DKIM – Seguridad en el correo electrónico (Segunda Parte)

Lectura Tiempo de lectura: 4 minutos.
Eduardo Taboada
11 de abril de 2023

Continuando con el artículo anterior de la seguridad en el correo electrónico SPF dentro de esta serie de artículos sobre la seguridad en el correo electrónico, hoy vamos a hablar del DKIM.

¿Qué es DKIM y que significa?

DKIM es el acrónimo de DomainKeys Identified Mail. Se basa al igual que vimos con el DNSSEC, en un sistema de clave criptográfica, que firma los mensajes de correo que se envían desde nuestro servidor.

Pongamos un ejemplo que todos conocemos. Cuando nos conectamos a una página web y nos aparece el «candidato» de que la página es segura, esto es porque hay un certificado que garantiza la autenticidad del dominio al que nos conectamos, es decir, la página es segura.

Al igual que ocurre con las páginas web, el certificado que genera DKIM, garantiza la autenticidad del correo, ya que se envía una parte del certificado (clave pública), junto con el mensaje, para que el servidor del destinatario compruebe la validez del correo que recibe.

Para ello, nuestro servidor de correo firma todos los mensajes de correo que se envían con una clave que el servidor de correo del destinatario comprueba.

La forma de conseguir esto es agregar, en nuestros registros DNS, una entrada con la información necesaria para que el servidor de correo destino pueda realizar esta comprobación.

Las firmas DKIM se agregan en un nuevo campo de encabezado que las hace “inocuas” para los usuarios cuyos clientes de correo no admiten DKIM, aunque hoy en día casi todos los clientes de correo lo soportan.

DKIM utiliza el Sistema de nombres de dominio como su infraestructura de clave pública, que es segura como ya hemos comentado en otras ocasiones, solo en combinación con DNSSEC.

Seguridad en el correo DKIM
Seguridad en el correo DKIM

Claves públicas DKIM

El panel de control de Tecnocrática, en las entradas DNS de un dominio, puede publicar varias claves públicas para que diferentes servidores puedan usar diferentes claves privadas para firmar, como por ejemplo si usamos varios servidores de correo como los de servicios de envío de mailing externos. La capacidad de publicar varias claves también es útil para introducir una nueva clave antes de revocar una antigua. Esta es una práctica recomendable a efectos de mejorar la seguridad en el envío de correo.

La gestión de toda esta infraestructura de claves, y las entradas DNS, se realiza de forma automatizada por el Panel de Tecnocrática, siendo por lo tanto tan sencillo como activar el DKIM para nuestro dominio y ya, el Panel, se encarga de todas las tareas necesarias para mantener las entradas DNS y firmar los correos salientes, ejecutando las acciones necesarias en los servidores de correo.

En la imagen podemos ver las opciones de seguridad para el correo que ofrece nuestro panel (DKIM Y DMARC). De DMARC hablaremos en una próxima entrega.

Opciones DKIM
DKIM - Seguridad en el correo electrónico (Segunda Parte) 4

Es conveniente, por lo tanto, rotar claves de vez en cuando para mejorar la seguridad en nuestro sistema de correo.

Cada clave pública se identifica mediante un Selector único dentro de su Dominio y se publica en un registro TXT en {Selector}._domainkey.{Domain}. El selector puede contener puntos, por lo que podemos tener diferentes claves DKIM si disponemos de varios servidores de correo, como por ejemplo si tenemos varias unidades administrativas (como por ejemplo: tecnico.midominio.com, spain.midominio.com, france.midominio.com, etc) o bien si usamos un servicio externo para enviar mailings o similar.

RegistroDNSDKIM
DKIM - Seguridad en el correo electrónico (Segunda Parte) 5

Tanto el Dominio como el Selector se incluyen en el campo de encabezado «DKIM-Signature» del correo, para que los servidores de destino puedan verificar y sepan cómo recuperar la clave pública adecuada de cada uno de los selectores que hemos comentado anteriormente. Si por ejemplo usamos un servicio para enviar correos masivos o mailings, cada servicio tendrá su clave pública.

Dado que esta clave pública utilizada para verificar una firma se recupera de la información DNS del dominio indicado, una firma DKIM válida autentíca este dominio y, por lo tanto, la autenticidad del correo electrónico.

Posts relacionados

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *