DKIM es un método de autenticación de correo electrónico que permite al servidor receptor comprobar si un mensaje ha sido enviado y autorizado por el propietario del dominio del mensaje. El correo electrónico recibe una firma digital, que es una cabecera que se añade al mensaje y se asegura con cifrado.
Si un correo electrónico está firmado con una firma válida de DomainKeys Identified Mail, es seguro que ninguna parte del cuerpo del mensaje o los archivos adjuntos han sido alterados desde el momento en que se enviaron por primera vez hasta que llegan a su bandeja de entrada. Esto significa que cuando su receptor compruebe una firma DKIM válida, podrá verificar la integridad de todas las partes del mensaje. Los usuarios finales no pueden ver las firmas DKIM, la validación se realiza a nivel de servidor.
Historia de DKIM
El estándar DomainKeys Identified Mail (DKIM) fue desarrollado en 2007 por una coalición de organizaciones entre las que se encuentran AOL, Google, Microsoft y Yahoo! para ayudar a resolver el problema de la suplantación de identidad en el correo electrónico. DKIM utiliza criptografía de clave pública para verificar que un mensaje de correo electrónico no ha sido manipulado durante el tránsito y que procede del dominio del supuesto remitente. Para ello, añade una firma digital a cada mensaje de correo electrónico que puede utilizarse para verificar su autenticidad.
En 2012, la Grupo Operativo de Ingeniería de Internet (IETF) publicó DomainKeys Identified Mail como norma oficial (RFC 6376). Desde entonces, ha sido ampliamente adoptado por los proveedores de servicios de correo electrónico (ESP) y otras organizaciones como una forma de ayudar a garantizar la seguridad e integridad de los mensajes de correo electrónico.
Cómo funciona DKIM
Cada mensaje de correo electrónico firmado por DKIM contiene un campo de encabezado DomainKeys Identified Mail-Signature que incluye la siguiente información:
El nombre de dominio del remitente
Un selector para la clave DKIM utilizada para firmar el mensaje (por ejemplo, "dkim" o "20170914")
El algoritmo de firma utilizado (por ejemplo, "rsa-sha256")
Una firma criptográfica generada utilizando la clave privada del remitente
Cuando se recibe un mensaje, el servidor de correo receptor puede utilizar la información del campo de cabecera DKIM-Signature para verificar la autenticidad del mensaje. Para ello, necesitará recuperar la clave pública correspondiente al selector y al dominio del remitente de un registro DNS (conocido como registro TXT). Una vez que tenga la clave pública, podrá utilizarla para verificar la firma del mensaje y asegurarse de que el mensaje no ha sido manipulado.
¿Por qué utilizar DKIM?
DKIM es una herramienta importante para luchar contra la suplantación de identidad del correo electrónico, que es un tipo de ciberataque que consiste en enviar correos electrónicos que parecen proceder de un remitente legítimo, pero que en realidad son de una fuente diferente. La suplantación de identidad puede utilizarse con diversos fines maliciosos, como ataques de phishing o propagación de malware.
DomainKeys Identified Mail puede ayudar a proteger a los destinatarios de ataques de suplantación de identidad verificando la autenticidad de cada mensaje de correo electrónico. Al verificar que cada mensaje no ha sido manipulado y que procede del dominio del supuesto remitente, DKIM puede ayudar a garantizar que los destinatarios no sean engañados por correos electrónicos falsos.
Además de proteger a los destinatarios de la suplantación de identidad, DKIM también puede ayudar a mejorar la entregabilidad del correo electrónico de una organización. Esto se debe a que muchos ESP utilizan DomainKeys Identified Mail para verificar
Los campos de la cabecera DKIM-Signature se definen como sigue:
Etiqueta
Descripción
V
Versión. La versión actual es la 1.
a
El algoritmo de firma utilizado. Este documento sólo define el algoritmo rsa-sha256.
c
El algoritmo o algoritmos de canonicalización de firmas utilizados. Este documento define dos algoritmos de canonicalización de firmas: "simple" y "relajado".
d
El dominio de firma. El dominio del remitente del mensaje.
s
El selector. Una cadena que identifica el registro de clave pública DomainKeys Identified Mail asociado al dominio de firma.
t
Marca de tiempo de la firma. La marca de tiempo de la firma es el número de segundos desde el 1 de enero de 1970 que representa el momento en que se calculó la firma.
bh
El hash del cuerpo. Un hash del cuerpo del mensaje.
h
El campo de cabecera de la firma. Una lista separada por dos puntos que identifica los campos de cabecera presentados al algoritmo de firma.
i
La identidad de la firma. Se utiliza una cadena para indicar el ámbito de control que el firmante tiene sobre el mensaje. (Esto puede ser utilizado, por ejemplo, por un usuario corporativo para afirmar que está actuando dentro del ámbito de sus derechos y responsabilidades laborales).
z
El campo de cabecera final de la firma. Una lista separada por dos puntos que identifica los campos de cabecera que aparecen después de la firma, es decir, las cabeceras finales de la firma.
b
Los datos de la firma. Una firma se genera mediante el algoritmo especificado en el campo "a".
x
Una fecha de caducidad de la firma. La caducidad de la firma
En resumen, la cabecera DKIM-Signature se utiliza para firmar mensajes para la verificación DKIM. La cabecera incluye la versión de DomainKeys Identified Mail que se está utilizando, el algoritmo utilizado para generar el hash, la postura de canonicalización del dominio remitente, el selector de la clave pública DKIM, el dominio de correo electrónico que firmó el mensaje, la identidad del firmante, el valor de un hash del cuerpo y la firma criptográfica de toda la información anterior.
