¿Qué es
DKIM?
DKIM (DomainKeys Identified Mail) es un protocolo criptográfico de autenticación de correo que agrega una firma digital a los mensajes salientes, permitiendo a los receptores verificar que el correo proviene genuinamente del dominio declarado y no ha sido alterado en tránsito.
Verificación criptográfica en tres pasos
DKIM usa criptografía de clave pública para demostrar que un mensaje de correo fue enviado por el dominio que declara y no fue modificado después del envío.
El remitente firma
Cuando su servidor de correo envía un correo, crea un hash de encabezados seleccionados y el cuerpo del mensaje, cifra el hash con una clave privada y adjunta el resultado como el encabezado DKIM-Signature.
El mensaje viaja
El correo firmado atraviesa internet. Debido a que la firma DKIM es parte del encabezado del mensaje, viaja con el correo a través de cualquier número de servidores intermedios y reenviadores.
El receptor verifica
El servidor receptor lee el encabezado DKIM-Signature, obtiene la clave pública de DNS en selector._domainkey.sudominio.com, descifra el hash, lo recalcula y compara. Si coinciden, DKIM pasa.
Cómo se ve un registro
DKIM en DNS
Un registro DKIM es un registro DNS TXT publicado en selector._domainkey.sudominio.com. Contiene la clave pública que los receptores usan para verificar la firma DKIM adjunta a sus mensajes salientes.
- El selector es elegido por su proveedor de correo (ej., google, selector1)
- La clave pública está codificada en Base64 y puede ser de 1024 o 2048 bits
- NIST recomienda claves RSA de 2048 bits como mínimo para seguridad
- Las claves Ed25519 son más pequeñas y rápidas pero aún no tienen soporte universal
selector1._domainkey.ejemplo.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."
v=DKIM1 k=rsa p=MIGf... Cómo los selectores identifican qué clave usar
Un selector DKIM es una cadena en el encabezado DKIM-Signature (la etiqueta s=) que indica al receptor qué registro DNS contiene la clave pública. Cada servicio de correo usa su propio selector, permitiendo que un dominio tenga múltiples claves DKIM activas simultáneamente.
google google._domainkey.ejemplo.com selector1, selector2 selector1._domainkey.ejemplo.com s1, s2 s1._domainkey.ejemplo.com k1 k1._domainkey.ejemplo.com personalizado (CNAME) xxxxxxx._domainkey.ejemplo.com 20230601xxxxx CNAME a dkim.postmarkapp.com DKIM vs SPF vs DMARC
Los tres protocolos trabajan juntos para proporcionar autenticación de correo en capas. Cada uno protege contra diferentes vectores de ataque.
Problemas comunes de DKIM y cómo solucionarlos
Los fallos de DKIM generalmente se deben a la gestión de claves, la configuración de DNS o la modificación del mensaje por intermediarios.
Firma no coincide
La clave privada usada para firmar no coincide con la clave pública en DNS. Generalmente causado por rotación de claves incompleta o publicación de la clave incorrecta. Verifique con una herramienta de búsqueda DKIM.
Brechas en rotación de claves
La clave antigua fue eliminada de DNS antes de que todos los mensajes firmados con ella hayan sido entregados y verificados. Siempre publique la nueva clave primero, espere al menos 48 horas, luego elimine la antigua.
El reenvío rompe la firma
Las listas de correo y reenviadores que modifican encabezados o contenido del cuerpo invalidan la firma DKIM. ARC (Authenticated Received Chain) ayuda, pero su adopción aún está creciendo.
Registro DNS demasiado largo
Algunos proveedores de DNS dividen incorrectamente los registros TXT largos. Las claves públicas DKIM, especialmente RSA de 2048 bits, pueden exceder 255 caracteres y deben concatenarse correctamente en múltiples cadenas.
Registro DKIM faltante
El registro DNS TXT nunca fue publicado, fue eliminado accidentalmente o está en la ubicación de selector incorrecta. Verifique que el registro existe en selector._domainkey.sudominio.com.
Firma expirada
La etiqueta x= en el encabezado DKIM-Signature establece una marca de tiempo de expiración. Si el mensaje se verifica después de esta marca de tiempo, DKIM falla. Común con entregas retrasadas o mensajes en cola.
Preguntas frecuentes sobre DKIM
¿Qué es DKIM?
