blog webempresa

¿Qué es el registro DKIM y cómo funciona?

por | May 12, 2024 | Wiki

Imagen destacada - Qué es el registro DKIM y cómo funciona

Cuando un dominio no implementa un protocolo que sirva para autenticar los correos electrónicos salientes, se enfrenta a varios problemas, siendo el más importante el aumento del riesgo de que los mensajes legítimos sean identificados como SPAM o correos no deseados, ya que los servidores receptores no pueden verificar la autenticidad del remitente.

Esto puede llevar a una disminución en la reputación del dominio como remitente legítimo de correo electrónico. Por eso es importante que conozcas qué es el registro DKIM y cómo funciona para implementarlo en tus dominios y garantizar la entregabilidad de los correos.

Ten en cuenta que la ausencia de DKIM deja al dominio vulnerable a los ataques de phishing, donde los usuarios malintencionados pueden falsificar fácilmente la identidad del remitente para engañar a los receptores de los correos y obtener información.

La falta de autenticación del correo también puede generar problemas de entrega, ya que algunos proveedores de servicios de correo electrónico van a filtrar o rechazar aquellos correos no autenticados de acuerdo con sus políticas de seguridad. Desde enero de 2024, Google y otros servicios globales de correo rechazan aquellos correos dirigidos a buzones de sus plataformas si no utilizan los protocolos SPF, DKIM y DMARC.

Sin DKIM configurado, no hay forma de garantizar que el contenido del correo electrónico no ha sido modificado en tránsito, lo que puede comprometer la precisión y la seguridad de lo enviado.

En este artículo quiero que veas lo fácil que es añadir un registro DKIM en los dominios que tengas alojados en tu Panel de Hosting WePanel, para que tus correos salientes lleguen al destino sin mayores contratiempos.

  ¿Qué es DKIM?

 

El protocolo DKIM (DomainKeys Identified Mail) se encarga de la autenticación del correo electrónico y ayuda a proteger tu dominio de la suplantación de identidad y otros tipos de engaños por medio de emails.

Funciona mediante la firma digital de tus mensajes de correo electrónico con una clave privada que está asociada a tu dominio.

Los servidores de correo electrónico que reciben tus mensajes pueden verificar la firma para asegurarse de que el mensaje realmente proviene de tu dominio, es 100 % original y no ha sido falsificado durante el trayecto desde el servidor de origen al servidor de destino.

Con el uso de DKIM se establece un nivel de autenticación del correo electrónico basado en el uso de una firma digital que verifica la autenticidad y la integridad de los mensajes enviados desde un dominio específico.

Funciona a varios niveles de autenticación que son fundamentales para garantizar que un correo es legítimo:

  • Identificación del dominio del remitente: por medio del protocolo DKIM se autentica el dominio del remitente verificando que el mensaje realmente proviene del dominio que afirma ser. Esto se consigue usando criptografía de clave pública/privada, donde el servidor de correo que envía el mensaje firma digitalmente ciertos encabezados del correo electrónico usando una clave privada asociada con el dominio remitente.

  • Integridad del mensaje: usándolo se garantiza la integridad del mensaje al detectar cualquier alteración del contenido durante la transmisión. El servidor receptor verifica la firma digital del mensaje utilizando la clave pública almacenada en los registros DNS del dominio remitente y si la firma es válida, el mensaje no ha sido alterado desde su envío por el servidor remitente y es entregado.

  • Protección contra la falsificación de remitentes: la autenticación proporcionada por DKIM ayuda a prevenir la suplantación de remitentes, donde los spammers o atacantes intentan hacer que un mensaje parezca provenir de un dominio legítimo cuando en realidad no lo es. Al verificar la firma DKIM, los servidores receptores pueden identificar los mensajes legítimos y descartar los intentos de suplantación.

Estos niveles de autenticación ayudan a mejorar la confianza en el correo electrónico recibido, previenen los ataques de phishing y protegen la reputación de los remitentes legítimos de correos.

  ¿Cómo funciona la comprobación DKIM?

 

La comprobación DKIM se lleva a cabo por parte de los servidores de correo electrónico receptores que verifican la autenticidad y la integridad de los mensajes enviados desde un dominio específico.

El proceso resumido pasa por las siguientes fases:

  1. Se realiza la firma del mensaje de correo.
  2. Publicación de la clave pública en los Registros DNS.
  3. Verificación del servidor receptor mediante la comprobación DKIM.
  4. Verificación de la firma digital del mensaje.
  5. Resultado de la comprobación: se entrega, se marca como sospechoso o se rechaza.

