Qué aprenderá en este artículo
- La alineación DKIM es un requisito DMARC que comprueba la alineación del identificador entre el dominio del remitente y el dominio utilizado para la firma DKIM.
- El servidor receptor compara el dominio de la cabecera del correo electrónico con el dominio de firma de la cabecera de firma DKIM.
- La alineación relajada y la alineación DKIM estricta dependen del modo de alineación DMARC establecido en el registro DMARC.
- Los fallos de alineación son habituales en las organizaciones que utilizan varios dominios y plataformas SaaS para enviar correo electrónico.
- El comprobador de registros DKIM de Mimecast ayuda a validar los registros DNS DKIM, los selectores y las claves DKIM.
Muchas organizaciones despliegan DKIM y siguen encontrando DMARC fallos. En muchos casos, la firma en sí es válida, pero el dominio utilizado para la firma no coincide con el dominio del remitente visible para los destinatarios. DKIM verifica que un mensaje ha sido autorizado y no se ha modificado, mientras que DMARC vincula los resultados de autenticación de al dominio De.
La alineación DKIM realiza esa comprobación de identidad y ayuda a las organizaciones a mantener una autenticación coherente en varios dominios , entornos de correo híbridos y plataformas de envío de terceros.
¿Qué es la alineación DKIM?
La alineación DKIM es un requisito DMARC que verifica si el dominio utilizado en una firma DKIM coincide con el dominio que aparece en la dirección "De" de un correo electrónico.
DKIM (DomainKeys Identified Mail) añade una firma criptográfica a los mensajes salientes. Durante la firma DKIM, el sistema remitente adjunta una cabecera de firma DKIM que contiene un dominio de firma y un selector. La firma incluye dos identificadores clave:
- Dominio de firma (d=) - el dominio responsable de la firma
- Selector (s=) - el valor utilizado para localizar la clave pública DKIM en DNS
El selector apunta a un registro DKIM publicado en DNS. Algunas organizaciones publican la clave directamente, mientras que otras utilizan un registro CNAME de que resuelve a la infraestructura DNS alojada.
Alineación DKIM y aplicación DMARC
DMARC evalúa DKIM en dos etapas. La primera es la autenticación DKIM, que valida la firma utilizando la clave DKIM. La segunda es la alineación de dominios, que confirma que el dominio de firma coincide con el dominio de origen.
Esta comparación de identidades se denomina alineación de identificadores y está controlada por el modo de alineación DMARC. Se suelen utilizar dos modos de alineación :
- Alineación relajada: El dominio de firma puede ser un subdominio del dominio de origen si ambos pertenecen al mismo dominio organizativo .
- Alineación estricta: El dominio de firma debe coincidir exactamente con el dominio de origen.
Dado que DMARC evalúa tanto DKIM como SPF, las organizaciones suelen revisar conjuntamente la autenticación utilizando DKIM, SPF y DMARC para comprender cómo interactúan estos métodos.
Cómo funciona la alineación DKIM
Cuando un servidor de correo receptor realiza una comprobación DMARC, procesa primero DKIM. El servidor lee la cabecera de la firma DKIM y recupera la clave pública DKIM asociada al selector y al dominio de firma. Si la clave se almacena a través de una configuración delegada, el receptor puede seguir una referencia CNAME antes de recuperar el registro DKIM.
Tras la verificación DKIM, DMARC realiza la comprobación de alineación. El servidor compara el dominio From de la cabecera del correo electrónico con el dominio de firma DKIM (d=).
Si los dominios coinciden según el modo de alineación configurado, DKIM puede satisfacer la conformidad DMARC de. Si no coinciden, la autenticación DKIM puede tener éxito, pero DMARC registra un fallo de alineación.
Esta situación se produce a menudo cuando las organizaciones confían en plataformas de envío de terceros. Las aplicaciones SaaS, los sistemas de marketing o las herramientas de venta de entradas pueden firmar los mensajes utilizando su propio dominio en lugar del dominio de la organización.
Ejemplo de resultados de la alineación
Ejemplo 1: La alineación estricta tiene éxito
Una empresa envía una alerta desde alerts@example.com. El correo electrónico está firmado con d=ejemplo.com.
Dado que el dominio de firma coincide exactamente con el dominio De, tanto la verificación DKIM como la alineación de dominios pasan.
Ejemplo 2: La alineación relajada tiene éxito
Se envía un mensaje desde alerts@example.com, pero la firma DKIM utiliza d=mail.ejemplo.com.
Dado que la alineación relajada permite subdominios bajo el mismo dominio organizativo, la alineación de identificadores sigue teniendo éxito.
Ejemplo 3: Un remitente ajeno provoca un fallo de alineación
Una plataforma de marketing envía un correo electrónico desde news@example.com, pero firma el mensaje utilizando d=mailer.vendor.com.
