firmas DKIM evitan que los delincuentes en línea puedan falsificar tu dominio y enviar mensajes fraudulentos a tu nombre. Cuando estos actores maliciosos se hacen pasar por tu marca usando correos electrónicos, tienen la capacidad de afectar tus operaciones comerciales e interrumpir tu operatividad completamente, desde tu flujo de ingresos hasta tus comunicaciones.

Una vez que aprendas a generar tu firma DKIM, tu dominio estará más seguro.

También necesitas firmas DKIM para actualizar el estándar SMTP que la mayoría de los proveedores de servicios utilizan para enviar mensajes. SMTP facilita las comunicaciones, pero no verifica el remitente antes de entregar los mensajes.

DKIM, como protocolo de autenticación, ha mejorado la comunicación por correo con datos que van ubicados directamente en todos los encabezados de correo electrónico. Estos datos son comparables con los registros que van publicados en el DNS de los remitentes con el fin de mantener a raya a los actores malintencionados.

Los datos incluidos en las firmas DKIM siempre están encriptados, lo cual ayuda a los servidores de tus destinatarios a detectar mensajes falsos; DKIM es el resultado de la fusión de dos protocolos de seguridad diseñados por Yahoo! y Cisco respectivamente. Yahoo! fue el creador de DomainKeys, mientras que Cisco creó un sistema llamado Correo de Internet identificado. Las empresas vieron una mejora potencial en la combinación de ambos programas para dar vida a DKIM en el año 2004, en la actualidad DKIM es el principal método de verificación usado por empresas tales como Google, Apple y Microsoft.

Dicho esto, el protocolo DKIM por sí solo no es suficiente para proteger tu dominio, ya que no evita la suplantación del encabezado visible en un correo electrónico. Afortunadamente, DMARC resuelve este problema al combinar los estándares SPF y DKIM para autenticar con mayor certeza los correos electrónicos.

¿Cómo funciona una firma DKIM?

La firma DKIM te permite asociar tu dominio comercial con tus mensajes de correo, para lo cual debes agregar un registro DKIM a tu DNS. Este registro TXT indica a los servidores receptores que deben buscar ciertas coincidencias en cualquier correo enviado desde tu dominio usando una clave pública.

La segunda clave es privada y es la que está encriptada en todos los encabezados de tus mensajes.

Las firmas DKIM incluyen datos para que los agentes de transferencia de correo sepan dónde buscar la clave pública, por lo cual cada vez que envíes un correo electrónico, la firma DKIM procede a chequear la clave privada para comunicarse con el servidor de correo receptor. Este servidor verifica el mensaje mediante un chequeo de la clave pública contenida en el registro público de tu DNS, si las claves pública y privada coinciden, el mensaje va directo a la bandeja de entrada del receptor; si la firma DKIM y la clave pública no coinciden, el mensaje es descartado o enviado a la carpeta de spam.

Recuerda que DKIM no es un filtro de correo electrónico, sino un sistema que ayuda de manera eficiente a los sistemas de correo a aplicar sus configuraciones de filtrado. Un flujo de mensajes que fallan la autenticación DKIM conduce a una disminución en la capacidad de entrega de tus mensajes.

Las grandes empresas crean registros DKIM e implementan DMARC para evitar estafas, por ejemplo, los servicios de pagos en línea y las plataformas bancarias son adoptantes de esta tecnología y a su vez les recuerdan a sus usuarios que eviten los correos que solicitan datos personales.

¿Cómo podemos leer un encabezado DKIM?

Cuando creas un registro DKIM para los encabezados de tus correos electrónicos, es necesario incluir una serie de etiquetas con valores que indiquen tu información como remitente. Cada etiqueta tiene un valor y contenido específico, por lo que aquí te presentamos una lista rápida de los valores y el significado de cada uno:

  • b= funciona como la firma digital para el contenido del correo electrónico, válida para el encabezado y el cuerpo del mensaje.
  • bh = hash del cuerpo del mensaje
  • d= firma de dominio
  • s = seleccionador
  • v= versión de DKIM que se está utilizando
  • a = algoritmo de firma
  • c= algoritmo de canonicalización para el encabezado y cuerpo del mensaje
  • q= método de consulta predeterminado
  • l= longitud de la sección del mensaje que recibe la firma
  • t= marca de tiempo de la firma
  • x = tiempo de caducidad de la firma
  • h= lista de campos de encabezado firmados (debe repetirse para campos usados varias veces)

