DomainKeys Identified Mail, o DKIM, es un estándar técnico que ayuda a proteger a los remitentes y destinatarios de correo electrónico contra el spam, el spoofing y el phishing. Es una forma de autenticación de correo electrónico que permite a una organización reclamar responsabilidad por un mensaje de una manera que puede ser validada por el destinatario.

Específicamente, utiliza un enfoque llamado “criptografía de clave pública” para verificar que un mensaje de correo electrónico fue enviado desde un servidor de correo autorizado, con el fin de detectar falsificaciones y prevenir la entrega de correos electrónicos dañinos como el spam. Complementa SMTP, el protocolo básico usado para enviar correo electrónico, ya que no incluye mecanismos de autenticación por sí mismo.

¿Cómo funciona?

Funciona añadiendo una firma digital a los encabezados de un mensaje de correo electrónico. Esa firma puede ser validada contra una clave criptográfica pública en los registros del Sistema de Nombres de Dominio (DNS) de la organización. En términos generales, el proceso funciona así:

Un propietario de dominio publica una clave pública criptográfica como un registro TXT especialmente formateado en los registros DNS generales del dominio.

Cuando un mensaje de correo es enviado por un servidor de correo saliente, el servidor genera y adjunta un encabezado de firma DKIM único al mensaje. Este encabezado incluye dos hashes criptográficos, uno de los encabezados especificados y otro del cuerpo del mensaje (o parte de él). El encabezado contiene información sobre cómo se generó la firma.

Cuando un servidor de correo entrante recibe un correo electrónico, busca la clave pública DKIM del remitente en el DNS. El servidor entrante utiliza esta clave para descifrar la firma y compararla con una versión calculada recientemente. Si los dos valores coinciden, se puede probar que el mensaje es auténtico y no ha sido alterado en tránsito.

¿Qué es una firma DKIM?

Una firma DKIM es un encabezado añadido a los mensajes de correo electrónico. El encabezado contiene valores que permiten a un servidor de correo receptor validar el mensaje de correo electrónico buscando la clave DKIM del remitente y usándola para verificar la firma cifrada. Se ve algo así:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Un encabezado de firma DKIM empaqueta una gran cantidad de información, ya que está destinado al procesamiento automático. Como puedes ver en este ejemplo, el encabezado contiene una lista de partes de etiqueta=valor. Las etiquetas notables incluyen “d=” para el dominio de firma, “b=” para la firma digital real, y “bh=” para un hash que puede ser verificado recalculando usando la clave pública del remitente.

Las firmas son, por definición, únicas de mensaje a mensaje, pero estos elementos básicos estarán presentes en cada encabezado de firma DKIM.

¿Cómo se relaciona con SPF, DMARC u otros estándares?

DKIM, SPF y DMARC son todos estándares que habilitan diferentes aspectos de la autenticación de correo electrónico. Abordan problemas complementarios.

• SPF permite a los remitentes definir qué direcciones IP están permitidas para enviar correos para un dominio particular.

• DKIM proporciona una clave de cifrado y una firma digital que verifica que un mensaje de correo electrónico no fue falsificado o alterado.

• DMARC unifica los mecanismos de autenticación SPF y DKIM en un marco común y permite a los propietarios de dominios declarar cómo les gustaría que los correos de ese dominio fueran manejados si fallan una prueba de autorización.

¿Necesito DKIM?

Si eres un negocio que envía correos electrónicos comerciales o transaccionales, definitivamente necesitas implementar una o más formas de autenticación de correo electrónico para verificar que un correo electrónico proviene realmente de ti o de tu negocio. Configurar correctamente los estándares de autenticación de correo electrónico es uno de los pasos más importantes que puedes tomar para mejorar tu entregabilidad. Sin embargo, por sí solo llega hasta cierto punto; SparkPost y otros expertos en correo electrónico recomiendan también implementar SPF y DMARC para definir una política de autenticación de correo electrónico más completa.