¿Qué es un registro DKIM? Todo lo que necesitas saber
El registro DKIM o DomainKeys Identified Mail es un método de autenticación que se utiliza para evitar la falsificación del correo electrónico. Aumenta la seguridad del correo electrónico al permitir que el servidor de correo del receptor compruebe la autenticidad del dominio del remitente.
El registro DKIM es un registro TXT modificado que añade firmas criptográficas a tus correos electrónicos. Agrega un registro DKIM a tu sistema de nombres de dominio (DNS), y este contiene criptografía de clave pública utilizada por el servidor de correo receptor para autenticar un mensaje.
Mientras que casi el 85% de todos los correos electrónicos van a la carpeta de spam, DKIM puede evitar que tu correo electrónico lo haga proporcionando autenticación de criptografía. También evita que los hackers alteren tu mensaje en tránsito o falsifiquen tu cuenta de correo electrónico para realizar actividades maliciosas.
Tabla de Contenidos
¿Qué es una firma DKIM?
La firma DKIM es un encabezado especial que contiene información esencial añadida a un mensaje de correo electrónico. El encabezado de la firma DKIM tiene un formato de cadena de texto único, también conocido como valor hash.
La información presentada en un campo del encabezado de la firma DKIM utiliza pares de etiqueta=valor. Una etiqueta es una sola letra, seguida de un signo igual, mientras que el valor proporciona detalles específicos del remitente del correo electrónico, el mensaje y la ubicación de la clave pública.
Hay etiquetas obligatorias que todas las firmas DKIM deben tener, ya que el proceso de verificación fallaría sin ellas. Entre ellas se encuentran:
- “v=” es la versión de la especificación de la firma. El valor es siempre uno.
- “a=” refleja el algoritmo de la firma. Este valor es casi siempre rsa-sha256.
- “d=” es el nombre del dominio.
- “s=” indica el nombre del registro selector, utilizado con la identidad del nombre de dominio para localizar la clave pública en el DNS.
- “h=” especifica la lista de encabezados utilizados para crear los datos hash.
- “b=” representa los datos hash.
- “bh=” ilustra el hash calculado del mensaje de correo.
Algunas etiquetas opcionales no son obligatorias en una firma DKIM, pero pueden ayudar a proporcionar medidas de seguridad adicionales. Estas son las etiquetas opcionales recomendadas en las firmas DKIM para ayudar a identificar el spam:
- “t=”es la hora del mensaje. El formato es el número de segundos desde las 00.00.00 del 1 de enero de 1970 en la zona UTC. Por ejemplo, si envías un mensaje de correo electrónico el 7 de mayo de 2021, a las 07:42:40UTC, el valor de “t=”será 1.620.373.360.
- “x=”es la hora de caducidad de la firma DKIM. Su formato es el mismo que el anterior, pero el valor debe ser mayor que la hora.
Ten en cuenta que los valores de las etiquetas opcionales se generan automáticamente, por lo que no es necesario que calcules tú los segundos.
¿Cómo funciona el DKIM?
Antes de mostrarte cómo funciona DKIM, debes familiarizarte con el concepto de las dos claves DKIM. Éstas incluyen la clave pública del registro DNS, que ayuda al servidor receptor a verificar un mensaje de correo electrónico, y una clave privada de tu servidor de correo como parte del proceso de autenticación.
Todos los procesos DKIM tienen lugar internamente en los propios servidores de correo.
Por ejemplo, estás enviando un mensaje de correo electrónico utilizando test@example.com. Antes de enviar un mensaje, el servidor de correo emisor generará una cabecera de firma DKIM utilizando una clave privada.
El sistema de correo iniciará la verificación DKIM asegurándose de que la firma DKIM coincide con la información del remitente.
Cuando se entregue el mensaje, el servidor de correo electrónico receptor obtendrá el registro DKIM del registro DNS de example.com. El servidor de correo electrónico receptor utiliza entonces la clave pública del registro DNS para verificar la firma DKIM del mensaje.
Si la clave pública DKIM coincide con la información de la firma, se comprueba que el mensaje es auténtico y se traslada a la bandeja de entrada. Esto significa que nadie ha alterado el mensaje en tránsito.
Si la clave DKIM no coincide con la información, lo más probable es que el mensaje vaya a la carpeta de correo no deseado o basura.
¿Está el DKIM relacionado con el SPF y el DMARC?
