Cómo utilizar DKIM para evitar la falsificación de dominios

En la década de 1980, cuando se desarrollaron el correo electrónico y SMTP (protocolo simple de transferencia de correo), no había necesidad de verificación y validación de mensajes. En su mayor parte, las únicas organizaciones que usaban el correo electrónico en ese momento eran grandes empresas e instituciones educativas.

Desafortunadamente, a medida que crecía el correo electrónico, los malhechores descubrieron que podían explotar a los destinatarios mediante el envío de mensajes maliciosos, la suplantación de dominios y el envío de spam. Por ejemplo, alguien podría actuar como si estuviera enviando en nombre de una marca o remitente de confianza e intentar que los destinatarios respondan y brinden información personal y confidencial. Otros remitentes utilizaron el correo electrónico como una forma de enviar mensajes no deseados a cualquier dirección que pudieran tener en sus manos, una práctica que culminó con la Ley CAN-SPAM.

Sugerencia: la suplantación de identidad por correo electrónico ocurre cuando un malhechor crea y envía correos electrónicos a los destinatarios desde una dirección de correo electrónico falsificada. Obtenga más información sobre por qué nunca debe enviar correos electrónicos desde dominios que no controla en nuestra publicación de blog No envíe correos electrónicos desde dominios que no controla

Se desarrollaron prácticas de autenticación de correo electrónico como SPF, DKIM y DMARC para evitar que este tipo de correos electrónicos maliciosos lleguen a las bandejas de entrada de los destinatarios.

¿Qué es DKIM?

DKIM (DomainKeys Identified Mail) es una tecnología criptográfica creada por Cisco y Yahoo que los remitentes pueden usar para "firmar" sus mensajes. DKIM permite al receptor de un mensaje de correo electrónico verificar si ese mensaje fue autorizado y enviado por el remitente responsable del dominio. Cuando los mensajes no están firmados con DKIM, los proveedores de bandeja de entrada como Gmail y Microsoft pueden bloquear los mensajes y evitar que se entreguen a los destinatarios.

¿Cómo funciona DKIM?

DKIM es una forma relativamente simple de autenticación de correo electrónico porque su única función es verificar que el remitente de un correo electrónico es responsable del dominio desde el que se envía el correo electrónico y es responsable del contenido del correo electrónico. Los dos pasos para DKIM son:

1. Un remitente agrega una clave privada en sus servidores de correo y firma el mensaje.
2. El servidor receptor verifica la clave pública almacenada en el registro txt de dkimselector._domainkey.domain.com para validar la clave privada agregada por el remitente.

¿Cómo evita DKIM la suplantación de dominio?

Como marca, si implementa DKIM, esencialmente está firmando su correo electrónico y diciéndoles a los proveedores de la bandeja de entrada que el correo que reciben proviene de su dominio y usted se hace responsable de ello. Esto significa que los malos actores no pueden enviar correo desde direcciones como @yourcompany.com.

¿Por qué es importante DKIM?

DKIM es importante porque es una de las formas en que los proveedores de bandeja de entrada pueden verificar la identidad del remitente. Sin implementar DKIM correctamente, muchos proveedores de bandeja de entrada bloquearán su correo electrónico, evitando que sus mensajes lleguen a su destino previsto. Si bien esto puede no parecer increíblemente importante, si solo se bloquea una pequeña cantidad de sus mensajes, puede tener grandes consecuencias para su negocio.

¿Cómo implemento DKIM en SendGrid?

Una vez que cree una cuenta de SendGrid, se le dará la opción de implementar seguridad manual o automática. Al elegir implementar seguridad automatizada, SendGrid administrará sus registros SPF y DKIM por usted. Al hacer esto, si alguna vez realiza un cambio en su cuenta que afecte la capacidad de entrega del correo electrónico (como agregar una nueva dirección IP), SendGrid actualizará su configuración de DKIM y DNS en su nombre.

¿Cómo puedo probar DKIM?

Hay una variedad de herramientas de prueba DKIM disponibles para usar en línea. El uso de algo como un analizador DKIM o un verificador DKIM lo ayudará a determinar si ha publicado con precisión su registro DKIM. En general, se recomienda enfáticamente que cualquier cambio que realice en sus registros SPF o DKIM se pruebe antes de implementarlo.

