DKIM y DMARC: qué son estos registros

En el mundo digital, la seguridad y la confianza son dos elementos fundamentales. Una manera de asegurar la seguridad y la autenticidad de los correos electrónicos es mediante la implementación de los registros DKIM y DMARC. Estos registros, junto con el registro SPF (Sender Policy Framework), ayudan a proteger a los usuarios de correos electrónicos de suplantaciones de identidad y fraudes. 

DKIM: qué es

DKIM significa DomainKeys Identified Mail, es un mecanismo de autenticación de correos electrónicos que ayuda a prevenir la suplantación de identidad. DKIM funciona mediante la creación de una firma digital en el encabezado del correo electrónico, que se compara con una clave pública almacenada en el DNS del dominio del remitente. Si la firma digital es válida, el correo electrónico se considera auténtico.

¿Cómo funciona DKIM?

Cuando un correo electrónico se envía, el servidor del remitente crea una firma digital que se incluye en el encabezado del mensaje. Esta firma incluye información sobre el contenido del mensaje y el dominio del remitente. La firma digital se calcula mediante una clave privada que solo el remitente conoce.

Tan pronto como llega al servidor del destinatario, se extrae la firma digital del encabezado y se utiliza la clave pública almacenada en el DNS del dominio del remitente para verificar la firma. Si la firma es válida, el correo electrónico se considera auténtico.

¿Cómo configurar DKIM?

Para configurar DKIM es necesario generar una clave pública y una clave privada. La clave privada se guarda en el servidor de correo del remitente, y la clave pública se guarda en el DNS del dominio del remitente. Algunos proveedores de correo electrónico, como Google, proporcionan herramientas para configurar DKIM automáticamente.

Este es el formato más común:

default._domainkey.tudominio.com

El selector DKIM, conocido como el prefijo «DEFAULT», puede tener un nombre distinto en función del servicio de correo electrónico utilizado. Por su parte, el prefijo «_DOMAINKEY» indica que el registro DNS es DKIM y siempre aparece después del selector DKIM.

v = DKIM1; k = rsa; p = PUBLICKEY

«PUBLICKEY» es una etiqueta que se utiliza como una especie de marcador de posición para hacer referencia a la verdadera clave pública que se utilizará en el proceso de autenticación.

• Además del registro TXT, es posible utilizar un registro CNAME para el registro DKIM. En este caso, el valor del registro DKIM es una dirección que apunta hacia un servidor donde los destinatarios pueden obtener la clave pública DKIM del dominio. La dirección del registro CNAME DKIM tiene un formato similar a este:

dkim.server.com

¿Cómo comprobar la configuración de DKIM?

Existen diversas herramientas en línea que permiten verificar la configuración de DKIM. Entre ellas se encuentran:

• DKIM Validator: una herramienta en línea que verifica si la firma digital del correo electrónico es válida. Podéis acceder desde aquí.
• DKIM Analyzer: una herramienta que verifica si el registro DKIM está configurado correctamente en el DNS del dominio del remitente. Podéis acceder desde aquí.
• Gmail Postmaster Tools: una herramienta que permite ver estadísticas sobre la autenticación de correos electrónicos enviados a través de Gmail. Podéis acceder desde aquí.

DMARC qué es

DMARC significa Domain-based Message Authentication, Reporting and Conformance. DMARC es un mecanismo que utiliza los registros SPF y DKIM para proporcionar una política de autenticación de correo electrónico a los destinatarios. DMARC ayuda a prevenir la suplantación de identidad y a mejorar la entrega del correo electrónico.

¿Cómo funciona DMARC?

Cuando un servidor de correo electrónico recibe un mensaje que contiene un registro DMARC, verifica si el mensaje cumple con las políticas de autenticación de correo electrónico establecidas en el registro DMARC. Si el mensaje no cumple con las políticas establecidas, el servidor puede tomar diversas acciones, como rechazar el mensaje o enviarlo a una carpeta de spam.

¿Cómo configurar y verificar un registro DMARC?

Para configurar un registro DMARC, es necesario crear un registro TXT en el DNS del dominio del remitente con las políticas de autenticación que se desean establecer. Estas políticas incluyen la política de acción a tomar si un mensaje no cumple con los requisitos de autenticación, como «none» (no tomar ninguna acción), «quarantine» (marcar el mensaje como spam) o «reject» (rechazar el mensaje).

Una vez configurado el registro DMARC, se puede utilizar una herramienta de verificación en línea, como DMARC Analyzer, para comprobar que el registro DMARC esté correctamente configurado y que los mensajes se autentiquen correctamente.

La sintaxis del registro DMARC sigue la siguiente estructura:

v=DMARC1; p=política; rua=URI; ruf=URI; pct=porcentaje; fo=opciones;

Donde:

• «v=DMARC1» indica la versión del protocolo DMARC utilizado.
• «p» indica la política de acción que se debe tomar cuando un mensaje no pasa la autenticación (none, quarantine o reject).
• «rua» es la dirección de correo electrónico donde se deben enviar los informes de agregación de datos de DMARC.
• «ruf» es la dirección de correo electrónico donde se deben enviar los informes de fallos de autenticación de DMARC.
• «pct» indica el porcentaje de mensajes de correo electrónico que deben ser evaluados según la política DMARC.
• «fo» son las opciones de reporte de DMARC para indicar qué información se incluye en los informes de DMARC.

¿Cuándo y cómo usar DMARC, DKIM o SPF?

SPF, DKIM y DMARC son herramientas de autenticación de correo electrónico que pueden utilizarse juntas o individualmente para mejorar la autenticidad y la seguridad del correo electrónico.

• SPF es la forma más antigua y sencilla de autenticación de correo electrónico. Es fácil de configurar y ayuda a prevenir la suplantación de identidad mediante la verificación del servidor de correo electrónico que envía el mensaje. En este artículo aprenderás a activar el registro SPF.
• DKIM es un método más avanzado que también verifica la autenticidad del contenido del mensaje. Es más complicado de configurar que SPF, pero proporciona una mayor seguridad contra la suplantación de identidad. Te explicamos cómo activar DKIM.
• DMARC utiliza tanto SPF como DKIM para proporcionar una política de autenticación de correo electrónico. Con DMARC, los remitentes pueden establecer políticas de acción para los mensajes que no cumplan con los requisitos de autenticación. Aquí encontrarás cómo activar DMARC.

En general, se recomienda utilizar DKIM y DMARC junto con SPF para proporcionar una protección completa contra la suplantación de identidad y mejorar la entrega del correo electrónico.

Publicado el 04/04/2024 por:

Fernán García de Zúñiga

Desarrollador web, crea y mantiene los sitios web de Arsys. También idea herramientas internas que facilitan y mejoran los procesos. Es experto en desarrollo FrontEnd y en la optimización del rendimiento web, áreas en las que constantemente busca innovar para ofrecer la mejor experiencia online.