Mimecast Logo
Obtenga una cotización

    Cómo configurar un registro DKIM

    Aprenda a configurar DKIM haciendo coincidir su selector, registro DNS y plataforma de envío. Una configuración adecuada ayuda a garantizar la autenticación del correo electrónico y a mejorar la capacidad de entrega.
    Programe una demostración
    Cómo configurar DKIM
    Programe una demostración
    Puntos clave

    Qué aprenderá en este artículo

    • Aprender a configurar DKIM empieza por identificar el sistema que realmente envía su correo electrónico saliente, ya que un firmante incorrecto puede romper la autenticación DKIM.
    • Un registro DKIM que funcione depende de que tres cosas coincidan correctamente: el selector DKIM, la clave pública publicada por el DNS y la plataforma que realiza la firma DKIM.
    • La publicación de la entrada DNS por sí sola no es suficiente; también debe activar DKIM en la plataforma de envío y verificar que los mensajes en directo pasan.
    • DKIM es más eficaz cuando se combina con un registro SPF y un registro DMARC como parte de una estrategia más amplia de seguridad del correo electrónico.

    Si desea una autenticación de correo electrónico más sólida, DKIM es uno de los controles más importantes que debe configurar correctamente. Ayuda a a demostrar que un mensaje de correo electrónico procede del dominio reivindicado y no ha sido alterado en tránsito, lo que favorece la confianza, la entregabilidad de y la protección contra la suplantación de identidad del correo electrónico. 

    Qué es DKIM y cómo funciona

    DKIM, o Domain Keys Identified Mail, es un método de autenticación utilizado para verificar que un mensaje ha sido autorizado por el dominio remitente y que no ha sido manipulado después de su envío. No encripta el mensaje. En su lugar, añade una firma DKIM a la cabecera del correo electrónico.

    DKIM tiene cuatro componentes clave:

    • Firma: se añade a la cabecera del mensaje
    • Clave pública: publicada en DNS como un registro TXT o, en algunas plataformas, a través de un registro CNAME delegado.
    • Verificación: el sistema receptor coteja la firma con la clave publicada por el DNS
    • Resultado: el mensaje pasa la autenticación DKIM

    Una vez colocadas esas piezas, el siguiente paso es asegurarse de que están configuradas correctamente en su propio entorno. La configuración de un registro DKIM suele seguir los pasos que se indican a continuación.

    1. Evalúe su entorno de correo electrónico antes de crear un registro DKIM

    Antes de realizar cualquier cambio en los DNS, audite su flujo de correo saliente. Muchas organizaciones envían correo electrónico desde más de un sistema, como Microsoft 365, Google Workspace, un CRM, una plataforma de tickets u otro proveedor de servicios de correo electrónico. Algunos también enrutan el correo a través de una pasarela o relé seguro. 

    En la práctica, la configuración puede variar según la plataforma, por lo que resulta útil tener en cuenta las diferencias desde el principio. especialmente si su entorno incluye la configuración de DKIM en Office 365 o necesita configurar DKIM en Google Workspace como parte del despliegue.

    El primer objetivo es identificar qué sistema debe firmar el correo saliente. En la mayoría de los casos, el firmante DKIM debe ser la plataforma que realmente envía el mensaje al destinatario. Si otro servidor de correo o pasarela segura modifica el mensaje después de firmarlo, la firma puede fallar aunque el DNS sea correcto. 

    Esta es una de las causas más comunes de que se rompa la configuración de DKIM en los entornos más grandes. Si gestiona varios dominios o un dominio personalizado de con varios servicios de envío, documéntelos todos antes de empezar.

    2. Reúna los requisitos previos para la configuración de DKIM

    Antes de configurar DKIM, confirme el acceso a los sistemas implicados. Normalmente necesitará:

    • Acceso de administrador a la plataforma de envío que gestiona la clave DKIM
    • Acceso al proveedor de DNS o al registrador de dominios que aloja los DNS del dominio
    • El dominio de envío
    • El selector DKIM
    • El tipo de registro y el valor que proporciona la plataforma

    Algunos proveedores le piden que genere claves DKIM en la consola de administración. Otros crean automáticamente el par de claves y simplemente le pide que publique el valor DNS. De cualquier forma, capture el nombre de host y el valor exactamente como se muestra. Un pequeño error tipográfico en el selector , el host o el valor de la clave puede romper toda la configuración DKIM. 

    También ayuda documentar su estado actual de registro SPF y registro DMARC , ya que DKIM funciona mejor cuando las tres capas de autenticación están alineadas. Vea cómo Mimecast DMARC Analyzer puede simplificar la supervisión, la elaboración de informes y la aplicación de las normas en todos sus dominios.

    Comprobador SPF DKIM DMARC

    Las herramientas gratuitas de comprobación SPF, DKIM, BIMI y DMARC de Mimecast ofrecen a los equipos de seguridad y TI una forma rápida de comprobar la salud de los dominios e identificar errores de configuración.
    Compruébelo ahora

    3. Genere el par de claves DKIM en su plataforma de correo electrónico

    A continuación, cree o recupere los valores DKIM en su plataforma de envío. Las pantallas exactas varían, pero la mayoría de las plataformas exponen esto en los ajustes de administración de correo, seguridad o autenticación.

    En esta fase, céntrese en dos detalles: el selector DKIM y la clave pública o el valor del host delegado. El selector pasa a formar parte del nombre de host DNS, a menudo en un formato como:

    selector1._dominio.ejemplo.com

    Ese selector debe coincidir con el valor que la plataforma espera durante la firma DKIM. Si no lo hace, el sistema receptor no encontrará la clave correcta durante la búsqueda.