Sugerencia: DKIM se puede usar tanto en direcciones IP dedicadas como en grupos de direcciones IP compartidas como una forma de ayudar a mejorar la capacidad de entrega de su correo electrónico sin importar el tipo de cuenta de SendGrid que tenga.

¿Qué NO hace DKIM?

Si bien DKIM proporciona a los remitentes una forma de firmar sus mensajes para que los proveedores de la bandeja de entrada sepan que son responsables del contenido del mensaje y del dominio desde el que se envía, hay algunas cosas que DKIM no hace:

• DKIM no les dice a los proveedores de la bandeja de entrada cómo manejar el mensaje. A diferencia de una tecnología de autenticación de correo electrónico como DMARC, DKIM no dice qué hacer si un mensaje falla o pasa la verificación.
• DKIM no tiene en cuenta el remitente de los mensajes. Incluso si un mensaje pasa la verificación DKIM, el remitente responsable del mensaje aún podría ser un mal actor que envía un correo electrónico malicioso.
• DKIM no evita que los mensajes se vuelvan a enviar. Si un destinatario abre y reenvía un correo electrónico malicioso, el mensaje aún puede abrirse y dañar a los destinatarios posteriores.

¿En qué se diferencia SPF de DKIM y en qué se necesitan ambos?

SPF permite a los remitentes decirles a los ISP qué direcciones IP pueden enviar en su nombre. DKIM permite a los ISP verificar que el contenido enviado es el que pretendía el remitente original. Para obtener más información sobre cómo hacer que su correo electrónico se entregue correctamente, consulte nuestra Guía de entrega de correo electrónico de 2019 .

Ni SPF ni DKIM protegen completamente un correo electrónico. A cada uno le falta una pieza importante. A SPF le falta la verificación de mensajes y a DKIM le falta una forma de verificar de dónde proviene el mensaje. Ambos son necesarios para ser un remitente de correo electrónico seguro.

¿Cuáles son los mejores consejos de DKIM?

• DKIM debe ser lo último que se agregue al mensaje antes de enviarlo. Si se agrega una firma, un espacio en blanco, otro encabezado, cualquier cosa, fallará.
• Se puede firmar el encabezado, o tanto el encabezado como el cuerpo. Gmail recomienda que firmes ambos.
• El bucle de retroalimentación de Yahoo se basa en la firma DKIM de los remitentes, utilizan partes de la firma para hacer coincidir un remitente con una queja. Si no está utilizando DKIM (o claves de dominio), no puede utilizar el bucle de comentarios de Yahoo.
• La mayoría de los clientes de SendGrid tendrán nuestro DKIM estándar insertado en el encabezado automáticamente.

¿Hay algún recurso que pueda usar para obtener más información sobre DKIM?

Por supuesto, consulte: http://dkimcore.org/tools/keycheck.html y http://www.dkim.org.
Para obtener más información sobre la implementación de DKIM, SPF o DMARC con su cuenta y mensajes de SendGrid, puede consultar la documentación de SendGrid.

Ayuda a los proveedores de la bandeja de entrada autenticando tu correo electrónico

Para garantizar que los clientes continúen respondiendo a sus mensajes, debe ayudar a los ISP a proteger su marca. Al firmar todos sus dominios con DKIM usando d=, le está diciendo a los ISP que bloqueen cualquier dominio que no esté en la "lista de resultados". Por lo tanto, asegúrese de firmar todos los dominios desde los que envía su correo electrónico promocional y transaccional. (Esto incluye sus subdominios, así que asegúrese de hacer un inventario completo).

Recuerde, DKIM responde a dos preguntas clave: ¿el correo electrónico tiene una firma válida y qué dominio lo firmó? No garantizará la capacidad de entrega del correo electrónico, pero ciertamente ayudará a mejorarla. Además, ayudará a prevenir todas las consecuencias secundarias que ocurren cuando las marcas son pirateadas. Tomarse el tiempo para implementar medidas preventivas puede ayudar a proteger su reputación y su marca.

Para obtener más información sobre la autenticación de correo electrónico y las estrategias para garantizar la capacidad de entrega del correo electrónico, descargue nuestra Guía de infraestructura de correo electrónico SendGrid gratuita.