DKIM (DomainKeys Identified Mail) es un protocolo criptográfico de autenticación de correo electrónico definido en RFC 6376 que agrega una firma digital a los mensajes salientes. El servidor receptor usa la firma para verificar dos cosas: que el correo proviene genuinamente del dominio que afirma y que el contenido del mensaje no ha sido alterado en tránsito. A diferencia de SPF, que verifica la IP del servidor de envío, DKIM firma el contenido real del mensaje, haciéndolo el método de autenticación más confiable para correo reenviado.
¿Cómo funciona DKIM?
DKIM funciona en tres pasos. Primero, el servidor de correo emisor crea un hash de encabezados seleccionados y el cuerpo del mensaje, luego cifra ese hash con una clave privada almacenada en el servidor. El hash cifrado se convierte en el encabezado DKIM-Signature adjunto al correo. Segundo, el propietario del dominio publica la clave pública correspondiente como un registro DNS TXT en selector._domainkey.sudominio.com. Tercero, cuando el correo llega, el servidor receptor obtiene la clave pública de DNS, descifra el hash, recalcula el hash del mensaje recibido y compara. Si coinciden, DKIM pasa.
¿Qué es un selector DKIM?
Un selector DKIM es una cadena que identifica qué clave pública usar al verificar una firma DKIM. Aparece en el encabezado DKIM-Signature como la etiqueta s= y en la ubicación del registro DNS como selector._domainkey.sudominio.com. Los selectores permiten que un dominio tenga múltiples claves DKIM activas simultáneamente, lo cual es esencial para la rotación de claves y para dominios que usan múltiples servicios de correo. Los selectores comunes incluyen google para Google Workspace, selector1 y selector2 para Microsoft 365, y s1 para SendGrid.
¿Cuál es la diferencia entre DKIM y SPF?
SPF (Sender Policy Framework) verifica que la dirección IP del servidor de envío está autorizada en el registro DNS del dominio. Verifica el remitente del sobre (Return-Path), no el encabezado From visible. DKIM verifica que el contenido del mensaje no fue alterado en tránsito adjuntando una firma criptográfica. La diferencia clave: SPF se rompe cuando el correo se reenvía porque la IP del reenviador no está en el registro SPF original, pero las firmas DKIM sobreviven al reenvío porque están adjuntas al mensaje mismo. DMARC une ambos requiriendo que SPF o DKIM pasen y se alineen con el dominio del encabezado From.
¿Por qué falla DKIM?
DKIM falla por varias razones: el encabezado DKIM-Signature o los encabezados firmados fueron modificados en tránsito (común con listas de correo que agregan pies de página o modifican la línea de Asunto), la clave pública en DNS no coincide con la clave privada usada para firmar (a menudo causado por rotación de claves incompleta), el registro DNS TXT falta o es inalcanzable, la firma ha expirado (la etiqueta x= en la firma especifica una marca de tiempo de expiración), o el cuerpo del mensaje fue alterado por un servidor intermediario. La modificación de contenido por software de listas de correo como Mailman y Google Groups es la causa más común de fallo DKIM.
¿Cómo encuentro mi selector DKIM?
Puede encontrar su selector DKIM examinando el encabezado DKIM-Signature en cualquier correo enviado desde su dominio. Abra los encabezados del correo (en Gmail, haga clic en los tres puntos y seleccione Mostrar original) y busque la etiqueta s= en el encabezado DKIM-Signature. El valor de s= es su selector. Alternativamente, use la herramienta de búsqueda DKIM de DMARC Report en dmarcreport.com/tools/dkim-lookup/ para descubrir todos los selectores publicados para su dominio.
¿Con qué frecuencia debo rotar las claves DKIM?
La mejor práctica es rotar las claves DKIM cada 6 a 12 meses para claves RSA y anualmente para claves Ed25519. NIST recomienda claves RSA de 2048 bits como mínimo. La rotación de claves implica generar un nuevo par de claves, publicar la nueva clave pública bajo un nuevo selector, configurar su servidor de correo para firmar con la nueva clave y eliminar la clave pública antigua de DNS después de un período de gracia. Los selectores hacen que este proceso sea fluido porque las claves antigua y nueva pueden coexistir durante la transición.
Descubra sus selectores DKIM
Use nuestra herramienta gratuita de búsqueda DKIM para encontrar todas las claves DKIM publicadas para su dominio y verificar que estén configuradas correctamente.
Verificar registro DKIMLo que dicen los equipos de seguridad sobre la supervisión DKIM
Rated 4.8/5 on G2 · 469 verified reviews
Verified User in Information Technology and Services
"Best security tool for your own domains"
The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.
Ryan C.
Director
"Control Centre for Email Security"
I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.
eddy g.
Director
"A great solution to a common email problem."
I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.