0

¿Qué es DKIM? Guía rápida sobre protocolos de autenticación email

Posted by
What is DKIM?

DKIM es un componente esencial que todo buen programa de seguridad email debe tener. No sólo protege al remitente del email de ser víctima de una suplantación de identidad, y por lo tanto de ser cómplice de spam y phishing sin saberlo, sino que también es una pieza clave para establecer confianza entre un servidor de correo electrónico y los proveedores de servicios de Internet.

Esta confianza tiene un enorme impacto en la capacidad de entrega de los correos electrónicos enviados desde un servidor de correo electrónico, por lo que el uso de DKIM hace que sea mucho más probable que tus emails no sean marcados como spam.

Para alguien que no trabaja en seguridad email, o aún no tiene la experiencia necesaria, este artículo debería servir cómo una guía rápida sobre DKIM, así cómo para entender su relación con otros dos protocolos de autenticación utilizados como el SPF o el DMARC.

¿Qué es el DKIM (DomainKeys Identified Mail)? 

Qué es DKIM y para qué sirve

El DKIM (DomainKeys Identified Mail) es un protocolo de autenticación estándar usado en las comunicaciones por email para verificar que un correo electrónico ha sido verdaderamente enviado por la dirección de origen y su dominio, y que su contenido no ha sido alterado durante la transmisión.

¿Cómo funciona el DKIM?

DKIM se usa básicamente para verificar la identidad del remitente. Su funcionamiento es sencillo de explicar: primero se le asigna una firma o código único al email, normalmente en la cabecera del email. Cuando el email llega al destinatario, su servidor SMTP de correo electrónico comprueba esta firma y determina si el email ha sido realmente enviado por quién dice ser que lo ha enviado.

El protocolo DKIM puede ser confuso y un poco abrumador para aquellos que no trabajan en un entorno IT. Pero no tiene por qué serlo. Aquí encontrarás un resumen simplificado de cómo funciona de principio a fin:

  1. El remitente envía un email con una firma (habitualmente en la cabecera del email). 
  2. El email llega al servidor de correo del destinatario con dos claves – una clave pública y una clave privada.
  3. El servidor de correo del destinatario (e.g. Gmail, Outlook, etc) comprueba la firma DKIM del email.
  4. A continuación, el servidor de email del destinatario hace una consulta DNS (Domain Name System, un registro de todos los dominios de internet). Esta consulta le permite obtener la clave para descifrar la firma del email – la clave pública – y luego se verifica la firma DKIM del email – la clave privada.
  5. Una vez descifrado, el servidor de email del destinatario localiza e identifica el código único o “hash” del email – el código de texto largo que sirve como identificador único de un email.
  6. El servidor comprueba que este código corresponda con el código original que se le atribuye al email en el origen (cuando el emisor lo crea).
  7. Si el código coincide, quiere decir que el mensaje ha sido enviado por aquel remitente y el contenido no ha sido alterado, entonces pasa el protocolo DKIM satisfactoriamente. 

Qué es DKIM y para qué sirve

Esto es en caso de que el email pase el protocolo. Pero, ¿y si no lo hace? 

En caso de que el servidor de correo del destinatario no pueda comprobar y validar la firma DKIM, es muy probable que esto se convierta en malas noticias para el servidor de correo del remitente. La consecuencia más común es que el mensaje se marque como spam – lo que significa que es muy poco probable que el destinatario lea tu mensaje. Bueno, seamos optimistas: quizás lo hará algún día, después de unos cuantos meses o años, cuando revise su bandeja de spam. En el peor de los casos, la dirección IP del servidor de envío podría ser bloqueada.

¿Cuáles son los beneficios del DKIM?

Ya sea que tengas una dirección de correo electrónico personal o que administres el servidor de correo electrónico de toda una organización entera, implementar el DKIM en tu servidor de correo electrónico es beneficioso, al igual que todas las capas adicionales de seguridad digital.

Beneficio 1: Parecer legítimo y evitar ir a la carpeta de spam

Aunque los algoritmos que se utilizan para detectar el spam son muy sofisticados, muy a menudo el spam consigue pasar los filtros y sigue llegando a las bandejas de entrada. Sin embargo, uno de cada seis correos electrónicos auténticos nunca llegará a la bandeja de entrada.

Esto puede suponer una sentencia de muerte para tus campañas de email marketing u otras comunicaciones que envíes por email. DKIM ayuda a los remitentes de correo electrónico a evitar estos resultados falso-positivos y le da una clara legitimidad a tus destinatarios de correo electrónico y, más importante, a su servidor de correo electrónico. La posibilidad de ser marcado como spam o correo basura cae drásticamente con la capa extra de legitimidad de DKIM.

Como resultado de la implementación del protocolo DKIM, la capacidad de entrega de tu servidor de correo electrónico debería mejorar significativamente. Por lo tanto, cuanto más correos electrónicos genuinos se envíen, y cuanto más se utilicen en estos correos otras buenas prácticas para mejorar las tasas de entregabilidad, más probable será que tu dominio mantenga una buena relación con los ISPs (Proveedores de servicios de internet).

Beneficio 2: Protégete de correos electrónicos maliciosos 

En la otra cara de la moneda, DKIM es un elemento muy valioso para incluir en tu propio servidor de correo electrónico. El principal beneficio de hacer esto es ayudar a filtrar mejor los correos electrónicos entrantes no deseados y protegerse a sí mismo y a toda su organización de posibles comunicaciones maliciosas.