DKIM no es la única norma de seguridad que protege tus mensajes de correo electrónico. Las normas Sender Policy Framework (SPF) y Domain-based Message Authentication, Reporting, and Conformance (DMARC) también pueden proteger tu infraestructura de correo electrónico.
El SPF restringe a quienes pueden enviar correos electrónicos desde tu dominio, lo que lo protege de la suplantación de identidad. SPF es un protocolo de autenticación de correo electrónico que garantiza que tu dominio sólo envía correos electrónicos desde una lista de servidores verificados.
DMARC unifica los métodos de autenticación SPF y DKIM en un mecanismo común. DMARC también ofrece a los propietarios de dominios este mecanismo para comunicar cómo tratar los mensajes no autenticados.
DKIM, SPF y DMARC trabajan en diferentes aspectos de autenticación, y pueden apoyarse mutuamente. Juntos proporcionan el mejor resultado para la seguridad del correo electrónico, que también aumentará la reputación del dominio y la capacidad de entrega del correo electrónico.
¿Es realmente importante el DKIM?
La respuesta corta es sí.
DKIM autentifica la identidad del remitente del correo electrónico para garantizar que los mensajes no vayan a la carpeta de spam o de correo no deseado. Es esencial para las organizaciones que suelen enviar correos electrónicos comerciales o transaccionales a sus clientes.
Parte de la responsabilidad de una organización o empresa es proteger la integridad de su dominio y sus mensajes. Sin DKIM, los hackers pueden enviar fácilmente correos electrónicos que podrían parecer legítimos y potencialmente estafar a los clientes.
DKIM también ayuda a mejorar la capacidad de entrega del correo electrónico, ya que tener correos electrónicos autentificados ayuda a aumentar la reputación del dominio entre los proveedores de servicios de Internet (ISP) y los servidores de correo.
¿Cómo añadir un registro DKIM para los correos electrónicos?
Hay tres pasos básicos para configurar DKIM: generar las claves DKIM, introducir una clave pública en el servidor DNS e introducir una clave privada en el servidor de correo electrónico de envío.
La mayoría de los proveedores de correo electrónico que admiten DKIM generarán la clave pública para añadirla al registro DNS del dominio. Para ello, es imprescindible tener acceso a tu registro DNS.
Algunos servicios de correo electrónico, como Google Workplace, pueden generar la clave privada automáticamente, o puede que tengas que añadirla manualmente.
En la siguiente sección, te mostraremos cómo funciona DKIM con diferentes servicios de correo electrónico.
Añadir un registro DKIM con el servicio de correo electrónico de Hostinger
Utilizar un servicio de correo electrónico ofrecido por los proveedores de alojamiento web puede simplificar los pasos. Con el servicio de correo electrónico de Hostinger, basta con configurar un correo electrónico de Hostinger, y éste añadirá automáticamente los registros DKIM.
- Para configurar nuevas cuentas de correo electrónico, entra en tu cuenta de alojamiento web y haz clic en el botón Administrar, junto a tu nombre de dominio. Desde allí, selecciona Cuentas de Correo en la sección Emails.
2. Rellena el formulario en Crear tu cuenta de correo electrónico y haz clic en el botón Crear.
- Todos los nombres de dominio que apunten a Hostinger tendrán los registros DKIM CNAME en el Editor de Zonas DNS, ya que Hostinger añadirá automáticamente los registros DKIM a tu cuenta de correo electrónico.
- Si Hostinger no ha creado los registros automáticamente, es posible añadirlos manualmente. En el Editor de Zonas DNS, hay una sección en Administrar registros DNS. Los detalles de los registros DKIM incluyen:
Tipo | Host | Apunta a | TTL |
CNAME | hostingermail-a._domainkey | hostingermail-a.dkim.mail.hostinger.com | 300 |
CNAME | hostingermail-b._domainkey | hostingermail-b.dkim.mail.hostinger.com | 300 |
CNAME | hostingermail-c._domainkey | hostingermail-c.dkim.mail.hostinger.com | 300 |
Ten en cuenta que los cambios tardan hasta 24 horas en surtir efecto.
Añadir registros DKIM desde otro proveedor de correo electrónico
La configuración principal de DKIM es más o menos la misma con cualquier proveedor de servicios de correo electrónico (ESP).
Los ESP más populares, como el Correo de Hostinger o Google Workspace, han facilitado y agilizado a los usuarios la adición de registros DKIM. En esta sección, configuraremos DKIM utilizando Google Workspace como ejemplo.