Aunque la verificación DKIM tiene éxito, los dominios no se alinean, por lo que DMARC falla debido al fallo de alineación DKIM.
Ejemplo 4: La alineación estricta bloquea la firma de subdominios
Un mensaje de alerts@example.com está firmado con d=mail.ejemplo.com, mientras se aplica una alineación estricta.
Dado que la alineación estricta requiere una coincidencia exacta de dominio, la ruta DKIM falla para DMARC. Los equipos suelen validar la configuración de DNS mediante una comprobación de registros DKIM en.
Por qué la alineación DKIM es importante para la seguridad de las empresas
La alineación DKIM conecta los resultados de la autenticación con la identidad del remitente visible para los destinatarios. Sin la alineación, los atacantes de podrían firmar mensajes utilizando su propio dominio y haciéndose pasar por otra organización.
Este riesgo está estrechamente ligado a phishing y a los ataques de suplantación de dominios. Cuando se aplica la alineación a través de DMARC, las organizaciones reducen la probabilidad de que los mensajes falsificados de lleguen a las bandejas de entrada de los usuarios.
La alineación también afecta a la entregabilidad. Una vez aplicada una política DMARC en, los mensajes que no superen la autenticación podrán ser puestos en cuarentena o rechazados. En entornos con múltiples dominios y remitentes de terceros, la desalineación puede interrumpir el correo legítimo si las configuraciones son incoherentes.
Cómo solucionar los problemas de alineación DKIM
Resolver los problemas de alineación DKIM requiere visibilidad de los resultados de autenticación y de la infraestructura de envío. Los equipos de seguridad de suelen dar varios pasos:
Revisar los informes DMARC
Utilice DMARC reports para identificar qué remitentes están fallando en la alineación y si el fallo está relacionado con DKIM, SPF o ambos. Desglose los resultados por origen de envío y dominio De para poder aislar el flujo específico (aplicación, ESP, CRM, servicio de asistencia, etc.) que necesita cambios.
Confirme la configuración del registro DMARC
Compruebe el registro DMARC publicado y confirme los modos de alineación (adkim= y aspf=) además de la política (p=) y despliegue los controles como pct=. Asegúrese de que el registro que espera es el que realmente se devuelve en DNS para el dominio From en la pregunta .
Auditar registros DKIM
Verifique que todos los remitentes legítimos firman con DKIM y que el selector resuelve a una clave pública válida en DNS. Confirme que el valor d= de la firma DKIM se alinea con el dominio del remitente (o el dominio de la organización en caso de alineación relajada ), y rote/repare las claves en las que fallen las búsquedas o se rompan las firmas.
Normalizar las identidades de los remitentes de terceros
Para cada SaaS o servicio de correo electrónico externo, configure la firma DKIM para que utilice su dominio (o un subdominio alineado) en lugar de del dominio de firma predeterminado del proveedor. Si la plataforma admite rutas de retorno personalizadas y dominios de envío dedicados, alinee esas identidades para reducir el comportamiento de dominios mixtos.
Validar la alineación del SPF
Confirme que todas las IP de envío y los dominios de inclusión están autorizados en SPF y que el dominio utilizado para la evaluación SPF coincide con el dominio De. Para los remitentes de terceros, esto suele significar utilizando un dominio de rebote/retorno alineado en lugar del dominio compartido del proveedor.
Cómo ayuda Mimecast a reforzar la autenticación del correo electrónico
Las grandes organizaciones suelen gestionar varios dominios, plataformas de correo electrónico y remitentes de terceros. Mantener la autenticación en todos estos entornos requiere una supervisión y validación continuas.
Los equipos de seguridad pueden utilizar Mimecast DMARC Analyzer para revisar los registros DMARC, identificar las fuentes de envío y supervisar los resultados de autenticación en todos los dominios. Para la resolución de problemas de DKIM , MimecastDKIM Check ayuda a validar las firmas DKIM, confirmar la configuración DNS e identificar problemas relacionados con la firma DKIM y la alineación del dominio .
Mantener la alineación DKIM
La alineación DKIM es un componente básico de la autenticación DMARC porque vincula los resultados de la verificación DKIM a la identidad del remitente visible en la cabecera del correo electrónico. Cuando la alineación de los identificadores es coherente en todos los servicios de envío, las organizaciones refuerzan la aplicación del DMARC y reducen el riesgo de suplantación de dominios.
Mantener la alineación requiere una revisión periódica de los registros DNS, la configuración DKIM, la autorización SPF y la configuración de la política DMARC de. Herramientas como Mimecast DMARC Analyzer y Mimecast DKIM Check ayudan a los equipos a supervisar la autenticación e identificar los problemas de alineación antes de que afecten a la entregabilidad o a la seguridad.