DKIM Explained (Español)

DKIM Explained (Español)

Spamming nuestras bandejas de entrada ha sido el pasatiempo preferido de los robots de spam desde que se creó el primer buzón de correo electrónico. Mientras molesto, la mayoría de estos mensajes son sólo inofensivo intentos para obtener interesado en algunos productos o servicios. Hemos aprendido a ignorarlos y con sofisticados filtros de spam en estos días apenas los notamos. Las cosas se ponen un poco más complicadas cuando un bot que se hace pasar por tu mejor amigo te envía correos electrónicos sobre un nuevo producto que acaba de encontrar. ¿Podrías resistirte a ver de qué habla?,

La firma DKIM, junto con otros métodos como SPF o DMARC, es uno de los métodos más comunes para autenticarse como remitente de un mensaje de correo electrónico. A continuación, explicaremos por qué debe usarlo también y cómo funciona realmente. ¡Empecemos!

¿por qué usar DKIM?

Imagine el siguiente escenario. Usted está a cargo de vender su nuevo producto brillante y conoce a un CEO que realmente podría estar interesado. Te reuniste con Yvonne al azar en un tech meetup hace dos semanas y mencionaste el producto brevemente, para su interés visible (al menos eso pensabas)., Ella le dio su tarjeta de visita y pidió un correo electrónico con algunos detalles más, después de lo cual se apresuró a otro lugar.

ahora estás pasando toda la tarde elaborando un correo electrónico para ella, explicando cómo hará que su empresa sea mucho más eficiente. Habiendo leído esto por lo menos 10 veces, presionáis ‘enviar’ y cerráis el portátil. Usted, entonces, actualiza nerviosamente la aplicación de correo electrónico en su teléfono cada media hora, pero sin resultados. Pasa un día, luego otro y otro., Finalmente, después de aproximadamente una semana y media, envías una nota rápida «Yvonne, avísame si quieres reunirte, feliz de venir en cualquier momento.”. Otra semana pasa, y luego otra – sin respuesta. Empiezas a preguntarte qué salió mal.

entonces, en otra reunión tres meses después, ves a Yvonne al otro lado del pasillo. Te acercas a ella y empiezas a charlar. En algún momento, mencionas discretamente tu producto y esa conversación hace un tiempo. Desconcertado, Yvonne dice » Mark, Nunca supe de ti. No podíamos esperar más, así que hemos firmado con otra compañía y son bastante geniales».,

Lo que realmente salió mal aquí? Mark indeed envió un correo electrónico, pero nunca llegó a la bandeja de entrada de Yvonne. Dado que no rebotó (habría recibido una notificación de Estado de entrega (DSN) si lo hizo), debe haber saltado la bandeja de entrada. Terminó en una carpeta de ‘spam’, junto con un pago potencialmente considerable que había esperado.

¿Por qué sucedió esto? Hay muchas razones potenciales para una mala capacidad de entrega, pero, al final, Mark olvidó configurar la autenticación DKIM para su cuenta de correo electrónico., Como resultado, el servidor de Yvonne no estaba muy seguro de si realmente era Mark enviándole un correo electrónico y descartó el mensaje, por si acaso (poniendo «¡realmente necesitas ver esto!»en el tema probablemente también jugó su parte).

¿qué es DKIM?

DomainKeys Identified Mail (DKIM) es una firma digital que se agrega a cada correo electrónico enviado desde una dirección de correo electrónico determinada. No es una firma típica que esperas ver en la parte inferior de un correo electrónico corporativo. De hecho, normalmente ni siquiera ves al DKIM., Es un conjunto aparentemente aleatorio de caracteres que están ocultos en el código fuente de un correo electrónico, un lugar donde la gente no suele mirar, pero los servidores que aceptan correos electrónicos entrantes definitivamente lo harán. Después de todo, DKIM es un estándar de la industria para la autenticación.

DKIM permitiría a Mark asumir la responsabilidad de un mensaje de correo electrónico que estaba a punto de enviar a Yvonne. Con esta firma, él diría » Hey, Soy Mark, escribiendo desde mi dirección de correo electrónico [email protected] el 21 de junio de 2019 a las 3: 52 PM PST. Estoy incluyendo en este correo el siguiente mensaje: (…)»., Cuando el mensaje es recibido, el servidor de correo electrónico de Yvonne leería este mensaje, pensaría por un breve momento (como, realmente breve) y si todo suena bien, mostraría el mensaje en el buzón de correo de Yvonne. Por supuesto, agregar DKIM signature no garantiza la entrega, pero aumenta significativamente las probabilidades de un resultado positivo.

naturalmente, Mark no necesita escribir un mensaje de este tipo cada vez que quiere enviar un correo electrónico a alguien. Sucede automáticamente cada vez, una vez que DKIM está configurado para su dominio.

