What is DKIM?

DKIM es un componente esencial que todo buen programa de seguridad email debe tener. No sólo protege al remitente del email de ser víctima de una suplantación de identidad, y por lo tanto de ser cómplice de spam y phishing sin saberlo, sino que también es una pieza clave para establecer confianza entre un servidor de correo electrónico y los proveedores de servicios de Internet.

Esta confianza tiene un enorme impacto en la capacidad de entrega de los correos electrónicos enviados desde un servidor de correo electrónico, por lo que el uso de DKIM hace que sea mucho más probable que sus emails no sean marcados como spam.

Para alguien que no trabaja en seguridad email, o aún no tiene la experiencia necesaria, este artículo debería servir cómo una guía rápida sobre DKIM, así cómo para entender su relación con otros dos protocolos de autenticación utilizados como el SPF o el DMARC.

 



 

¿Qué es el DKIM (DomainKeys Identified Mail)? 

 

Empecemos por el principio. ¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) es un protocolo de autenticación estándar usado en las comunicaciones por email para verificar que un correo electrónico ha sido verdaderamente enviado por la dirección de origen y su dominio, y que su contenido no ha sido alterado durante la transmisión.

DKIM se usa básicamente para verificar la identidad del remitente. Su funcionamiento es sencillo de explicar: primero se le asigna una firma o código único al email, normalmente en la cabecera del email. Cuando el email llega al destinatario, su servidor SMTP de correo electrónico comprueba esta firma y determina si el email ha sido realmente enviado por quién dice ser que lo ha enviado.

 

¿Cómo funciona el DKIM?

 

DKIM puede ser confuso y un poco abrumador para aquellos que no trabajan en un entorno IT. Pero no tiene por qué serlo. Aquí encontrarás un resumen simplificado de cómo funciona:

 

  1. El remitente envía un email con una firma (habitualmente en la cabecera del email). 
  2. El email llega al servidor de correo del destinatario con dos claves – una clave pública y una clave privada.
  3. El servidor de correo del destinatario (e.g. Gmail, Outlook, etc) comprueba la firma DKIM del email.
  4. A continuación, el servidor de email del destinatario hace una consulta DNS (Domain Name System, un registro de todos los dominios de internet). Esta consulta le permite obtener la clave para descifrar la firma del email – la clave pública – y luego se verifica la firma DKIM del email – la clave privada.
  5. Una vez descifrado, el servidor de email del destinatario localiza e identifica el código único o “hash” del email – el código de texto largo que sirve como identificador único de un email.
  6. El servidor comprueba que este código corresponda con el código original que se le atribuye al email en el origen (cuando el emisor lo crea).
  7. Si el código coincide, quiere decir que el mensaje ha sido enviado por aquel remitente y el contenido no ha sido alterado, entonces pasa el protocolo DKIM satisfactoriamente. 

 

Esto es en caso de que el email pase el protocolo. Pero, ¿y si no lo hace? 

En caso de que el servidor de correo del destinatario no pueda comprobar y validar la firma DKIM, es muy probable que esto suponga malas noticias para el servidor de correo del remitente. La consecuencia más común es que el mensaje se marque como spam – lo que significa que es muy poco probable que el destinatario lea tu mensaje. Bueno, seamos optimistas: quizás lo hará algún día, después de unos cuantos meses o años, cuando revise su bandeja de spam. En el peor de los casos, la dirección IP del servidor de envío podría ser bloqueada.

 

 

¿Cuáles son los beneficios del DKIM?

Ya sea que tengas una dirección de correo electrónico personal o que administres el servidor de correo electrónico de toda una organización entera, implementar el DKIM en tu servidor de correo electrónico es claramente beneficioso, al igual que todas las capas adicionales de seguridad digital.

 

Beneficio 1: Parecer legítimo y evitar ir a la carpeta de spam

Aunque los algoritmos que se utilizan para detectar el spam son muy sofisticados, muy a menudo el spam consigue pasar los filtros y sigue llegando a las bandejas de entrada. Sin embargo, uno de cada seis correos electrónicos auténticos nunca llegará a la bandeja de entrada.

Esto puede suponer una sentencia de muerte para tus campañas de email marketing u otras comunicaciones que envíes por email. DKIM ayuda a los remitentes de correo electrónico a evitar estos resultados falso-positivos y le da una clara legitimidad a tus destinatarios de correo electrónico y, más importante, a su servidor de correo electrónico. La posibilidad de ser marcado como spam o correo basura cae drásticamente con la capa extra de legitimidad de DKIM.

Como resultado de la implementación del protocolo DKIM, la capacidad de entrega de tu servidor de correo electrónico debería mejorar significativamente. Por lo tanto, cuanto más correos electrónicos genuinos se envíen, y cuanto más se utilicen en estos correos otras buenas prácticas para mejorar las tasas de entregabilidad, más probable será que tu dominio mantenga una buena relación con los ISPs (Proveedores de servicios de internet).

 

Beneficio 2: Protégete de correos electrónicos maliciosos 

 

En la otra cara de la moneda, DKIM es un elemento muy valioso para incluir en tu propio servidor de correo electrónico. El principal beneficio de hacer esto es ayudar a filtrar mejor los correos electrónicos entrantes no deseados y protegerse a sí mismo y a toda su organización de posibles comunicaciones maliciosas.

