¿Qué es DKIM?

Puntos clave

Qué aprenderá en este artículo

DKIM garantiza la autenticidad del correo electrónico con firmas digitales, mejorando la seguridad. Cuando se combinan con DMARC y SPF, los dominios pueden mitigar eficazmente las ciberamenazas.

DKIM emplea firmas digitales para validar la autenticidad e integridad del correo electrónico, mejorando las medidas de seguridad.
Los registros DKIM, almacenados en DNS, contienen claves públicas cruciales para la autenticación del correo electrónico, lo que facilita una implementación eficaz.
La combinación de DKIM con DMARC verifica las direcciones de los remitentes, lo que reduce los riesgos de suplantación de identidad y mejora la seguridad general del correo electrónico.

DKIM explicado

DKIM, o DomainKeys Identified Mail, es un método de autenticación de correo electrónico que utiliza una firma digital para que el receptor de un correo electrónico sepa que el mensaje ha sido enviado y autorizado por el propietario de un dominio.

Una vez que el receptor determina que un correo electrónico está firmado con una firma DKIM válida, se puede confirmar que el contenido del correo electrónico no ha sido modificado. En la mayoría de los casos, las firmas DKIM no son visibles para los usuarios finales, la validación se realiza a nivel de servidor. Si DKIM se utiliza junto con DMARC o SPF, puede proteger su dominio contra correos electrónicos maliciosos enviados desde dominios que suplantan la identidad de su marca.

¿Qué es un registro DKIM?

En pocas palabras, un registro DKIM es una línea de texto dentro del registro DNS que contiene la clave pública que los servidores de correo receptores pueden utilizar para autenticar la firma DKIM.

Dado que la suplantación de correos electrónicos de dominios de confianza se está convirtiendo en una ciberamenaza cada vez más rampante, es importante que compruebe primero su registro DKIM para comenzar su implementación DKIM. Se recomienda que añada un registro DKIM a su DNS siempre que sea posible para autenticar el correo electrónico de su dominio.

¿Sabe quién envía correos electrónicos en nombre de su dominio y marca? Póngase en marcha con DKIM y DMARC para asegurarse de que su marca no está siendo explotada por los ciberdelincuentes.

¿Qué es una comprobación de registros DKIM?

Una comprobación de registros DKIM es una herramienta que comprueba el nombre de dominio y el selector para un registro DKIM válido publicado. Mimecast ofrece un comprobador de registros DKIM gratuito que puede validar los registros DKIM. Mimecast también ofrece un validador SPF gratuito y comprobaciones de registros DMARC gratuitas.

Comience su viaje DKIM y DMARC comprobando primero su registro DKIM.

Utilizar DKIM para evitar la suplantación de identidad del correo electrónico

El protocolo DKIM utiliza una firma criptográfica -una cabecera cifrada que se añade al mensaje- para verificar que el correo electrónico es auténtico y que no ha sido modificado en tránsito. El receptor utiliza una clave pública que se encuentra en el registro DKIM del DNS del dominio para descifrar la firma DKIM y autenticar el mensaje.

Aunque el protocolo es útil, DKIM por sí solo no es una forma garantizada de prevenir los ataques de suplantación de identidad. La información DKIM no es visible para un usuario no técnico y no hace nada ante la posibilidad de que el remitente esté falsificando la dirección "de" en el correo electrónico, la única información que ve la mayoría de los usuarios. Las claves privadas utilizadas para firmar mensajes con DKIM pueden ser robadas por piratas informáticos. Y la gestión de las claves públicas puede ser una carga que lleve mucho tiempo a los equipos de seguridad del correo electrónico.

DMARC, o Domain-based Message Authentication Reporting & Compliance, se basa en el protocolo DKIM, así como en el protocolo Sender Policy Framework (SPF) para proporcionar una capa de defensa más sólida contra la suplantación de identidad en el correo electrónico. DMARC garantiza que la dirección "visible desde" coincide con la dirección IP subyacente para evitar la suplantación de identidad. Para pasar las comprobaciones DMARC, un mensaje necesita pasar la autenticación DKIM y/o la autenticación SPF. La aplicación DMARC Analyzer proporciona además instrucciones sobre cómo deben tratarse los correos electrónicos que no han superado las comprobaciones DMARC.

El protocolo DMARC puede minimizar significativamente los daños que los atacantes pueden causar mediante ataques de suplantación de identidad y/o phishing. Sin embargo, puede llevar mucho tiempo y resultar difícil implantar DMARC sin herramientas superiores y ayuda cualificada. Por eso, cada vez más organizaciones recurren a Mimecast cuando buscan implantar DMARC con el mínimo esfuerzo y demora.

Mimecast DMARC Analyzer: Un camino más rápido hacia la autenticación

Mimecast DMARC Analyzer le proporciona las herramientas y los recursos que necesita para implantar DMARC de forma rápida y sencilla, minimizando al mismo tiempo los costes, los riesgos y el esfuerzo. DMARC Analyzer sirve de guía experta, proporcionando un software de análisis que permite publicar su política de rechazo en el menor tiempo posible. Esta solución de Mimecast ofrece una visión completa de sus canales de correo electrónico para asegurarse de que el correo legítimo no se bloquea, y proporciona alertas, informes y gráficos que simplifican la tarea de supervisar el rendimiento y aplicar la autenticación.