¿qué aspecto tiene una cabecera DKIM?,

Aquí hay un ejemplo de un registro de correo identificado con DomainKeys:

DKIM se compone de diferentes elementos, descritos con varias etiquetas y valores correspondientes a cada uno. Vamos a romper el significado de cada uno de los que fue utilizado anteriormente:

la Etiqueta y su valor que Significa Obligatorio/opcional
v=1 Versión. Siempre es igual a ‘1’.,
obligatorio

a=RSA-sha256
algoritmo de firma (por lo que el que se utiliza para crear un registro DKIM en el extremo del remitente). Por lo general, es rsa-sha o RSA-sha256. Hay otros algoritmos, pero no siempre son compatibles con los clientes receptores. Obligatorio
d=example.net El dominio del remitente de un mensaje (donde DKIM es firmado) Obligatorio
s=newyork Selector., Esto incluye instrucciones sobre qué Clave Pública usar para resolver un DKIM dado (más sobre esto más adelante).
obligatorio
C = relajado/simple algoritmo de canonicalización que se utiliza tanto para encabezado como para cuerpo. Obligatorio
q=dns/txt el método de Consulta que se utiliza para recuperar la clave pública., De forma predeterminada, es ‘dns/txt’ opcional (recomendado)
t=1117574938 una marca de tiempo de cuando se firmó el mensaje obligatorio
x=1118006938 de este DKIM (si un correo electrónico llega después de la hora de caducidad, la verificación fallará incluso si todo lo demás coincide perfectamente) opcional (recomendado)
H=from:to:subject:dat
E:keywords:keywords;
lista de encabezados, separados por dos puntos.,
obligatorio
BH = MTIzNDU2Nzg5M
DEyMzQ1Njc4OTAxMj
M0NTY3ODkwMTI =
el cuerpo del mensaje hash, después de ser canonizado con el método de la etiqueta ‘c ‘y luego ejecutar a través de la función hash de la etiqueta’a’. Obligatorio
b=dzdVyOfAKCdLXdJO
c9G2q8LoXSlEniSbav+
yuU4zGeeruD00lszZVo
G4ZHRNiYzR
Y por último, esta es la firma digital de ambas cabeceras y el cuerpo, hash con la misma función., Obligatorio

Como puede ver, la firma real es sólo una pequeña parte de DKIM. Todo lo que está por encima son metadatos, que describen cómo se calcularon los valores hash.

observe cómo dos de las etiquetas se marcaron como opcionales: no son necesarias para que DKIM se verifique correctamente, sino que agregan una capa adicional de seguridad., Hay varias otras etiquetas opcionales que puede utilizar:

la Etiqueta que Significa se Recomienda o no
yo identidad de un usuario o de un agente. El valor de esta etiqueta es una dirección de correo electrónico, incluyendo un dominio y subdominio como se define en la etiqueta ‘d’. se Recomienda
‘l’ longitud del cuerpo del mensaje (número de caracteres) que se usó para calcular el cuerpo de hash., Si la etiqueta no se usa, se asume que se usó todo el cuerpo. No se recomienda
‘z’ lista de mensaje original de encabezados. No se recomienda

¿Cómo DKIM funciona?

firmar y recibir DKIM se realiza en tres pasos.,

  1. El remitente decide qué incluir en un registro DKIM

como remitente, puede limitarse a solo ciertas partes de un encabezado (‘From’, ‘To’, ‘cc’, ‘subject’ u otros), pero también puede llegar hasta incluir todo el encabezado y el cuerpo en DKIM. También puede optar por agregar algunos o todos los campos opcionales que mencionamos anteriormente. Aunque las hemos incluido en la lista, no recomendamos usar las dos últimas etiquetas de la tabla anterior. No aportan mucho valor y cuando se configuran mal, pueden llevar a una autenticación falsa, incluso si el resto del registro está bien.,

técnicamente, los detalles más específicos se incluyen, la autenticación más fiable será. Pero también debe tener cuidado con esto, ya que incluso los pequeños detalles cambiados por su servidor de correo electrónico darán lugar a una autenticación DKIM fallida en el lado receptor. Piense, por ejemplo, en los mensajes «reenviados por…» que se agregan a los correos electrónicos cuando se reenvían desde clientes de correo electrónico. Si incluyes todo tu cuerpo en DKIM, ahora inevitablemente fallará ya que el cuerpo acaba de ser modificado.

no te preocupes, sin embargo. No necesitas decidir la forma de un DKIM cada vez que envías un correo electrónico., Es atendido automáticamente por un servidor que necesita configurar una sola vez.

