Firma Digital DKIM
    Autenticación de Dominios

    Firma Digital DKIM

    Implementa la firma criptográfica DKIM para garantizar la integridad de tus mensajes y evitar alteraciones en tránsito.

    Wiki TécnicaAutenticación de Dominios

    ¿Qué es DKIM?

    Si el SPF es la autorización, el DKIM (DomainKeys Identified Mail) es el sello criptográfico que garantiza que el contenido del correo no ha sido alterado en tránsito. Cada correo enviado se firma digitalmente con una clave privada, y el receptor lo valida usando la clave pública publicada en el DNS del dominio.

    Funcionamiento Técnico

    El servidor de envío genera un hash criptográfico del contenido del correo (cabeceras seleccionadas + cuerpo) y lo firma con la clave privada. Esta firma se añade como cabecera DKIM-Signature al mensaje.

    El servidor receptor extrae el selector de la firma, consulta el registro DNS correspondiente para obtener la clave pública, y verifica que el hash coincida. Si el contenido fue alterado en tránsito (ataque Man-in-the-Middle), la verificación falla.

    Componentes Clave

    Clave Privada: Almacenada de forma segura en el servidor de envío. Nunca debe compartirse ni exponerse. Se utiliza para firmar cada correo saliente.

    Clave Pública: Publicada como registro TXT en el DNS del dominio. Los receptores la consultan para validar las firmas.

    Selector: Identificador que permite tener múltiples claves DKIM activas simultáneamente (ej. selector1, selector2). Facilita la rotación de claves sin interrupción del servicio.

    Rotación de Claves y Selectores

    Las buenas prácticas de seguridad recomiendan rotar las claves DKIM periódicamente (cada 6-12 meses). El uso de selectores permite realizar esta rotación sin downtime:

    Paso 1: Generar un nuevo par de claves con un selector diferente (ej. de selector1 a selector2).

    Paso 2: Publicar la nueva clave pública en el DNS con el nuevo selector.

    Paso 3: Configurar el servidor para firmar con el nuevo selector.

    Paso 4: Mantener el selector antiguo publicado durante 48-72h para que los correos en tránsito puedan validarse.

    Impacto en la Reputación

    Los correos firmados con DKIM tienen mucha más probabilidad de evitar la carpeta de Spam. Los grandes proveedores (Gmail, Microsoft 365) utilizan la firma DKIM como señal positiva en sus algoritmos de reputación.

    Integridad: Protege contra ataques de «Man-in-the-Middle» donde el contenido del correo podría ser modificado durante la transmisión.

    Alineación DMARC: DKIM es uno de los dos pilares de DMARC. Sin una firma DKIM válida y alineada, la política DMARC no puede alcanzar su máximo nivel de protección.

    Valor SPAMTER

    Nuestro servicio de Filtrado Entrante verifica automáticamente las firmas DKIM de todos los correos recibidos, detectando manipulaciones en tránsito antes de que lleguen a tu buzón.

    Firma Automática en Relay Saliente: Si usas nuestro Relay, todos tus correos salen firmados con DKIM de forma transparente.

    Marca Blanca: Gestionamos la configuración DKIM de tus clientes bajo tu identidad corporativa, simplificando un proceso que puede ser complejo para equipos sin experiencia en criptografía.

    Alianza Técnica: Como parte de nuestro compromiso a largo plazo, monitorizamos la validez de tus claves y te notificamos cuando es necesario rotarlas.

    Registro DKIM de ejemplo (clave pública en DNS)

    selector1._domainkey.tudominio.com IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."

    Verificar el registro DKIM de un dominio

    dig selector1._domainkey.tudominio.com TXT +short # Debe devolver v=DKIM1; k=rsa; p=...

    Tabla de Diagnóstico Rápido

    SíntomaCausa ProbableSolución SPAMTER
    DKIM signature verification failedContenido alterado en tránsito o clave pública incorrecta.Verificar que la clave pública en DNS coincide con la privada.
    No DKIM signature foundEl servidor de envío no está firmando los correos.Configurar la firma DKIM en el MTA o usar Relay SPAMTER.
    DKIM alignment failed (DMARC)El dominio de firma no coincide con el dominio del From:.Firmar con el dominio principal o configurar alineación relajada.
    Clave DKIM expirada o revocadaRotación de claves sin actualizar el registro DNS.Publicar la nueva clave pública y mantener la antigua 72h.

    Guías técnicas relacionadas

    Guía Maestra del Registro SPF Política DMARC Paso a Paso BIMI: Tu Logotipo en la Bandeja de Entrada

    Verifica las firmas DKIM automáticamente con nuestro servicio de Filtrado Entrante.

    Conoce nuestro servicio de Filtrado Entrante

    💡 ¿Sabías que cada hora de diagnóstico manual suma al coste oculto del correo?

    Coste Anual = N × (T_diario / 60) × C_hora × 220 días. Reducir el tiempo de diagnóstico con esta Wiki genera ahorro real.

    Calcula tu ROI con nuestra herramienta

    Filosofía de Alianza Tecnológica

    Esta Wiki está diseñada para que tú, como socio tecnológico, puedas decirle a tus clientes: «No te preocupes por la complejidad del DNS; aquí tienes nuestra guía de ingeniería o, si lo prefieres, nosotros nos ponemos la gorra y lo configuramos por ti.»

    Proporcionar estas herramientas de diagnóstico gratuitas es la mejor forma de demostrar nuestro compromiso de alianza a largo plazo.

    ¿Necesitas ayuda con la configuración?

    Nuestros ingenieros pueden implementar estas soluciones en tu infraestructura.

    Solicitar Consultoría Técnica