El blog de Skysnag

Sin categoría

Lo que debe saber: Firmas DKIM

12 de octubre de 2023  |  5 min leer

¿Qué es una firma DKIM?

Existen varios protocolos de autenticación de correo electrónico, pero sólo uno tiene una clave digital cifrada de alto secreto. Una firma DKIM ayuda a los proveedores de buzones de correo a verificar su identidad como remitente y a combatir los ataques de suplantación de identidad. La clave de la autenticación del correo electrónico

Básicamente, DKIM le ayuda a firmar cartas importantes con tinta invisible y deja claro que el mensaje procede de usted y no de otra persona. Sin embargo, no es tan sencillo.

Veamos con más detalle el protocolo DomainKeys Identified Mail.

Por qué necesitamos firmas DKIM

Comunicarse con la gente a través del correo electrónico es un activo valioso. Por desgracia, los ciberdelincuentes están ahí fuera buscando aprovecharse de la confianza que las marcas se han ganado con sus consumidores y suscriptores.

Los estafadores se infiltran en las bandejas de entrada haciéndose pasar por correos electrónicos y páginas web de su marca, engañando a la gente para que instale malware o revele información confidencial. Esto puede incluir cuentas bancarias, números de tarjetas de crédito, números de la seguridad social o información de acceso a cuentas en línea. La suplantación del correo electrónico conduce fácilmente al robo de identidad.

Mejorar la seguridad de la bandeja de entrada.

Aunque el Protocolo Simple de Transferencia de Correo (SMTP ) es la norma del sector para enviar correos electrónicos por Internet, no ofrece un mecanismo para verificar el remitente antes de que se entregue el mensaje. Así, los spammers y estafadores pueden llenar las bandejas de entrada de correo basura e intentar suplantar o camuflar marcas de confianza.

Los protocolos de autenticación han mejorado la seguridad del correo electrónico en las últimas décadas al vincular la información de las cabeceras de correo electrónico a los registros publicados en el servidor de nombres de dominio (DNS) del remitente .

La firma DKIM es uno de estos protocolos. Detecta direcciones de remitente falsificadas mediante una clave cifrada.

DKIM es una combinación de DomainKeys desarrollada por Yahoo e Identified Internet Mail de Cisco en 2004. La sección DomainKeys está diseñada para verificar el dominio DNS del remitente del correo electrónico, y el correo de Internet identificado es la parte de firma digital de la especificación.

Los proveedores de buzones de correo más destacados, como Google, Apple Mail y Outlook, buscan firmas DKIM al autenticar los correos electrónicos.

¿Cómo funciona una firma DKIM?

DKIM permite a los remitentes asociar mensajes de correo electrónico a dominios específicos, al igual que otros mecanismos de autenticación de correo electrónico. La legitimidad del correo electrónico está garantizada por las entradas DNS. DKIM, en cambio, utiliza una firma digital encriptada para lograrlo.

Las DomainKeys de DKIM incluyen una clave pública que se difunde en el registro DNS y una clave privada que se incluye en la cabecera del correo electrónico. La firma digital cifrada es la clave privada, que debe ser única para el remitente y coincidir con lo que se difunde en el DNS.

Una firma DKIM informa a los agentes de transferencia de correo (MTA) de dónde acceder a la información de la clave pública, que se utiliza para validar la identidad del remitente. Si las dos claves coinciden, es más probable que el correo sea enviado a la bandeja de entrada; si no coinciden o el correo carece de firma DKIM, es más probable que sea rechazado o filtrado como spam.

DKIM no filtra el correo electrónico, pero ayuda al servidor receptor a determinar la mejor forma de filtrar los mensajes entrantes. La puntuación de spam de un mensaje suele reducirse cuando la verificación DKIM se realiza correctamente.

Cómo leer una cabecera DKIM

Deberá generar un registro DKIM y colocarlo en su DNS para utilizar DKIM con el fin de proteger su marca de la suplantación de identidad y a sus suscriptores de los estafadores. Puede que necesites la ayuda de tu departamento informático o de tu proveedor de servicios de correo electrónico (ESP).