2. Se crea el DKIM y se envía un mensaje que lo incluye

una vez que el servidor sabe qué incluir en el DKIM y se inicia el envío de correo electrónico, comienza a hash el contenido. Ya viste cómo se veían las etiquetas ‘b’ y ‘bh’ l en nuestro ejemplo. Para darle un ejemplo más, así es como se vería el paso anterior si se hash con el método SHA256:

568291DDA7ECE2594254BC8E7D70DA150968D022021081BB6E3FC40DC9C260D6CE328291830AB02CFB1D8CDEC3C2B35C73F92ADF335BCCF38C6784AC9922A8C1

aunque puede parecer complejo, tales hashes son extremadamente fáciles de descifrar con varias herramientas en línea (pruébelo usted mismo!,). Es por eso que, antes de que se envíe un correo electrónico, cada hash se encripta con una llamada clave privada. Para cada selector que utilice, puede tener una clave privada separada, incluso si envía todos los correos electrónicos desde el mismo dominio. Esto puede significar una clave para los correos electrónicos de marketing, otra para los transaccionales y una tercera para los correos electrónicos enviados a los proveedores. El uso de diferentes claves privadas es importante por razones de seguridad.

una vez que todo está configurado, se envía un correo electrónico!

3., Un mensaje es recibido y el servidor valida las firmas DKIM

en cuestión de segundos, un mensaje es recibido por el servidor receptor y necesita tomar una decisión importante – si permitir el correo electrónico o no. Cuando ve que un DKIM está incluido con el mensaje, inicia inmediatamente el proceso de validación.
Con los campos’ domain ‘(‘d) y’ selector ‘(‘s’) visibles en DKIM, el servidor puede obtener la Clave Pública correspondiente a esta combinación ejecutando una consulta DNS apropiada (dichos datos están disponibles públicamente)., Luego, con la Clave Pública recién adquirida y los campos encriptados ‘B’ y ‘h’, el servidor receptor construye sus propios hashes y los compara con los recibidos en un mensaje. Si hay una coincidencia, la autenticación se realiza correctamente. Si no, la autorización de DKIM falla. No significa que el mensaje será descartado, pero reduce sus posibilidades de ser entregado.

¿cómo agregar la firma DKIM a sus correos electrónicos?

agregar DKIM requiere cambiar algunos detalles de sus registros DNS. Muchos clientes de correo electrónico lo tienen cubierto en detalle, por lo que no nos centraremos en él aquí., Consulte los siguientes enlaces para obtener los detalles específicos de los proveedores más populares:

  • MailChimp
  • SendGrid
  • Sendinblue
  • Mailjet
  • AWeber
  • Gmail
  • Outlook & Office365

Si su cliente de correo no ofrece ninguna ayuda en la implementación de DKIM o está configurando su propia infraestructura, consulte los documentos oficiales de DKIM.

¿cómo probar si DKIM estaba configurado correctamente?

una vez que se agrega DKIM, asegúrese de validarlo con un analizador DKIM en línea. Utilice, por ejemplo, MXToolbox o Mail-tester.,com, este último se puede utilizar para comprobar los registros SPF simultáneamente.

También puede enviar un correo electrónico de prueba a su cuenta de Gmail o Yahoo y verificar si llegó un mensaje con su firma DKIM.

Una vez que llegue el mensaje, expanda el encabezado con el icono de triángulo debajo del nombre del remitente. Si el dominio del remitente aparece tanto para ‘enviado por’ como para ‘firmado’, el mensaje se verificó correctamente con DKIM.,

también puede hacer clic en los tres puntos en la esquina superior derecha y «Mostrar Original». Aquí verás el resultado de la autenticación DKIM. Si viene con la palabra ‘PASS’ y su dirección de dominio, Todo funciona bien. Si envía un correo electrónico desde Gmail y no configura una autorización DKIM, Gmail le asignará una predeterminada agregando algo como» .20150623.gappssmtp.com » a su dirección de dominio., Este mensaje también se autentica, pero no es tan efectivo como lo sería con su configuración de correo individual DomainKeys Identified.

para verificar el registro DKIM en Yahoo, haga clic en «Ver encabezado completo» y busque el rastro de DKIM. Si encuentra dkim=pass (ok), ¡ha pasado la prueba!

otras consideraciones

esto resume nuestra guía de DKIM, pero no debería ser el fin de sus esfuerzos para mejorar la capacidad de entrega de correo electrónico. Echa un vistazo a nuestra guía de entregabilidad donde enumeramos toneladas de otras ideas., Asegúrese de que también autenticar con SPF, así como DMARC para hacer su dominio aún más creíble. Solo toma un poco de tiempo y esfuerzo, pero la recompensa puede ser enorme.

si te ha gustado este artículo, por favor comparte y corre la voz. Realmente lo apreciaremos.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *