Errores de DKIM: tipos de errores y cómo solucionarlos

¿Qué significa un error de DKIM?

Un error de DKIM significa que el servidor receptor no ha podido validar la firma criptográfica adjunta a un correo electrónico. En el protocolo DomainKeys Identified Mail (), el sistema remitente firma partes del mensaje con una clave privada, y el servidor receptor comprueba dicha firma cotejándola con la clave pública publicada en el DNS.

El error suele producirse por una de estas dos razones: el mensaje ya no coincide con lo que se firmó originalmente, o el servidor receptor no puede recuperar ni validar la clave pública correcta. Cuando esto ocurre, el mensaje puede verse expuesto a un mayor riesgo de ser considerado spam , a una menor capacidad de entrega o incluso a un rechazo directo, incluyendo errores como «550 Fallo en la validación de DKIM».

Además, resulta útil diferenciar los errores de DKIM de otros resultados relacionados:

• Un error de DKIM significa que existe una firma DKIM, pero que no se valida.
• La ausencia de firma DKIM significa que el mensaje nunca se firmó.
• El fallo de DMARC es más amplio y depende de si DKIM o SPF superan la comprobación con la alineación adecuada.

Tipos de errores de DKIM

No todos los errores de DKIM se deben a la misma causa. Los tipos más habituales que se indican a continuación muestran en qué casos puede fallar DKIM y qué suele provocar cada problema.

Error en la sintaxis del registro DKIM

Un registro DKIM mal formado es una de las causas más directas del fallo de DKIM. Las cadenas incompletas, las etiquetas que faltan, los caracteres no válidos de o los errores de publicación pueden impedir que el servidor receptor lea correctamente la clave pública.

Error de alineación de la firma DKIM

Un mensaje puede superar la verificación DKIM y, aun así, generar un problema con DMARC si el dominio de firma no coincide con el dominio «From» visible en . En ese caso, DKIM se supera técnicamente, pero no cumple los requisitos de alineación de DMARC .

No se ha configurado DKIM para los servicios de terceros

Las herramientas de terceros suelen enviar correos electrónicos en nombre de un dominio, pero no todas están configuradas de forma predeterminad para la firma DKIM. Si dichos servicios no están configurados correctamente, sus flujos de correo podrían no superar la verificación DKIM o contribuir a problemas más generales de autenticación de .

Problemas en la comunicación con el servidor

Los problemas en la ruta de envío, la cadena de retransmisión o el entorno de recepción pueden interferir en el proceso de generación, transmisión o validación de la firma DKIM . Estos casos son menos evidentes que los errores de DNS, pero pueden afectar igualmente a la autenticación DKIM .

Modificaciones de los mensajes por parte de los MTA

Esta es una de las causas más habituales de los errores en la firma DKIM. Si un MTA, una pasarela, una herramienta de reenvío o una capa de seguridad modifica el cuerpo o los encabezados firmados tras la firma DKIM, es posible que la firma original ya no coincida con el mensaje.

Interrupción del servicio DNS o tiempo de inactividad del DNS

La verificación DKIM depende de la disponibilidad del DNS. Si el servidor receptor no puede recuperar la clave pública debido a un periodo de inactividad de DNS o a problemas de búsqueda, la validación DKIM puede fallar incluso aunque el correo electrónico se haya firmado correctamente.

Configuración incorrecta de OpenDKIM

Cuando se utiliza OpenDKIM, los errores de DKIM pueden deberse a discrepancias en los selectores, errores en la tabla de firma o referencias incorrectas al archivo de claves . Estos problemas de configuración suelen manifestarse como errores genéricos de DKIM, a menos que se revise detenidamente la configuración de la firma .

Identificadores de remitente incorrectos

La discrepancia entre el dominio firmado, el dominio «De» visible y la identidad del remitente puede provocar problemas de alineación y autenticación . Esto cobrará mayor importancia una vez que se haya implantado la aplicación de DMARC.

Claves caducadas o que faltan

Si la clave pública necesaria no figura en el DNS, se ha eliminado demasiado pronto o ya no coincide con la clave privada activa, la verificación DKIM fallará. Esto suele ocurrir cuando los cambios de clave son incompletos o cuando la sincronización del DNS no es la adecuada.

Mensajes de error habituales de DKIM

Los errores de DKIM suelen detectarse a través de resultados de autenticación específicos que aparecen en los encabezados de los mensajes o en los registros de correo. Los mensajes de error habituales que figuran a continuación pueden ayudarle a determinar si el problema está relacionado con el formato, la recuperación de claves o los cambios en los mensajes tras el inicio de sesión.

dkim=neutral (formato incorrecto)

Esto suele significar que existe un registro DKIM de tipo « » o una firma DKIM de tipo « », pero que la estructura presenta errores o es ilegible en el formato esperado. El problema suele estar en la sintaxis del registro DKIM , más que en el propio flujo de correo.

dkim=fallo (firma incorrecta)

Esto significa que el servidor receptor ha detectado una firma DKIM, pero la clave pública no ha podido validarla. Entre las causas más habituales de « » se incluyen modificaciones en el mensaje tras la firma, discrepancias en los selectores o discrepancias en las claves.

dkim=fail (No se ha verificado el hash del cuerpo de la firma DKIM)

Esto indica que hay una discrepancia en el hash del cuerpo del mensaje. En la mayoría de los casos, esto significa que el contenido del correo electrónico se modificó después de que se realizara la firma DKIM original .

dkim=fallo (no se ha encontrado la clave para la firma)

Esto significa que el servidor receptor no ha podido encontrar en el DNS una clave pública válida para el selector y el dominio indicados en la firma « ». La causa suele ser la falta de un registro TXT, una discrepancia en el selector o un retraso en la propagación del DNS.

Estos mensajes resultan útiles porque permiten delimitar el problema con mayor rapidez. Una vez que sepa si el problema se debe a la sintaxis, a la búsqueda de claves o a cambios en los mensajes tras la firma, el siguiente paso es solucionar la causa subyacente y asegurarse de que no vuelva a ocurrir.

Cómo solucionar los errores de DKIM y evitar que se produzcan

Para solucionar los errores de DKIM, normalmente es necesario revisar más de un aspecto del flujo de correo. Los siguientes pasos se centran en los casos más habituales en los que se producen fallos en DKIM y en los cambios prácticos que ayudan a evitar que se repitan los mismos problemas.

1. Verificar los registros DNS y la correspondencia de los selectores

Empiece por comprobar que la clave pública DKIM esté publicada en el DNS, sea accesible y esté vinculada al mismo selector que aparece en en el encabezado del correo electrónico. Si el selector que figura en el mensaje no coincide con el selector del DNS, la validación DKIM fallará.

2. Corregir los errores de sintaxis y formato

Reconstruya con cuidado los registros DKIM mal formados, en lugar de corregirlos a ciegas. Compruebe si hay errores de formato, truncamiento, etiquetas que falten y una ubicación incorrecta de los registros TXT. Los pequeños errores en el DNS pueden provocar problemas recurrentes con DKIM.

3. Validar el contenido del correo electrónico tras la firma

Una firma DKIM puede fallar incluso cuando la configuración de la clave es correcta si el mensaje sufre modificaciones tras la firma. Compruebe que ningún sistema posterior a modifique el cuerpo ni los encabezados firmados tras la aplicación de DKIM.

4. Revisión de las pasarelas y los servidores de retransmisión de correo electrónico

Las pasarelas, los servicios de reenvío, las herramientas de correo electrónico seguro y los MTA pueden reescribir partes de un mensaje. Al solucionar un error de DKIM en , compruebe toda la ruta de entrega y no solo el servidor de correo de origen.

5. Espere a que se produzca la propagación del DNS

Si ha actualizado el registro DKIM o ha cambiado de selector, espere a que se complete la propagación del DNS antes de volver a realizar la prueba. Un nuevo registro puede parecer que se ha dañado simplemente porque el cambio aún no es visible en todos los resolutores.

6. Auditoría de remitentes externos

Se debe revisar cada servicio externo que utilice su dominio. Compruebe que cada uno de ellos esté configurado para la firma DKIM, que utilice el dominio previsto y que sea compatible con el modelo de alineación exigido por su política DMARC.

7. Vuelva a comprobar la identidad y la alineación del remitente

Asegúrese de que el dominio de firma DKIM y el dominio «De» visible estén configurados para permitir una alineación válida. Una buena firma DKIM por sí sola no es suficiente si la relación entre dominios es incorrecta para la autenticación DMARC.

Buenas prácticas para evitar errores de DKIM

La reducción de los errores de DKIM a lo largo del tiempo depende de unos cuantos hábitos de mantenimiento constantes. Estas prácticas recomendadas ayudan a evitar que los problemas de firma, DNS y alineación de se conviertan en problemas recurrentes de autenticación.

• Rote las claves DKIM con regularidad para que las claves antiguas no permanezcan activas durante demasiado tiempo.
• Compruebe minuciosamente las configuraciones de DNS antes y después de cada cambio.
• Utilice estándares criptográficos sólidos y evite configuraciones de claves obsoletas.
• Evite que se produzcan cambios en el contenido tras la firma, situando la firma DKIM lo más al final posible de la ruta de entrega.
• Utilice TLS de forma sistemática durante la transmisión para reducir el riesgo de que se alteren los mensajes.
• Active los informes DMARC para que los problemas recurrentes de autenticación sean más fáciles de detectar a tiempo.

Estas prácticas no evitarán todos los problemas relacionados con DKIM, pero sí facilitan la prevención de fallos y agilizan su diagnóstico. Cuanto más sistemáticamente se apliquen, más estable será su configuración de autenticación de correo electrónico.

Repercusión del reenvío de correos electrónicos en DKIM y SPF

El reenvío de correos electrónicos puede afectar a , al SPF   y al DKIM de diferentes maneras. Comprender esa diferencia ayuda a explicar por qué un mensaje reenviado puede seguir siendo legítimo incluso cuando falla una de las comprobaciones de autenticación.

Cómo afecta el reenvío de correo electrónico al SPF

El SPF suele fallar tras el reenvío de un correo electrónico porque, por lo general, el servidor de reenvío no está autorizado en el registro SPF del remitente original . Es posible que el correo electrónico reenviado sea legítimo, pero el servidor receptor detecta una dirección IP de origen diferente a la que espera el SPF.

Cómo afecta el reenvío de correo electrónico a DKIM

El DKIM puede mantenerse intacto tras el reenvío de un correo electrónico si el mensaje no sufre modificaciones y la firma original permanece intacta. Sin embargo, si el servicio de reenvío modifica los encabezados o el contenido del cuerpo del mensaje, la verificación DKIM puede fallar, ya que el mensaje firmado ya no coincide con la firma original.

Por eso, el reenvío suele dar lugar a resultados de autenticación dispares. Es más probable que el SPF falle durante el reenvío, , mientras que el DKIM puede seguir funcionando si el mensaje no sufre modificaciones.

Cómo adelantarse a los fallos de DKIM

La mayoría de los errores de DKIM se deben a las mismas causas fundamentales: errores de DNS, modificación del mensaje tras la firma, claves que faltan o que no coinciden, y discrepancias de alineación. Para solucionarlos, suele ser necesario revisar todo el proceso, desde la firma DKIM hasta la publicación de la regla « » en el DNS y el comportamiento de la entrega posterior.

La validación y el seguimiento continuos son tan importantes como la corrección inicial. Para las organizaciones que gestionan múltiples dominios , remitentes externos y entornos de correo electrónico en capas, las capacidades de seguridad y autenticación del correo electrónico de Mimecast pueden ayudar a mejorar la visibilidad de DKIM, SPF y DMARC en todo el entorno de envío.