Ya se trate de simples mensajes de spam no deseados, a los que el destinatario no ha dado su consentimiento o, en el peor de los casos, de correos electrónicos falsos o los temidos phishing – emails que no son realmente enviados por el remitente que dice ser y que han sido interceptados por terceros durante su transmisión que insertan enlaces y archivos adjuntos maliciosos.

¿Cuál es la relación entre el DKIM, el DMARC y el SPF?

SPF, DKIM & DMARC

No te asustes si escuchas las palabras SPF o DMARC cuando se habla de DKIM. De hecho, existe mucha confusión entre estos tres protocolos de autenticación. Veamos qué son y para qué sirven cada uno. 

¿Qué es el SPF?

Sender Policy FrameworkSPF es un protocolo usado para detectar emails fraudulentos y spam que comprueba que los emails se han enviado a través de una dirección autorizada por el remitente.

Gracias a la comprobación de los registros TXT del DNS del dominio del remitente, el servidor de correo del destinatario puede saber si el email que recibe ha sido enviado por un host o dirección de confianza del remitente. El protocolo SPF comprueba y valida las direcciones IP del host y si no las encuentra en los registros DNS del remitente, entonces marcará tu email como spam.

¿Qué es el DMARC? 

DMARC, o Domain-based Message Authentication, Reporting, and Conformance, es un protocolo de autenticación de emails basado en las políticas del SPF y el DKIM. Gracias al DMARC los propietarios de un dominio pueden decirle a los proveedores de servicios de internet o ISPs qué deben hacer en caso de que reciban emails en su nombre que no cumplen los protocolos SPF o DKIM.

Sin embargo, las fuertes políticas del DMARC a veces identifican erróneamente los correos electrónicos legítimos como fraudulentos cuando se entregan a través de un tercero, como eEvidence. Cuando esto sucede, tus correos electrónicos son devueltos con un error muy parecido a este:550-5.7.1. Unauthenticated email from yahoo.com is not accepted due to domains 550-5.6.1 DMARC policy.

Dicho esto, el DMARC no debe ser considerado como un reemplazo del SPF y el DKIM. De hecho, el mejor consejo para una seguridad email completa es emplear los 3 protocolos juntos.

Resumen: semejanzas y diferencias entre DKIM, SPF y DMARC

Para acabar esta comparativa entre los tres protocolos, echemos un vistazo a las semejanzas y diferencias entre DKIM, SPF, y DMARC:

Semejanzas

  • El DKIM, el SPF, y el DMARC son protocolos de autenticación email.
  • Los 3 se usan para proteger a los remitentes de una posible suplantación de identidad por terceros.
  • Los 3 se usan para proteger a los destinatarios y les ayudan a identificar a los remitentes y categorizar sus emails como legítimos o como spam.
  • Los 3 confían en el DNS para la autenticación.

Diferencias

  • El DKIM es un método para validar si los contenidos del email han sido alterados o no y si son de confianza.
  • El SPF comprueba si los emails vienen de un remitente legítimo autorizado por el propietario del dominio.
  • El DMARC establece las políticas en caso de que un email no cumpla el SPF o el DKIM, mejorando la efectividad de ambos.
  • Mientras que el DKIM y el SPF han sido los más implementados, el DMARC aún tiene recorrido, especialmente en ciertos sectores.

¿Debería usar DKIM?

La respuesta corta es . Sin el DKIM, si un tercero con malas intenciones accede a tu servidor, entonces tendrá vía libre para enviar emails maliciosos en tu nombre.

Por las razones que hemos comentado anteriormente, la mejor estrategia para la seguridad email, y la que todas las organizaciones deberían adoptar, es utilizar DKIM, SPF, y DMARC conjuntamente

¿La certificación de emails funciona con el DKIM?

Como ya has visto, los protocolos de autenticación SPF, DKIM y DMARC permiten enviar emails que sean verificados como auténticos y legítimos. Pero, ¿y si queremos añadir una capa más de seguridad (en este caso jurídica) y acreditar que los correos electrónicos fueron enviados y entregados al destinatario con validez legal?

Entonces el correo electrónico certificado es la garantía que tus comunicaciones necesitan: no sólo será mucho más probable que no caigan en la carpeta de spam gracias a los protocolos, sino que además tendrás evidencias legales sobre su envío, contenido y entrega al destinatario de forma transparente, sin involucrarle ni hacer que se entere. El email se entrega en cuestión de segundos igualmente, pero esta vez quedará certificado.

Cómo funciona el email certificado | eEvidence

La certificación de emails funciona en tándem con cualquier protocolo de autenticación como el DKIM, el SPF o el DMARC, ya que son totalmente complementarios. Si cuentas actualmente con estos protocolos y además quieres que tus emails se certifiquen, tan sólo tendrás que hacer un par de configuraciones en tus registros DNS para reconocer y «autorizar» el envío de emails a través de eEvidence. 

Esperamos que te haya resultado útil este artículo. Si te animas a probar la certificación email, cuenta con nosotros: sólo necesitas darte de alta en eEvidence y tendrás el servicio habilitado para empezar a certificar tus emails. Es fácil, rápido, fiable y muy económico. Tan económico, que lo puedes probar gratuitamente.

Try eEvidence for free

Si estáis interesados en nuestros servicios de confianza y sois empresa con requerimientos específicos y buscáis una solución adaptada a vuestra medida, por favor, contactad con nosotros y os ayudaremos en todo lo que necesitéis. Si por otro lado, eres un profesional independiente, particular, autónomo o pequeña empresa; no dudes en consultar las distintas tarifas disponibles y regístrate.

Este este artículo es una adaptación de la versión original en inglés.