Verificación DKIM
La verificación DKIM comienza asegurándose de que el número de versión cumple la especificación DomainKeys Identified Mail, la identidad del dominio del remitente coincide con el dominio establecido en la firma y el "h=" contiene el campo de cabecera De. Si todos estos campos son correctos, el servidor del destinatario intenta recuperar la clave pública del dominio remitente mediante la función "d=" y "s=" tags.
La clave pública se utiliza para descifrar el hash cifrado que se envió junto con el mensaje. A continuación, el servidor de correo receptor calcula su propio hash del mensaje. Si los dos hashes coinciden, se permite el paso del mensaje.
¿KDIM impide la suplantación de identidad?
DKIM por sí solo no evita la suplantación de identidad. DKIM y DMARC trabajan juntos para evitar la suplantación de identidad. DomainKeys Identified Mail utiliza criptografía de clave pública para firmar mensajes con una clave privada. A continuación, la firma se verifica con una clave pública que se obtiene de los registros DNS del remitente del mensaje. Esto garantiza que sólo el propietario de la clave privada pueda enviar mensajes que parezcan proceder del dominio del remitente del mensaje. DMARC utiliza los resultados de las comprobaciones DKIM y SPF para determinar si un mensaje debe entregarse o no. Si DKIM o SPF fallan, DMARC puede ordenar al servidor de correo receptor que rechace, ponga en cuarentena o entregue el mensaje.
El papel de DKIM en la entregabilidad
La principal ventaja de utilizar DomainKeys Identified Mail es que le ayuda a autenticar su correo electrónico. Al autenticar su correo electrónico, indica a sus destinatarios que el mensaje procede de usted y no de otra persona. Esto es importante porque ayuda a mejorar la entregabilidad de su correo electrónico.
Cuando su correo electrónico está autenticado, es más probable que se entregue en la bandeja de entrada en lugar de en la carpeta de spam. Esto se debe a que la autenticación es uno de los factores que los ISP utilizan para determinar si un correo electrónico debe entregarse en la bandeja de entrada o no.
Otra ventaja de utilizar DomainKeys Identified Mail es que puede ayudarle a evitar los filtros de spam. Esto se debe a que muchos filtros de spam utilizan DomainKeys Identified Mail para determinar si un correo electrónico es spam o no. Si un correo electrónico no está autenticado, es más probable que se marque como spam.
Por último, el uso de DKIM puede ayudarle a construir una mejor reputación con los ISP. Esto se debe a que los ISP suelen utilizar DKIM para determinar la reputación del remitente.
Relación entre SPF, DKIM y DMARC
SPF y DMARC se utilizan para autenticar remitentes de correo electrónico. DKIM se utiliza para autenticar los mensajes de correo electrónico.
SPF comprueba la dirección IP del remitente para asegurarse de que coincide con la dirección IP autorizada para enviar correos electrónicos al dominio del remitente.
DKIM utiliza firmas criptográficas para autenticar los mensajes de correo electrónico. La firma se añade a la cabecera del mensaje, y el destinatario puede utilizarla para verificar que el mensaje no ha sido modificado en tránsito y que ha sido enviado por un remitente autorizado.
DMARC comprueba los resultados de autenticación SPF y DomainKeys Identified Mail de un mensaje y determina si el mensaje debe entregarse, ponerse en cuarentena o rechazarse en función de las políticas configuradas del remitente.
Cómo configurar una clave DKIM
La configuración de DomainKeys Identified Mail es la misma independientemente del ESP o servidor de correo que utilice. Necesita tener una clave privada almacenada de forma segura, y necesita compartir la clave pública en los registros DNS de su dominio. Al igual que con SPF, DKIM utiliza registros DNS TXT con un formato especial.
En general, se considera una buena práctica rotar las claves DKIM con regularidad. La norma DKIM recomienda rotar las claves cada trimestre, así como revocar las claves DKIM antiguas como parte del proceso de rotación. La forma más sencilla de gestionar esto es añadiendo nuevas claves y eliminando las antiguas de sus registros DNS unos días después. Skysnag es uno de los únicos ESP que facilita esta gestión manteniendo activa su antigua clave privada mientras se propaga su nueva clave pública.
La mejor forma de proteger el correo electrónico de tu dominio es utilizando DomainKeys Identified Mail en combinación con SPF y DMARC. Para obtener más información sobre cómo estos protocolos trabajan juntos para proteger su dominio, consulte nuestras otras guías.
Conclusión
La solución automatizada DKIM de Skysnag le ayuda a inspeccionar y verificar sus registros DKIM mientras examina el origen y el contenido de los mensajes de correo electrónico en un esfuerzo por reducir la cantidad de spam, phishing y otros correos electrónicos dañinos. Junto con esto, el software automatizado de Skysnag garantiza que sus registros DKIM estén configurados correctamente. Empiece a utilizar Skysnag y solicite una prueba gratuita hoy mismo
Compruebe el cumplimiento de la seguridad DMARC de su dominio
Aplique DMARC, SPF y DKIM en días, no en meses
Skysnag ayuda a los atareados ingenieros a aplicar DMARC, responde a cualquier error de configuración de SPF o DKIM, lo que aumenta la capacidad de entrega del correo electrónico, y elimina la suplantación de identidades y el spoofing del correo electrónico.
