DKIM
¿Qué es DKIM?
DKIMEstándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
DKIM (DomainKeys Identified Mail) está especificado en el RFC 6376. El servidor remitente genera una firma RSA o Ed25519 sobre cabeceras seleccionadas (From, Subject, Date) y el cuerpo, y añade una cabecera DKIM-Signature que indica el dominio firmante (d=) y el selector (s=). El receptor recupera la clave pública desde selector._domainkey.d.example.com (TXT) y valida la firma. DKIM resiste la mayoría de reenvíos y aporta el identificador criptográfico que DMARC alinea con el From:. La higiene de claves es crítica: usar RSA de 2048 bits o Ed25519, rotar selectores, retirar claves antiguas y proteger las privadas con HSM/KMS, ya que una clave expuesta permite falsificar correo.
● Ejemplos
- 01
Un servidor saliente firma los correos de marketing con el selector s1 y d=example.com, permitiendo alineamiento DMARC.
- 02
Rotar una clave DKIM publicando un nuevo selector antes de retirar el anterior para evitar fallos de validación.
● Preguntas frecuentes
¿Qué es DKIM?
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DKIM?
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
¿Cómo funciona DKIM?
DKIM (DomainKeys Identified Mail) está especificado en el RFC 6376. El servidor remitente genera una firma RSA o Ed25519 sobre cabeceras seleccionadas (From, Subject, Date) y el cuerpo, y añade una cabecera DKIM-Signature que indica el dominio firmante (d=) y el selector (s=). El receptor recupera la clave pública desde selector._domainkey.d.example.com (TXT) y valida la firma. DKIM resiste la mayoría de reenvíos y aporta el identificador criptográfico que DMARC alinea con el From:. La higiene de claves es crítica: usar RSA de 2048 bits o Ed25519, rotar selectores, retirar claves antiguas y proteger las privadas con HSM/KMS, ya que una clave expuesta permite falsificar correo.
¿Cómo defenderse de DKIM?
Las defensas contra DKIM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DKIM?
Nombres alternativos comunes: DomainKeys Identified Mail.
● Términos relacionados
- network-security№ 333
DMARC
Estándar de autenticación de correo definido en el RFC 7489 que permite al propietario del dominio publicar una política indicando a los receptores qué hacer con los mensajes que fallen SPF/DKIM y alineamiento.
- network-security№ 1076
SPF (Sender Policy Framework)
Mecanismo de autenticación de correo del RFC 7208 que permite a un dominio publicar en DNS qué direcciones IP u hosts están autorizados a enviar correo con su dominio en el MAIL FROM del sobre.
- network-security№ 095
BIMI
Estándar de correo que permite mostrar un logo de marca verificado junto a los mensajes autenticados en clientes compatibles, siempre que el dominio aplique una política DMARC de quarantine o reject.
- attacks№ 375
Suplantación de correo electrónico
Falsificación de las cabeceras de un correo para que parezca enviado por un remitente de confianza, habitualmente para phishing, fraude o malware.
- network-security№ 955
S/MIME
Estándar IETF para firmar y cifrar de extremo a extremo mensajes MIME mediante certificados X.509 emitidos por una CA pública o corporativa.
- network-security№ 984
Pasarela de correo seguro
Servicio perimetral o en la nube que filtra el correo entrante y saliente buscando spam, phishing, malware, fugas de datos e infracciones de política antes de llegar a los buzones.
● Véase también
- № 058ARC (Authenticated Received Chain)
- № 819PGP
- № 446GnuPG (GPG)
- № 452Greylisting
- № 336DNSBL (lista negra DNS)