Pero mejor te detallo un poco más este proceso, ya que es la esencia de la política DKIM para con los correos electrónicos.

Cuando tu servidor de correo electrónico envía un mensaje saliente, aplica la política de seguridad DKIM firmando digitalmente ciertos encabezados del correo utilizando una clave privada asociada con el dominio remitente. Esta firma digital se añade como un encabezado especial al mensaje saliente.

A continuación, el servidor remitente publica una clave pública en los registros DNS del dominio remitente. Esta clave pública es necesaria para que los servidores receptores verifiquen la firma digital del mensaje.

Cuando el servidor receptor recibe el correo, realiza la comprobación DKIM y extrae la firma DKIM del encabezado del mensaje buscando la clave pública correspondiente en los registros DNS del dominio remitente.

Utilizando la clave pública obtenida de los registros DNS, el servidor receptor verifica la firma digital del mensaje, si la firma es válida y coincide con el contenido del mensaje, indicando que el mensaje no ha sido alterado desde su envío por el servidor remitente.

Tras el resultado de la comprobación DKIM, el servidor receptor puede tomar medidas adecuadas, como entregar el correo en la bandeja de entrada del destinatario, marcarlo como potencialmente sospechoso o rechazarlo por completo, dependiendo de las políticas de seguridad configuradas.

Implementando DKIM en tus dominios consigues garantizar la confiabilidad en los correos que envías y mantienes intacta la reputación de tus dominios evitando que acaben en listas negras.

¿Qué sucede si no haces uso de DKIM en tus dominios?

  • Se aumenta el riesgo de que los correos sean marcados como SPAM.
  • Se pueden sufrir ataques de suplantación de identidad (spoofing).
  • Hay una menor garantía de integridad del mensaje entregado.
  • Tendrás problemas de entregabilidad de los correos.
  • La reputación del dominio se verá afectada, pudiendo acabar en listas negras.

  Estructura del registro DKIM

 

Un registro DKIM está compuesto por diversas partes que se utilizan para configurar y verificar la autenticación de los correos electrónicos enviados desde un dominio específico.

Los componentes principales de un registro DKIM son:

  • Selector: se trata de una cadena de texto que identifica la clave pública utilizada para firmar los correos electrónicos salientes. Un dominio puede tener múltiples registros DKIM asociados con diferentes selectores para manejar diferentes configuraciones de firma. Por ejemplo, un selector común podría ser default o cualquier otra cadena designada por quien administra el dominio.

  • Versión de DKIM: este campo especifica la versión del protocolo DKIM que se está utilizando. Por ejemplo, v=DKIM1 indica que se está utilizando la versión 1 de DKIM.

  • Dominio del remitente (d): aquí se añade el dominio del remitente que está configurando la autenticación DKIM. Por ejemplo, .tudominio.com sería el dominio del remitente para el cual se está configurando DKIM.

  • Clave pública (p): la clave pública (p) es la parte fundamental del registro DKIM. Se utiliza para verificar la autenticidad de los correos firmados digitalmente por el dominio remitente. Se genera en el formato de clave RSA y se publica en el registro DNS del dominio remitente como parte del registro DKIM.

  • Política de subdominio (s): se puede incluir un campo (s) que especifique la política de subdominio para el registro DKIM. Esto te permite definir si la autenticación DKIM se aplica a todos los subdominios del dominio principal. Su aplicación es opcional.

  • Política de autorización (a):el campo (a) especifica las identidades de los remitentes autorizados para utilizar la clave privada asociada con el registro DKIM. Esto puede restringir qué remitentes pueden firmar correos electrónicos en nombre del dominio remitente. Su aplicación es opcional.

Un ejemplo de un registro DKIM en los registros DNS podría ser algo así como:

default._domainkey.tudominio.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DJHBAQUAA4GNERVBUYKBgQDxLKTgHyUHQ7o7jCNab+ZLxyM..."

Te explico, para que entiendas, que hace esta composición del registro DKIM:

  • default es el selector.
  • _domainkey.tudominio.com es el nombre del registro DKIM en los registros DNS de tu dominio.
  • v=DKIM1 especifica la versión de DKIM utilizada.
  • p=MIGfMA0GCSqGSIb3DJHBAQUAA4GNERVBUYKBgQDxLKTgHyUHQ7o7jCNab
    +ZLxyM...
    es la clave pública RSA utilizada para firmar los correos electrónicos salientes del dominio tudominio.com.