Ya se trate de simples mensajes de spam no deseados, a los que el destinatario no ha dado su consentimiento o, en el peor de los casos, de correos electrónicos falsos o los temidos phishing – emails que no son realmente enviados por el remitente que dice ser y que han sido interceptados por terceros durante su transmisión que insertan enlaces y archivos adjuntos maliciosos.

 

¿Cómo está relacionado del DKIM con el SPF y el DMARC?

 

SPF, DKIM & DMARC

 

Si escuchas las palabras SPF o DMARC cuando lees o hablas con alguien acerca del DKIM, no te asustes.

Existe mucha confusión entre estos tres protocolos de autenticación. Esto aplica tanto a la forma en que estos sistemas funcionan a nivel técnico como a la forma en que se aplican dentro de la seguridad email. 

 

¿Qué es el SPF?

 

Sender Policy FrameworkSPF es un protocolo usado para detectar emails fraudulentos y spam que comprueba que los emails se han enviado a través de una dirección autorizado por el remitente.

Gracias a la comprobación de los registros TXT del DNS del dominio del remitente, el servidor de correo del destinatario es puede saber si el email que recibe ha sido enviado por un host o dirección de confianza del remitente. El protocolo SPF comprueba y valida las direcciones IP del host y si no las encuentra en los registros DNS del remitente, entonces marcará tu email como spam.

 

¿Qué es el DMARC? 

 

DMARC, o Domain-based Message Authentication, Reporting, and Conformance, es un protocolo de autenticación de emails basado en las políticas del SPF y el DKIM. Gracias al DMARC los propietarios de un dominio pueden decirle a los proveedores de servicios de internet o ISPs qué deben hacer en caso de que reciban emails en su nombre que no cumplen los protocolos SPF o DKIM.

Sin embargo, las fuertes políticas del DMARC a veces identifican erróneamente los correos electrónicos legítimos como fraudulentos cuando se entregan a través de un tercero, como eEvidence. Cuando esto sucede, tus correos electrónicos son devueltos con un error muy parecido a este:550-5.7.1. Unauthenticated email from yahoo.com is not accepted due to domains 550-5.6.1 DMARC policy.

Dicho esto, el DMARC no debe ser considerado como un reemplazo de estos dos protocolos. De hecho, el mejor consejo para una seguridad email completa es emplear los 3 protocolos juntos.

 

Resumen: semejanzas y diferencias entre DKIM, SPF y DMARC

 

Para acabar esta comparativa entre los tres protocolos, echemos un vistazo a las semejanzas y diferencias entre DKIM, SPF, y DMARC:

 

Semejanzas

  • El DKIM, el SPF, y el DMARC son protocolos de autenticación email.
  • Los 3 se usan para proteger a los remitentes de una posible suplantación de identidad por terceros.
  • Los 3 se usan para proteger a los destinatarios y les ayudan a identificar a los remitentes y categorizar sus emails como legítimos o como spam.
  • Los 3 confían en el DNS para la autenticación.

Diferencias

  • El DKIM es un método para validar si los contenidos del email han sido alterados o no y si son de confianza.
  • El SPF comprueba si los emails vienen de un remitente legítimo autorizado por el propietario del dominio.
  • El DMARC establece las políticas en caso de que un email no cumpla el SPF o el DKIM, mejorando la efectividad de ambos.
  • Mientras que el DKIM y el SPF han sido los más implementados, el DMARC aún tiene recorrido, especialmente en ciertos sectores.

 

¿Debería usar DKIM?

 

La respuesta corta es un como la copa de un pino. 

Sin el DKIM, si un tercero con malas intenciones accede a tu servidor, entonces tendrá vía libre para enviar emails maliciosos en tu nombre.

Por las razones que hemos comentado anteriormente, la mejor estrategia para la seguridad email, y la que todas las organizaciones deberían adoptar, es utilizar DKIM, SPF, y DMARC conjuntamente

 

¿La certificación de emails funciona con el DKIM?

Si quieres enviar emails que no sólo sean verificados como auténticos y legítimos a través de los protocolos DKIM, SPF y DMARC, es posible también certificar legalmente que estos emails han sido enviados por el remitente y entregados al destinatario?

La respuesta, obviamente, es sí. 

La certificación de correos electrónicos funciona en tándem con cualquier protocolo de autenticación como el DKIM, el SPF o el DMARC, ya que son totalmente complementarios. Gracias a ella, podrás tener más garantías cuando envías tus emails: no sólo será mucho más probable que no caigan en la carpeta de spam, sino que además como remitente obtendrás una prueba legal del envío, el contenido y la entrega del email al destinatario.

El email certificado te aporta una capa extra de tranquilidad, especialmente cuando gestionas comunicaciones críticas. Por si acaso algún día te encuentras en una disputa sobre una comunicación que enviaste o tienes una auditoría, el email certificado es la prueba de envío y de entrega, y la prueba de cumplimiento que necesitas.

Así pues, si quieres certificar tus emails o quieres implementarlo como buena praxis, eEvidence es todo lo que necesitas. En tan sólo un par de clics, puedes dar de alta tu cuenta y empezar a certificar tus emails. Es fácil, rápido, fiable y económico.

Try eEvidence for free

 

¡Ah! No te olvides de añadir nuestra firma DKIM en tus registros DNS si tus emails se certifican y se envían a través de eEvidence.👇

DKIM signature eEvidence

 


Esta este artículo es una adaptación de la versión original en inglés.

 

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>