DomainKeys Identified Mail, o DKIM, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correos electrónicos contra el spam, suplantación de identidad (spoofing) y phishing.  Es una forma de autenticación de correo electrónico que permite a una organización reclamar responsabilidad por un mensaje de una manera que puede ser validada por el receptor.

Específicamente, utiliza un enfoque llamado "criptografía de clave pública" para verificar que un mensaje de correo electrónico fue enviado desde un servidor de correo autorizado, con el fin de detectar falsificaciones y prevenir la entrega de correos dañinos como el spam. Complementa SMTP, el protocolo básico utilizado para enviar correos, porque no incluye por sí mismo ningún mecanismo de autenticación.

¿Cómo funciona?

Funciona añadiendo una firma digital a los encabezados de un mensaje de correo electrónico. Esa firma puede ser validada contra una clave criptográfica pública en los registros del Sistema de Nombres de Dominio (DNS) de la organización. En términos generales, el proceso funciona así:

Un propietario de dominio publica una clave pública criptográfica como un registro TXT especialmente formateado en los registros generales de DNS del dominio.

Cuando un mensaje de correo es enviado por un servidor de correo saliente, el servidor genera y adjunta un encabezado de firma DKIM único al mensaje. Este encabezado incluye dos hashes criptográficos, uno de los encabezados especificados, y otro del cuerpo del mensaje (o parte de él). El encabezado contiene información sobre cómo se generó la firma.

Cuando un servidor de correo entrante recibe un email, busca la clave pública DKIM del remitente en DNS. El servidor entrante utiliza esta clave para desencriptar la firma y compararla con una versión recién calculada. Si los dos valores coinciden, se puede probar que el mensaje es auténtico y no ha sido alterado durante el tránsito.

¿Qué es una firma DKIM?

Una firma DKIM es un encabezado añadido a los mensajes de correo electrónico. El encabezado contiene valores que permiten a un servidor de correo receptor validar el mensaje de correo buscando la clave DKIM del remitente y usándola para verificar la firma encriptada. Se parece a algo como esto:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un encabezado de firma DKIM contiene mucha información, ya que está destinado al procesamiento automatizado. Como puedes ver en este ejemplo, el encabezado contiene una lista de partes tag=valor. Las etiquetas notables incluyen "d=" para el dominio de firma, "b=" para la firma digital real, y "bh=" para un hash que se puede verificar recalculando usando la clave pública del remitente.

Las firmas son por definición únicas de mensaje a mensaje, pero estos elementos básicos estarán presentes en cada encabezado de firma DKIM.

¿Cómo se relaciona con SPF, DMARC u otros estándares?

DKIM, SPF y DMARC son todos estándares que habilitan diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.

• SPF permite a los remitentes definir qué direcciones IP están autorizadas a enviar correo para un dominio en particular.

• DKIM proporciona una clave de encriptación y una firma digital que verifica que un mensaje de correo electrónico no fue falsificado o alterado.

• DMARC unifica los mecanismos de autenticación de SPF y DKIM en un marco común y permite a los propietarios de dominios declarar cómo les gustaría que el correo electrónico de ese dominio sea manejado si falla una prueba de autorización.

¿Necesito DKIM?

Si eres una empresa que envía correo comercial o transaccional, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico realmente proviene de ti o de tu negocio. Configurar adecuadamente los estándares de autenticación de correo electrónico es uno de los pasos más importantes que puedes tomar para mejorar tu capacidad de entrega. Sin embargo, por sí solo solo llega hasta cierto punto; SparkPost y otros expertos en correo electrónico recomiendan también implementar SPF y DMARC para definir una política de autenticación de correo electrónico más completa.