Los campos obligatorios del registro DKIM, como la versión (v), el dominio del remitente (d) y la clave pública (p) son necesarios para configurar la autenticación DKIM correctamente.

El resto de campos, como el selector (s), la política de subdominio (s) y la política de autorización (a), son opcionales y pueden utilizarse según las preferencias y requisitos específicos del dominio.

La configuración exacta de un registro DKIM puede variar, pero los campos obligatorios son esenciales para el funcionamiento básico de la autenticación DKIM.

  ¿Cómo configurar el registro DKIM de un dominio?

 

Configurar un registro DKIM es bastante sencillo, tal como verás en el siguiente punto, aunque es importante que tengas en cuenta algunos aspectos para asegurarte de realizar una implementación correcta de esta política de autenticación de correo electrónico.

Primero, debes de tener acceso a los registros DNS del dominio, algo que normalmente deberías poder hacer desde tu Panel de Hosting.

La configuración de DKIM implica publicar una clave pública en los registros DNS para que los servidores receptores puedan verificar la autenticidad de los mensajes firmados digitalmente por tu dominio.

También se generan un par de claves RSA (pública y privada) para utilizar en el proceso de firma DKIM.

Tendrás que establecer un selector, que es una cadena de texto que identifica la clave pública utilizada para firmar los correos electrónicos, pudiendo ser un selector predeterminado o definir uno personalizado según tus necesidades de configuración.

Tras configurar DKIM, es bueno que monitorices regularmente los informes de autenticación generados por los servidores receptores. Estos informes te dan información sobre la efectividad de la autenticación DKIM y cualquier problema que pueda surgir con la configuración que hayas aplicado al registro.

En el siguiente punto te explico cómo crear un registro DKIM en tu Hosting, para un dominio que tengas alojado.

  Cómo configurar un registro DKIM en WePanel

 

Antes de ponerte a crear un registro DKIM para un dominio es muy importante que compruebes primero si este ya existe o no. En tu Panel de Hosting ➜ Dominios ➜ Editor de Zona DNS, selecciona el dominio para el que quieres hacer la comprobación, y revisa todos los registros DNS que este dominio tenga creados.

En Webempresa, cuando añades un dominio en el Hosting contratado, se genera automáticamente el “registro DKIM”, que puedes consultar desde el editor de zona DNS.

Normalmente los registros SPF, DMARC y DKIM suelen mostrarse al final del listado de registros DNS de dominio consultado.

WePanel - Dominios - Editor de Zona DNS - Listado de DNS de un dominio

Para añadir un registro DKIM, tienes que hacerlo utilizando el editor de Zona DNS de tu Panel de Hosting. En este ejemplo hago uso de WePanel, que es el panel de administración de webs, dominios y correos, de Webempresa.

Necesitarás tener una clave DKIM que contendrá la clave privada RSA en formato PEM (Privacy Enhanced Mail), codificada en Base64.

Si quieres generar una clave DKIM puedes utilizar alguna herramienta que te permita crear un par de claves RSA (pública y privada) que luego se pueden utilizar en la configuración DKIM.

Los chicos de PowerDMARC tienen una herramienta online para generar claves DKIM de forma gratuita que puedes utilizar.

El proceso es tan sencillo como poner tu dominio, sin prefijo (https://) y hacer clic en el botón Generar registro DKIM.

Generador de registros DKIM de PowerDMARC

En menos de 1 minuto tendrás la clave privada, RSA generada, la cual debes guardar y mantener en secreto. Es un buen momento para que te plantees usar un baúl de notas seguras y contraseñas con CiberProtector, para almacenar este tipo de datos.

Y justo debajo verás el Registro DKIM generado que es el que utilizarás, como explico más abajo, para crear tu propio registro DKIM para el dominio que hayas indicado.

Generador de registros DKIM de PowerDMARC - Claves y registro DKIM

Los pasos resumidos para configurar un registro DKIM en WePanel son los siguientes:

  1. Inicia sesión en tu cuenta de WePanel.
  2. En la sección Dominios, haz clic en Editor de zonas DNS.
  3. Selecciona el dominio para el que deseas añadir un registro DKIM.
  4. En la sección Añadir un nuevo registro DNS rellena los campos disponibles.
  5. En el campo Registro, escribe el nombre del dominio: default._domainkey.
  6. En el campo Tipo, selecciona TXT.
  7. En el campo Valor, pega tu registro DKIM: v=DKIM1; k=rsa; p=MIIBIjABAQEFAAOCAQ8AMIIBCg…..
  8. Haz clic en Añadir registro.

