DomainKeys Identified Mail, o DKIM, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correo electrónico contra el spam, la suplantación y el phishing.  Es una forma de autenticación de correo electrónico que permite a una organización asumir la responsabilidad de un mensaje de una manera que puede ser validada por el destinatario.

Específicamente, utiliza un enfoque llamado “criptografía de clave pública” para verificar que un mensaje de correo electrónico fue enviado desde un servidor de correo autorizado, con el fin de detectar falsificaciones y prevenir la entrega de correos electrónicos dañinos como el spam. Suplementa SMTP, el protocolo básico utilizado para enviar correos electrónicos, porque no incluye por sí mismo ningún mecanismo de autenticación.

¿Cómo funciona?

Funciona añadiendo una firma digital a los encabezados de un mensaje de correo electrónico. Esa firma puede ser validada contra una clave criptográfica pública en los registros del Sistema de Nombres de Dominio (DNS) de la organización. En términos generales, el proceso funciona así:

Un propietario de dominio publica una clave pública criptográfica como un registro TXT especialmente formateado en los registros DNS generales del dominio.

Cuando un mensaje de correo es enviado por un servidor de correo saliente, el servidor genera y adjunta un encabezado de firma DKIM único al mensaje. Este encabezado incluye dos hashes criptográficos, uno de los encabezados especificados, y uno del cuerpo del mensaje (o parte de él). El encabezado contiene información sobre cómo se generó la firma.

Cuando un servidor de correo entrante recibe un correo electrónico, busca la clave DKIM pública del remitente en el DNS. El servidor de entrada utiliza esta clave para descifrar la firma y compararla con una versión recién calculada. Si los dos valores coinciden, se puede demostrar que el mensaje es auténtico y no ha sido alterado en tránsito.

¿Qué es una firma DKIM?

Una firma DKIM es un encabezado agregado a los mensajes de correo electrónico. El encabezado contiene valores que permiten a un servidor de correo receptor validar el mensaje de correo electrónico buscando la clave DKIM de un remitente y usándola para verificar la firma encriptada. Se ve algo así:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un encabezado de firma DKIM contiene mucha información, ya que está destinado al procesamiento automático. Como se puede ver en este ejemplo, el encabezado contiene una lista de partes tag=value. Las etiquetas notables incluyen “d=” para el dominio firmante, “b=” para la firma digital real, y “bh=” para un hash que puede ser verificado recalculando usando la clave pública del remitente.

Las firmas, por definición, son únicas de mensaje a mensaje, pero estos elementos básicos estarán presentes en cada encabezado de firma DKIM.

¿Cómo se relaciona con SPF, DMARC u otros estándares?

DKIM, SPF y DMARC son estándares que habilitan diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.

• SPF permite a los remitentes definir qué direcciones IP están autorizadas a enviar correos para un dominio particular.

• DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no fue falsificado ni alterado.

• DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios de dominios declarar cómo les gustaría que se manejara el correo de ese dominio si falla en una prueba de autorización.

¿Necesito DKIM?

Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico es realmente de ti o de tu negocio. Configurar correctamente los estándares de autenticación de correo electrónico es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega. Sin embargo, por sí solo solo llega hasta cierto punto; SparkPost y otros expertos en correo electrónico recomiendan también implementar SPF y DMARC para definir una política de autenticación de correo electrónico más completa.