Aunque Gmail firma todos los mensajes de correo electrónico con la clave de dominio DKIM por defecto, es mejor autentificar manualmente tu dominio de correo electrónico para obtener una capa adicional de seguridad.
Estos son los pasos para configurar DKIM en Google Workspace:
- En primer lugar, accede a tu cuenta de Google Workspace y selecciona el botón Admin en Apps. Ten en cuenta que el acceso a la página principal de la consola de administración o Admin sólo está disponible para los correos electrónicos de Google Workspace.
- Desde la página principal de administración, haz clic en las tres líneas de la cabecera junto a Google Admin. Dirígete a Aplicaciones -> Google Workspace -> Gmail para iniciar el proceso de autenticación.
- Haz clic en Autenticar el correo electrónico para configurar DKIM.
- No cambies el dominio seleccionado, ya que será automáticamente tu dominio. Simplemente haz clic en GENERAR REGISTRO.
- Primero, selecciona la longitud de bits de la clave DKIM. Recomendamos seleccionar 2048 para una opción más segura. Algunos dominios sólo admiten una clave de 1024 bits, así que asegúrate de comprobarlo con el host de tu dominio. El selector de prefijo puede permanecer como “google”. Haz clic en GENERAR para continuar.
- Esto generará el valor del registro TXT para la clave pública. Dirígete al editor de zonas DNS de tu servidor de dominio para añadir los registros DNS.
- Añade el registro generado por Google en Administrar registros DNS. El servidor receptor puede utilizar esta clave para verificar tus mensajes.
- Vuelve a la página de autenticación del Espacio de Trabajo de Google y haz clic en el botón INICIAR AUTENTICACIÓN para activar la firma DKIM.
- Para comprobar que la norma de seguridad DKIM funciona, envía un mensaje de correo electrónico a alguien que utilice Gmail o Google Workspace.
- Accede a la bandeja de entrada del correo electrónico receptor y abre el mensaje. Haz clic en los tres puntos de la parte superior izquierda y selecciona Mostrar original.
- Si el DKIM ya funciona, aparecerá PASS delante de tu nombre de dominio, lo que significa que el dominio es seguro.
Ten en cuenta que los cambios pueden tardar hasta 24 horas en propagarse.
Añadir registros DKIM cuando se ejecuta un servidor de correo privado
Se necesita un generador de DKIM, como SparkPost, para generar las claves de la firma cuando se ejecuta un servidor de correo propio. Algunos generadores te dan la opción de crear tu selector, y otros lo harán por ti.
- Una vez generadas las claves, copia la clave pública DKIM y añádela a los registros DNS. Selecciona TXT para el tipo, y el nombre seguirá este formato:
Selector-name._domainkey
- Pega la clave pública DKIM en la sección Destino o Contenido. Para la clave privada, asegúrate de que el servidor de correo electrónico admite DKIM.
- Crea un nuevo archivo de texto con la clave privada. Asegúrate de copiar todo desde el INICIO de la CLAVE PRIVADA RSA hasta el FINAL de la CLAVE PRIVADA RSA.
- Guarda el archivo en C:\pmta en Windows o en /etc/pmta en Linux.
- Ve al panel de control del dominio y selecciona el archivo de texto en firma DKIM.
- Por último, añade allí el nombre del selector para finalizar el proceso de firma DKIM.
Conclusión
Para evitar la entrega de correos electrónicos dañinos o la suplantación de identidad, es tu responsabilidad proteger todos los mensajes del dominio. Esto es especialmente cierto para las empresas, ya que los correos electrónicos de marketing no quieren acabar en la carpeta de spam o basura.
Una de las soluciones a este problema es añadir un registro DKIM y una firma. Los servidores de correo electrónico del remitente y del destinatario autentificarán tus mensajes utilizando claves DKIM privadas y públicas. El estándar DKIM también mejorará la capacidad de entrega del correo electrónico y funcionará bien con SPF y DMARC.
Te hemos mostrado las diferentes formas de añadir un registro DKIM y una firma. La adición de registros DKIM puede hacerse mediante el servicio de correo electrónico de Hostinger, Google Workspace, y con un servidor de correo privado. Sea cual sea el método que elijas, asegúrate de obtener primero las claves DKIM privadas y públicas.
Ahora podrás asegurar fácilmente todos los mensajes que envíes desde tu dominio. Buena suerte.