Principal
/
Soporte de Correo
/
Prevención de SPAM
/
¿Qué es DKIM y por qué es importante?

¿Qué es DKIM y por qué es importante?

Este tutorial abarca los siguientes temas:

DKIM es una de las medidas de seguridad primordiales para prevenir la suplantación de correo. Ayuda a los servidores de recepción de correo a verificar la legitimidad de los correos electrónicos entrantes y bloquear los correos electrónicos falsificados para que no lleguen a las bandejas de entrada de los destinatarios.

En este artículo, descubrirás qué es DKIM, cómo funciona y cómo configurarlo para tu dominio.

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) es un método de autenticación de correo electrónico que utiliza firmas digitales para verificar que un correo electrónico se envió desde un servidor autorizado y no ha sido alterado durante el tránsito. Esto ayuda a prevenir el spoofing de correo electrónico y asegura la integridad del mensaje.

Se basa en una criptografía de clave pública a través de la cual se crea una firma digital. Esta firma es parte de los encabezados de correo electrónico y contiene partes cifradas del correo electrónico. Los destinatarios pueden comprobar esta firma con la clave pública DKIM y verificar la autenticidad del correo electrónico.

A continuación, puede ver una imagen de los encabezados de correo electrónico que contienen una firma DKIM.

Encabezado de correo electrónico que contiene una firma DKIM

 

DKIM se alinea con los otros dos métodos de autenticación principales: SPF y DMARC. Los tres mecanismos contribuyen a la seguridad del correo electrónico y previenen el spoofing y phishing.

¿Por qué es importante DKIM?

DKIM es beneficioso en dos aspectos clave: ayuda a prevenir la falsificación de correos electrónicos y aumenta su tasa de entrega.

Por lo general, los estafadores realizan suplantación de identidad alegando que son otra persona. Con DKIM, los destinatarios pueden verificar que un correo electrónico fue enviado por el propietario real del dominio, evitando que los correos electrónicos falsificados lleguen a sus bandejas de entrada. Por lo tanto, DKIM agrega una capa adicional de seguridad tanto para los remitentes como para los destinatarios.

Por otro lado, muchos proveedores de servicios de correo electrónico imponen la autenticación DKIM para determinar si los correos entrantes son legítimos. Incluso si los correos electrónicos son solicitados y enviados por el propietario real del dominio pero faltan claves DKIM, aún pueden ser marcados como spam por el servidor de correo del destinatario.

Por lo tanto, el uso de DKIM reduce la posibilidad de que los filtros de spam bloqueen los correos válidos.

¿Qué es un registro DKIM?

Un registro DKIM es un tipo de registro DNS (Domain Name System) que contiene una clave pública. Los destinatarios pueden verificar la autenticidad de los correos electrónicos entrantes haciendo coincidir sus firmas digitales con esta clave pública.

El registro DKIM es normalmente un registro TXT con la clave pública incluida en el valor del registro. El formato más común del nombre del registro es

 default._domainkey.tudominio.com

El prefijo “default” se llama DKIM selector, que puede tener un nombre diferente para los distintos servicios de correo electrónico. El prefijo ” _domainkey “ denota que el registro DNS es DKIM y siempre sigue al selector DKIM.

El valor del registro suele tener el siguiente formato:

 "v = DKIM1; k = rsa; p = PUBLICKEY"

PUBLICKEY es un marcador de posición para la clave pública real del registro DKIM.

Aquí, puedes ver el formato final de un registro TXT de DKIM que aparece en las búsquedas de DNS.

DKIM registro que aparece en la búsqueda de DNS

 

Aparte de un registro TXT de DNS, el registro DKIM también podría ser un registro CNAME . En este caso, el valor del registro DKIM es una dirección que lleva a un servidor donde los destinatarios pueden obtener la clave pública DKIM del dominio. El registro CNAME DKIM tiene una dirección similar a esta:

 dkim.server.com

A continuación, puedes ver cómo aparecería un registro CNAME DKIM en los comprobadores de DNS.

Registro CNAME DKIM que aparece en Búsquedas de DNS

 

El proveedor de servicios de correo electrónico determina el tipo de registro DNS DKIM que debes añadir a tu zona DNS.