Con Mimecast DMARC Analyzer, podrá:

Detecte y bloquee a los atacantes realizando una comprobación DMARC para determinar si el correo electrónico intenta suplantar a clientes, empleados y otras partes.
Obtenga una visibilidad y gobernanza de 360° en todos los canales de correo electrónico.
Implemente la política DMARC en la pasarela con herramientas de inteligencia de correo electrónico de autoservicio.
Aloje y gestione registros SPF.
Evite la limitación de búsqueda de 10 SPF.
Ahorre tiempo y dinero con una solución 100% basada en SaaS.
Acceda a alertas, informes y gráficos fáciles de usar que le ayudarán a lograr el cumplimiento de la normativa y a supervisar el rendimiento.

DMARC Analyzer: características principales

DMARC Analyzer simplifica la implantación de DMARC con un enfoque paso a paso y herramientas de autoservicio que permiten pasar más rápidamente a la aplicación de DMARC. DMARC Analyzer ofrece:

Usuarios, dominios y grupos de dominios ilimitados, lo que permite a los administradores garantizar una cobertura total.
Asistente de configuración para registros DMARC.
Informes forenses que simplifican la tarea de identificar y rastrear las fuentes del correo electrónico malicioso.
Informes resumidos diarios y semanales que permiten a los administradores realizar un seguimiento del progreso a lo largo del tiempo.
Herramientas para supervisar los cambios en el DNS y recibir alertas cuando se modifique un registro.
Informes y gráficos agregados de fácil manejo que permiten un análisis más sencillo y una aplicación más rápida de la política DMARC.
Seguridad mejorada basada en la autenticación de dos factores.
Validadores para registros DMARC, SPF y DKIM.
Servicios gestionados (opcionales) que permiten a las organizaciones minimizar los riesgos al tiempo que pasan a aplicar DMARC en el menor tiempo posible.

¿Cómo crear/configurar DKIM?

La firma DKIM es generada por el MTA (Agente de Transferencia de Correo). Crea una cadena única de caracteres llamada Valor Hash. Este valor hash se almacena en el dominio listado. Tras recibir el correo electrónico, el receptor puede verificar la firma DKIM utilizando la clave pública registrada en el DNS. Utiliza esa clave para descifrar el valor hash de la cabecera y recalcular el valor hash del correo electrónico que ha recibido. Si estas dos firmas DKIM coinciden, el receptor del correo electrónico sabe que éste no ha sido alterado.

¿Cuál es la diferencia entre DKIM y SPF?

SPF es, al igual que DKIM, una técnica de autenticación de correo electrónico que puede utilizarse utilizando el DNS (Servicio de Nombres de Dominio). DKIM ofrece la posibilidad de especificar a qué servidores de correo electrónico se les permite enviar correo electrónico en nombre del dominio de una organización. La autenticación de remitentes legítimos con SPF ofrece al receptor (sistemas receptores) información sobre la fiabilidad del origen de un correo electrónico.

La diferencia entre SPF y DKIM es que la técnica de autenticación de correo electrónico DKIM permite al receptor comprobar que un correo electrónico ha sido efectivamente enviado y autorizado por el propietario de ese dominio. Esto se hace añadiendo una firma digital DKIM en los correos electrónicos. Una firma DKIM es una cabecera que se añade al mensaje y se asegura con encriptación.

¿Cómo mejora DKIM la entregabilidad?

DKIM es una técnica de autenticación de correo electrónico similar a SPF. DKIM permite al receptor comprobar que un correo electrónico ha sido efectivamente enviado y autorizado por el propietario de ese dominio. Esto se hace añadiendo una firma digital DKIM en los correos electrónicos. Una firma DKIM es una cabecera que se añade a un mensaje y se asegura con encriptación.

La autenticación de fuentes de envío legítimas con DKIM proporciona al receptor (sistemas receptores) información sobre la fiabilidad del origen de un correo electrónico, y puede mejorar significativamente la entregabilidad general de un canal de correo electrónico.&#x2028

En la práctica, DKIM por sí solo no es suficiente para proteger completamente un canal de correo electrónico. El sistema de validación de correo electrónico DMARC suele ser obligatorio y necesario para el cumplimiento de la normativa, ya que crea un vínculo entre SPF y DKIM al validar si una fuente de envío ha sido autenticada con SPF o DKIM.

Además, DMARC permite a las organizaciones dar instrucciones a servicios de correo electrónico como Gmail, Hotmail y otros para que rechacen todos los correos electrónicos que no estén alineados con SPF y/o DKIM.

¿Cómo implemento DKIM a mi dominio?

Antes de establecer una firma DKIM, el remitente debe decidir qué elementos del correo electrónico deben incluirse en la firma DKIM. Normalmente, se trata del cuerpo del mensaje y algunas cabeceras predeterminadas. Este comportamiento no puede modificarse. Una vez decididos, estos elementos de la firma DKIM deben permanecer inalterados o la validación DKIM fallará.

La firma DKIM se generará en una cadena textual única, el "valor hash". Antes de enviar el correo electrónico, el valor hash se cifra con una clave privada, la firma DKIM. Sólo el remitente tiene acceso a esta clave privada. Cuando se encripta el correo electrónico, éste se envía con esta firma DKIM.

¿Puedo tener varios registros DKIM?

Disponer de la posibilidad de incluir varios registros DKIM en un único dominio es necesario cuando una organización utiliza varios servidores diferentes para enviar correo electrónico en nombre de su nombre de dominio o para utilizar la "rotación de claves DKIM" con el fin de eliminar el riesgo de que las claves DKIM estén comprendidas.