Los campos que tienes que rellenar serían los siguientes:

  • Registro: default._domainkey
  • TTL: 14400
  • Clase: IN
  • Tipo: TXT
  • Valor: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQE……..AQAB;

Tras rellenar los campos citados haz clic en Añadir para que se genere dicho registro.

WePanel - Creación de un registro DKIM

A continuación verás el resultado del registro creado en tu Hosting, para el dominio que estés configurando dicho registro.

WePanel - Creación de un registro DKIM - Valores OK

En esa pantalla de WePanel, donde has creado el registro, al final del listado de registros DNS existente podrás ver el nuevo registro DKIM creado.

wepanel-listado-registros-dominio-dkim

El registro DKIM, una vez creado, puede tardar en propagarse en los servidores de DNS un tiempo variable, generalmente entre unos pocos minutos hasta un máximo de 48 horas.

  ¿Cuáles son los beneficios de usar DKIM?

 

La implementación de DKIM es esencial para fortalecer la autenticación del correo electrónico, pues permite proteger la reputación del remitente y garantizar la entrega confiable y segura del mismo en los servidores de destino.

Con el uso de DKIM se autentica la identidad del remitente mediante la firma digital de los mensajes salientes con una clave privada asociada al dominio remitente.

Los servidores receptores pueden verificar esta firma utilizando la clave pública publicada en los registros DNS del dominio, lo que garantiza que los mensajes vienen del dominio especificado y no han sido falsificados por usuarios malintencionados.

Además, con DKIM evitas la “suplantación de identidad” al hacer que sea más difícil para los usuarios malintencionados falsificar la dirección del remitente en los correos electrónicos. La autenticidad de la firma DKIM permite a los servidores receptores detectar intentos de suplantación y tomar medidas como marcar los correos como SPAM o rechazarlos directamente.

Esta política de seguridad te ayuda a mejorar la entrega de correo electrónico, permitiendo a los servidores receptores el identificar mensajes legítimos y confiables.

Los correos electrónicos firmados con DKIM tienen más probabilidades de ser entregados en la bandeja de entrada del destinatario en lugar de ser filtrados como correo no deseado.

DKIM garantiza la integridad del mensaje, pues verifica que el contenido del correo electrónico no ha sido alterado durante el envío. La firma digital asociada con el mensaje asegura que cualquier alteración invalidará la firma DKIM, alertando a los servidores receptores sobre posibles manipulaciones maliciosas.

Además, DKIM es esencial para cumplir con políticas de seguridad de correo electrónico como DMARC, que utiliza información de DKIM y SPF para proporcionar políticas más estrictas de alineación y autenticación, protegiendo la reputación del dominio y mejorando la seguridad del correo electrónico.

  Conclusiones

 

Los servicios de correo más importantes, como Google y Yahoo, ya imponen estrictas normas de seguridad en el envío de correos exigiendo la adopción de la tecnología de autenticación DKIM.

En un mundo donde el SPAM, el phishing o la suplantación de identidad están a la orden del día, DKIM ofrece una solución efectiva para verificar la autenticidad del remitente, protegiendo la integridad de los mensajes enviados.

Los usuarios malintencionados a menudo falsifican direcciones de remitente legítimas para engañar a los destinatarios y obtener información confidencial, accesos a cuentas bancarias o a servidores. Con la implementación de DKIM, los servidores receptores pueden verificar la autenticidad del remitente al validar la firma digital asociada con el mensaje, dificultando la falsificación de direcciones de email.

La adopción de DKIM se ha convertido en un estándar recomendado en la seguridad del correo electrónico, formando parte de un conjunto más amplio de protocolos de autenticación de correo, junto con SPF y DMARC, que ayudan a establecer políticas claras de autenticación y alineación de identidades de remitentes.

Si eres cliente de Webempresa y tienes dominios alojados en tu cuenta de Hosting, no te preocupes, tienes los registros SPF, DKIM y DMARC activos y configurados para cada dominio que das de alta en tu cuenta. ¡Compruébalo! 😉

¿Te ha resultado útil este artículo?

Black Friday 2024