¿Cómo funcionan los registros DKIM?

Envío de un mensaje DKIM firmado

Cuando DKIM está habilitado, cada correo electrónico que envías está firmado con una firma digital. Esta firma contiene partes seleccionadas del correo electrónico que están cifradas con la clave privada DKIM del servidor de correo electrónico.

Antes de enviar un correo electrónico, el servidor de correo saliente agrega la firma a los encabezados del email. Es importante tener en cuenta que DKIM no cifra el mensaje de correo electrónico en sí, sino sólo la firma digital.

Verificación de un mensaje DKIM firmado

Cuando un destinatario de correo electrónico recibe un email, su servidor de correo electrónico puede buscar la clave pública asociada con el registro DKIM del dominio del email. El servidor de correo usa la clave pública para verificar la firma del correo y desencriptarlo. Si la firma es válida, el destinatario puede estar seguro de que el correo electrónico fue enviado por el dominio desde el que dice originarse y que no ha sido modificado en tránsito.

¿Cómo previene DKIM la suplantación de dominio?

El spoofing de correo electrónico es una táctica de estafa en la que los atacantes envían emails haciéndose pasar por personas o marcas de confianza. El objetivo final para ellos es ganarse la confianza de sus víctimas y hacerles revelar información sensible.

Sin embargo, dado que los estafadores no tienen acceso al servidor de correo autorizado del dominio que suplantan, no pueden usar la clave privada DKIM. Como resultado, sus correos electrónicos no contienen una firma digital válida que coincida con la clave pública DKIM.

Por lo tanto, cuando DKIM está habilitado, los destinatarios pueden verificar si un correo electrónico se origina en el servidor del dominio reclamado comprobando la firma con la clave pública del dominio del registro DNS de DKIM. El destinatario puede concluir que el correo electrónico está falsificado si la firma no coincide con la clave pública.

¿Cómo añado un registro DKIM a mi dominio?

El registro DKIM es un registro DNS que autoriza a un servidor de correo electrónico a enviar correos desde tu dominio. Tu servicio de correo debe proporcionar sus datos para que puedas añadirlo a la zona DNS de tu dominio. El registro DKIM puede ser un registro DNS TXT o CNAME.

Una vez tengas el registro deberás acceder al panel de control, donde gestionas tu zona DNS. Si tu dominio apunta a los servidores de nombres de SiteGround, navega a Site Tools > Dominio > Editor de zona DNS.

Cómo añadir un registro TXT DKIM

En la sección Crear nuevo registro, elige TXT para añadir el registro TXT DKIM.

 

Cada registro DKIM tiene un identificador distinto llamado DKIM selector. Es un prefijo del registro DNS de tu dominio seguido de otro prefijo _domainkey. Ambos deben enviarse en el campo Nombre del registro TXT en el formato:

 DKIM selector._domainkey.tudominio.com

En Site Tools, el dominio se añade automáticamente al nombre del registro. Por lo tanto, al escribir el nombre, omite tu nombre de dominio e incluye solo la parte:

DKIM selector._domainkey

En el campo Valor, coloca el valor del registro DKIM. Para confirmar el registro, haz clic en el botón CREA.

Una vez creado, el registro aparecerá en tu editor de zona DNS.

Registro DKIM TXT en el Editor de zona DNS

 

Cómo añadir un registro CNAME de DKIM

Si el registro DKIM requerido es de tipo CNAME, en la sección Crear nuevo registro, elige CNAME.

Captura de pantalla del editor de zona DNS en Site Tools sobre cómo crear un registro CNAME DKIM

 

En el campo Nombre, introduce el nombre DKIM que es DKIM selector._domainkey. Al igual que los registros TXT, deja tu nombre de dominio fuera del nombre del registro CNAME. Se añade automáticamente al nombre.

En el campo Resuelve a, añade la dirección del servidor DKIM. Pulsa CREA para confirmar el registro CNAME.

Una vez que añadas el registro, lo verás en tu zona DNS.

Registro DKIM CNAME en el Editor de zona DNS

 

Cómo activar un registro DKIM para el servicio de email de SiteGround

Si tu dominio está apuntado a servidores de nombre de SiteGround y usas el servicio de correo electrónico de SiteGround, activar DKIM es bastante simple.