    Aquí es también donde las organizaciones pueden decidir si necesitan varios registros DKIM. Esto es válido siempre que cada remitente de utilice un selector diferente y los registros se gestionen de forma limpia.

    4. Publique el registro DKIM en DNS

    Ahora añada el registro DNS en el host DNS del dominio. En muchos casos, se trata de un registro TXT que contiene la clave pública. En otros casos, la plataforma puede requerir un registro CNAME que delegue DKIM al proveedor. Siga el formato exacto que le indique su plataforma .

    Un host válido suele incluir el selector más ._domainkey, y el valor contiene los parámetros DKIM y la información de la clave . Antes de guardar, compruebe cuidadosamente si:

    • Espacios adicionales
    • Cuerdas rotas
    • Comillas incorrectas
    • Publicar el registro en la zona DNS equivocada
    • Utilizar un tipo de registro incorrecto

    La mayoría de los proveedores le permiten mantener el TTL por defecto a menos que su organización tenga una política DNS específica. Espere también algún retraso mientras el registro se propaga por el sistema de nombres de dominio.

    5. Habilitar la firma DKIM en la plataforma de envío

    La publicación de la entrada DNS no completa el proceso. También debe activar DKIM en la plataforma de envío para que comience a firmar el correo electrónico saliente.

    La mayoría de las plataformas requieren que vuelva a la consola de administración después de que el DNS esté activo y active la firma para ese dominio. Sin este paso, el registro DKIM puede existir en DNS mientras que los mensajes reales permanecen sin firmar.

    Este es también el punto en el que importan el enrutamiento y la política. Si un relé, pasarela segura o regla de transporte cambia el cuerpo o las cabeceras clave después de firmar, la firma puede fallar. Por eso es importante alinear al firmante con el punto de envío final real . 

    6. Pruebe y verifique que DKIM funciona correctamente

    Tras la activación, verifique el comportamiento tanto del DNS como de los mensajes en directo. En primer lugar, utilice una búsqueda DNS o DKIM record checker para confirmar que el selector se resuelve correctamente. 

    En segundo lugar, envíe un mensaje de prueba a un buzón externo e inspeccione las cabeceras del mensaje. Busque una DKIM-Signature en la cabecera del correo electrónico y un resultado de autenticación que muestre DKIM pass. Esta distinción es importante: la existencia de un registro en el DNS no garantiza que el correo real esté pasando realmente por DKIM.

    7. Solucionar problemas comunes de configuración de DKIM

    Si DKIM no funciona, empiece por comprobar los problemas de configuración más comunes:

    • El selector equivocado
    • Clave incompleta o malformada
    • Registro publicado en la zona DNS incorrecta
    • Tipo de registro incorrecto
    • La propagación del DNS no se ha completado del todo

    Compare la entrada DNS en vivo con los valores exactos generados por la plataforma de envío. Si la parte DNS es correcta, pase al flujo de correo. Los fallos en esa fase suelen deberse a que varios remitentes salientes utilizan el mismo dominio sin selectores coordinados. 

    También pueden deberse a herramientas de terceros que envían el correo sin autorización, a dispositivos de reenvío o de seguridad que reescriben el mensaje después de firmarlo, o a cambios de enrutamiento que eluden al firmante previsto.

    Por lo general, se trata de problemas operativos más que de simples errores de DNS, por lo que la configuración de DKIM debe tratarse como parte de un proceso más amplio de gobernanza y gestión del flujo de correo.

    8. Refuerce DKIM con SPF, DMARC y gobernanza continua

    DKIM funciona mejor como una capa de una estrategia anti-spoofing más amplia. DKIM firma el mensaje, SPF valida las fuentes de envío aprobadas y DMARC aplica políticas e informes cuando falla la autenticación. Juntos, apoyan una mayor validación del remitente y una mejor entregabilidad del correo electrónico .

    La gobernanza continua también importa. Una buena higiene incluye:

    • Supervisión de los fallos de autenticación
    • Revisión de remitentes no autorizados
    • Actualización de la documentación cuando cambian los remitentes
    • Rotar las llaves periódicamente
    • Revisión de las políticas en múltiples ámbitos

    A medida que los entornos se vuelven más complejos, DKIM debe gestionarse como un control continuo, no como una tarea puntual.

    Una configuración correcta de DKIM favorece la confianza y la autenticación

    Para saber cómo configurar DKIM, céntrese en lo esencial: identificar al firmante adecuado, reunir los detalles correctos del selector y de la clave , publicar la entrada DNS con precisión, habilitar la firma en la plataforma y verificar que pasan los mensajes reales. Si se hace correctamente, DKIM ayuda a proteger la integridad de los mensajes, reforzar la confianza en los dominios y mejorar la autenticación general del correo electrónico .

    Para las organizaciones que desean una validación más sencilla y una mejor visibilidad de DKIM, SPF y DMARC, Mimecast ofrece herramientas y servicios para simplificar la gestión.

    Pruebe nuestro comprobador de registros DKIM

    Recursos relacionados

    Resources_18.jpg
    Email Collaboration Threat Protection

    Get More from Microsoft 365 with Mimecast

    Infographic
    Resources_46.jpg
    Email Collaboration Threat Protection

    Email Security: API-Based Proof of Value

    Datasheet
    tumbnail_senata.png
    Email Collaboration Threat Protection

    How senata Took Back Control of Email Security with Mimecast

    Case Study
    Back to Top