De estas etiquetas que hemos mencionado, b, bh, d, s, v y a son obligatorias en todas las firmas DKIM, la ausencia de alguna de estas activa el mensaje de error, el resto de las etiquetas son opcionales. Con base en esta lista, podemos echar un vistazo al ejemplo anterior que ofrecimos y podemos ver qué significa cada sección:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;

d=easydmarc.com; s=google;

h=from: content-transfer-encoding: subject: message-id:date:to:mime-version;

bh= 1py3bPKPbePCmMziH13AZqw0Fa +/ wnOTcnp6P-ZLMW2SwMpgo=;

b= 1yc9n5JU-7bTkT9FxgIYFJutPbxbyfsBXlbD4wJ-Mdt8/15vjYvI2-IlCipp_FFTkyd3s_yA4jX65vRSsaE2hBhTw okQIHsBTfmTFEEo01BtmUZpR5M4Mtz5Q8LE97YRDE /nI1hoPWbzDaL9qh

Para esta firma DKIM en particular, es posible apreciar lo siguiente:

  • La firma digital aquí es «1yc9n5JU-7bTkT9FxgIYFJutPbxbyfsBXlbD4wJ-Mdt8/15vjYvI2-IlCipp_FFTkyd3s_yA4jX65vRSsaE2hBhTw okQIHsBTfmTFEEo01BtmUZpR5M4Mtz5Q8LE97YR9qDE /nDaL1hoTw okQIHsBTfmTFEEo01BtmUZpR5M4Mtz5Q8LE97YRho9qDE»
  • El hash del cuerpo aparece como “1py3bPKPbePCmMziH13AZqw0Fa +/ wnOTcnp6P-ZLMW2SwMpgo=;”
  • El dominio de firma es “easydmarc.com”
  • El selector es «google».
  • La versión de DKIM que se utiliza es «v1».
  • El algoritmo de firma es «rsa-sha256».
  • La política para el encabezado y el cuerpo ha sido configurada como «relaxed/relaxed», lo que significa que es probable que los mensajes vayan a parar directamente a la bandeja de entrada del remitente.

Todos los conceptos básicos están cubiertos en este ejemplo, pero puedes notar que no hay un método de consulta predeterminado, ni una firma de marca de tiempo, ni tiempo de caducidad, así como tampoco hay una lista de campos de encabezado firmados.

¿Cómo verificar una firma DKIM y autenticarla?

Si no sabes cómo verificar la firma DKIM, hay muchas herramientas en línea que pueden ayudarte con esto, pero la apuesta más segura es trabajar con EasyDMARC, ten presente que muchos proveedores de servicios de correo te ofrecen sus propias firmas DKIM para sus DNS, por lo que es posible que no sepas si tienes la firma agregada a tus sistemas.

Para solucionar cualquier duda al respecto, puedes realizar el chequeo de tu firma DKIM consultando nuestra herramienta de búsqueda DKIM. Si no tienes la firma DKIM en tu dominio, puedes usar nuestra herramienta generadora DKIM para obtener una.

Pensamientos finales

Para edificar tu marca en línea, debes implementar protocolos de autenticación de correo electrónico. Agregar una firma DKIM a tu dominio es una necesidad, ya que te permite convertirte en un remitente confiable al usar este método de verificación junto con SPF y, por supuesto, con la implementación de DMARC.

Sus clientes y socios comerciales sabrán que eres un remitente autenticado y que tus mensajes se originan desde tu dominio. Una vez que aprendas a crear firmas DKIM, podrás mejorar las tasas de entregabilidad de todas tus campañas de correo electrónico.

EasyDMARC puede ayudarte a convertirte en un remitente confiable, ya que ofrecemos un amplio catálogo de herramientas y soluciones para implementar las políticas SPF, DKIM y DMARC, incluidas las herramientas generadoras y de búsqueda para DKIM, solo debes iniciar ahora mismo y mejorar la reputación de su dominio en este momento.