Guía de implantación de DKIM: Errores comunes y cómo evitarlos

Domain Keys Identified Mail (DKIM) es un protocolo crítico de autenticación de correo electrónico que verifica la integridad del mensaje y la legitimidad del remitente. DKIM es esencial para BIMI (Indicadores de Marca para la Identificación de Mensajes) porque sólo los correos electrónicos autenticados correctamente pueden mostrar el logotipo de su marca en la bandeja de entrada. Sin embargo, la configuración de DKIM es propensa a varios errores comunes que pueden socavar tanto la seguridad como la capacidad de entrega.

• Clave pública ausente o incorrecta en DNS: Si la clave pública DKIM no está publicada o tiene un formato incorrecto en su DNS, la autenticación fallará. Utilice siempre un generador de registros DKIM y valide sus entradas DNS en busca de errores de sintaxis.
• Longitud de clave débil o anticuada: El uso de claves inferiores a 1024 bits (por ejemplo, 512 bits) hace que su DKIM sea vulnerable a los ataques. Utilice claves de al menos 1024 bits -se recomiendan las de 248 bits- y renuévelas cada 6-12 meses.
• Problemas de alineación: El dominio de la firma DKIM (valor d=) debe coincidir con el dominio de la dirección "De". Una alineación incorrecta provoca fallos de autenticación y puede incumplir la normativa DMARC.
• Desajuste del selector: El selector del registro DNS debe coincidir con el selector del encabezado del correo electrónico. Incluso una falta de coincidencia de un solo carácter puede provocar fallos.
• Formato incorrecto: Los registros DKIM deben ser una única cadena ininterrumpida en DNS. Los saltos de línea, los puntos y coma sin mayúsculas o los campos que falten (como v=DKIM1 o k=rsa) invalidarán el registro.
• Olvidar activar la firma DKIM: Publicar el registro DNS no es suficiente: asegúrese de que la firma DKIM está activada en su servidor de correo o con su proveedor de correo electrónico.
• Ignorar subdominios y proveedores externos: Si envía correo desde subdominios o utiliza servicios de terceros, cada uno de ellos debe tener DKIM correctamente configurado para evitar lagunas en la autenticación.
• No supervisar ni probar: Compruebe regularmente su configuración DKIM y supervise los informes DMARC para detectar problemas a tiempo. Después de cualquier cambio, envíe correos electrónicos de prueba y verifique que DKIM pasa.

• Utilice claves fuertes, rotadas regularmente: 1024-2048 bits.
• Compruebe dos veces el formato DNS y la alineación de los selectores: Asegúrese de que la sintaxis es correcta y de que los selectores coinciden.
• Alinee los dominios DKIM: El dominio de la firma DKIM debe coincidir con su dirección "De".
• Pruebe después de cada actualización: supervise los resultados de autenticación con informes DMARC.
• Coordine con terceros remitentes: Asegúrese de que todos los proveedores implementan DKIM correctamente.
• Revoque las claves antiguas o comprometidas: Y elimínelas del DNS para evitar usos indebidos.

• Compruebe si hay retrasos en la propagación de DNS: Los cambios pueden tardar hasta 48 horas.
• Revise los informes de fallos de DMARC y DKIM: Busque pistas sobre qué está fallando y por qué.
• Compruebe que no se altera el contenido del mensaje después de firmarlo: Asegúrese de que las herramientas de reenvío o de seguridad no modifican el mensaje.
• Consulte la documentación de su proveedor de servicios de correo electrónico: Siga las directrices específicas de la plataforma para solucionar problemas de autenticación.