El registro DKIM está habilitado por defecto y no necesitas hacer nada. Solo necesitarías activar el registro DKIM en caso de que lo hayas desactivado previamente o hayas eliminado manualmente el registro TXT de DKIM.

Para comprobar el estado del registro, navega a Site Tools > E-Mail > Autenticación. En la sección Configuración de autenticación, selecciona DKIM. Debajo de la columna Estado, verás el estado actual como ACTIVO o INACTIVO.

Captura de pantalla de Site Tools en la sección "E-Mail", pestaña "Autenticación" para la verificación del estado del registro

 

Si el registro está desactivado, simplemente haz clic en el botón ACTIVAR en la columna Acciones. El registro DKIM se añadirá automáticamente a tu zona DNS y no será necesario realizar ninguna otra acción.

Captura de pantalla de Site Tools en la sección "Correo electrónico", pestaña "Autenticación" para la activación de un registro DKIM

 

¿Cómo puedo probar si he configurado DKIM correctamente?

Hay varias formas de probar si tu servidor firma correos con firmas DKIM válidas. Puedes inspeccionar los encabezados de correo electrónico manualmente o usar verificadores DKIM online.

La forma manual es enviar un correo electrónico a tu dirección y comprobar los encabezados del mensaje recibido para ver si la firma DKIM está presente y es válida. Para conocer los pasos detallados, consulta esta guía sobre cómo ver los encabezados de correo en diferentes clientes de email.

Un correo electrónico con una firma DKIM válida debe contener campos de encabezado similares a estos:

ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;

        h=message-id:references:in-reply-to:subject:to:from:date:mime-version

         :dkim-signature;

        bh=5rsMJhy76W3D/z8AJuih+X6wXiK/kovaUJAmSpGilNw=;

        b=T64jMkRn2Qxsf2VtXs5jDNcp/dTHWpfbcK8Y5nzz4md5uneJSc4VW52BRXMJIGxEq3

         vqyMgxIqPO/2xXodnRuKwh7/TTSo/oebaoFKVGXoVVxyzlTPoGokWpR9U057NTlFg4Pb

         JuZI7eF6QlbGGHXvFvqQJFFDWN5uOzzxDlmdLrARyWQfZSyWpyYW43XBJZlmMrnuequf

         4mOGCmcG9TZko46qDdYBr5GXMiQOqwZg48Zbo52YnI3kzgIlWWvPFyKJfG91cSeS+jQD

         aZZlnsDCcYgoIH2/IJAgDlHp+P/9E+XTg2WVRGwtpy0QPsWeLBwEKSTodw3bAQb2Wk0f

         NGTQ==

ARC-Authentication-Results: i=1; mx.google.com;

       dkim=pass header.i=@sg-testing.com header.s=default header.b=YW86hZW6;

Alternativamente, puedes probar si has configurado el DKIM correctamente usando una herramienta online como la proporcionada por MXToolBox. Puede confirmar que la clave pública está publicada correctamente en tu zona DNS y que tu servidor de correo electrónico firma los mensajes salientes correctamente.

Captura de pantalla de la herramienta en línea MXToolBox para comprobar la configuración de DKIM

 

También hay otros comprobadores como mail-tester.com. En este sitio web, se te indicará que envíes un email desde el correo electrónico de tu dominio a una dirección de correo electrónico de prueba designada. Después de enviar el correo electrónico, la herramienta generará un informe de estado de todas las autenticaciones de correo electrónico utilizadas, incluido DKIM.

Captura de pantalla del comprobador de correo en línea - mail-tester.com

Resumen

DKIM es un mecanismo de autenticación de correo electrónico fundamental para contrarrestar la suplantación de identidad y el phishing. Al implementarlo para tu nombre de dominio, evitas que los estafadores se hagan pasar por tu marca y proteges a tus destinatarios de correos electrónicos falsificados.

Es una característica importante que todo propietario de dominio debería considerar incorporar. Esperamos que este artículo te haya ayudado a comprender cómo funciona DKIM y cómo habilitarlo para tu servicio de email.

Artículos relacionados

Comparte este artículo