DKIM
¿Qué es DKIM?
DKIMEstándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
DKIM (DomainKeys Identified Mail) está especificado en el RFC 6376. El servidor remitente genera una firma RSA o Ed25519 sobre cabeceras seleccionadas (From, Subject, Date) y el cuerpo, y añade una cabecera DKIM-Signature que indica el dominio firmante (d=) y el selector (s=). El receptor recupera la clave pública desde selector._domainkey.d.example.com (TXT) y valida la firma. DKIM resiste la mayoría de reenvíos y aporta el identificador criptográfico que DMARC alinea con el From:. La higiene de claves es crítica: usar RSA de 2048 bits o Ed25519, rotar selectores, retirar claves antiguas y proteger las privadas con HSM/KMS, ya que una clave expuesta permite falsificar correo.
● Ejemplos
- 01
Un servidor saliente firma los correos de marketing con el selector s1 y d=example.com, permitiendo alineamiento DMARC.
- 02
Rotar una clave DKIM publicando un nuevo selector antes de retirar el anterior para evitar fallos de validación.
● Preguntas frecuentes
¿Qué es DKIM?
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron. Pertenece a la categoría de Seguridad de red en ciberseguridad.
¿Qué significa DKIM?
Estándar de autenticación de correo (RFC 6376) por el que el dominio remitente añade una firma criptográfica a los mensajes para que los receptores verifiquen que cabeceras y cuerpo no se alteraron.
¿Cómo defenderse de DKIM?
Las defensas contra DKIM combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para DKIM?
Nombres alternativos comunes: DomainKeys Identified Mail.