A continuación se muestra un ejemplo de firma DKIM (registrada como campo de cabecera RFC2822) para el mensaje firmado:

Desglosemos las cabeceras DKIM una a una. Cada "etiqueta" se le asigna un valor que contiene información sobre el remitente **.**

Etiquetas en una cabecera DKIM

EtiquetaDescripción
bLa firma digital real del contenido (encabezado y cuerpo) del mensaje de correo electrónico
bhel hash del cuerpo
del dominio de firma
sel selector
vla versión
ael algoritmo de firma
cel algoritmo o algoritmos de canonicalización de la cabecera y el cuerpo.
qel método de consulta por defecto
Ila longitud de la parte canonizada del cuerpo que ha sido firmada
tel sello de tiempo de la firma
xel tiempo de expiración
hla lista de campos de cabecera firmados se repite para los campos que aparecen varias veces

Nota: Las etiquetas resaltadas arriba son obligatorias. Una firma DKIM que carezca de estas etiquetas generará un error durante la validación **.**

Podemos ver en esta cabecera DKIM que:

La firma digital es **dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR.**

Esta firma se compara con la del dominio del remitente.

  • El hash del cuerpo no aparece.
  • El dominio de firma es ejemplo.com. Es el dominio que envió (y firmó) el mensaje.
  • El selector es jun2005.eng.
  • La versión no figura en la lista.
  • El algoritmo de firma es rsa-sha1Genera la firma.
  • Los algoritmos de canonicalización para la cabecera y el cuerpo son relajados/simples.
  • El método de consulta por defecto es DNS. Se utiliza para buscar la clave en el dominio de firma **.**
  • No se indica la longitud de la parte canonizada del cuerpo que se ha firmado. El dominio de firma puede crear una clave a partir de todo el cuerpo o sólo de una sección del mismo. Esta sección se habría incluido.
  • La fecha y hora de la firma es 1117574938. Esto es cuando se firmó.
  • El tiempo de caducidad **es 1118006938.**Esto se debe a que un correo electrónico ya firmado puede reutilizarse para "falso" la firma, las firmas caducan.
  • La lista de campos de cabecera firmados incluye from:to:subject:date. Es la lista de campos que han sido "firmado" para verificar que no han sido modificados.

Somos conscientes de que es mucha información técnica. Afortunadamente, existen herramientas a disposición de los profesionales del marketing por correo electrónico para crear registros DKIM.

Cómo verificar una firma DKIM

Los registros DNS y las firmas DKIM pueden ser difíciles de entender. Existen herramientas en Internet que pueden ayudarle a verificar que sus mecanismos de autenticación de correo electrónico están configurados correctamente.

Utilice la herramienta gratuita Skysnag DKIM Record Check para verificar DKIM

Enviar un correo electrónico a una cuenta de Gmail es otra forma de probar DKIM. Abre el correo electrónico en la aplicación web de Gmail, haz clic en la flecha hacia abajo situada junto al icono "respuesta" botón (parte superior derecha del correo electrónico)y seleccione "Mostrar original". Si ve "firmado por: su nombre de dominio" en el original, su firma DKIM es válida. Sin embargo, tenga en cuenta que sólo verá la firma DKIM si tiene acceso al correo electrónico al que lo está enviando. La única forma de comprobar

Mejore la entregabilidad antes de enviar

Existen numerosas razones de peso para utilizar protocolos de autenticación de correo electrónico. La primera de ellas es mejorar la capacidad de entrega. Si no utiliza la autenticación de correo electrónico, es más probable que los proveedores de buzones filtren sus mensajes a las carpetas de correo no deseado y spam.

Para entenderlo mejor:

DKIM utiliza una clave privada para autenticar el correo electrónico:

1- El servicio remitente publica su clave pública en el registro DNS

2- El servicio remitente utilizará la clave privada para firmar el mensaje con el fin de generar la cabecera de firma DKIM y adjuntarla al correo enviado

3- "d tag" = dominio del remitente / s etiqueta = subdominio -

4- el servicio receptor (Gmail) consultará EL EJEMPLO DNS: s.domainkey.domain.com para obtener la clave pública

5- el servicio receptor (Gmail) validará la firma DKIM que se adjunta al correo electrónico con la clave pública obtenida si la firma es válida -> DKIM Passes

Conclusión

Skysnag automatiza DMARC, SPF y DKIM para aumentar la entregabilidad del correo electrónico. Dicho esto, evite los ataques de suplantación de identidad por correo electrónico con el software automatizado de Skysnag que le permite confirmar la validez de los correos electrónicos. Regístrese utilizando este enlace para una prueba gratuita hoy mismo y asegúrese de que la firma DKIM de su organización está configurada correctamente. 

Compruebe el cumplimiento de la seguridad DMARC de su dominio

Aplique DMARC, SPF y DKIM en días, no en meses

Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.