DKIM - DomainKeys Identified Mail
DKIM es un método de autenticación que utiliza el encriptado de correos electrónicos con claves públicas/privadas para validar si los correos electrónicos se generan desde los servidores autorizados, reconocidos y configurados por los administradores de los dominios de envío. Este método de autenticación habilita una comunicación segura por correo electrónico y evita el correo no deseado.
¿Por qué configurar DKIM?
Por lo general, los spammers envían correos electrónicos que dicen ser de remitentes de correo electrónico auténticos. La mayoría de estos correos electrónicos se envían con la intención de hacer que los destinatarios vean el correo electrónico o, a veces, para recopilar información confidencial (contraseñas, direcciones de correo electrónico, etc.) de los destinatarios con el pretexto de que se trata de un remitente legítimo. Dos de los métodos que los spammers utilizan comúnmente son la falsificación y la retrodispersión de correos electrónicos.
Falsificación de correos electrónicos:
La falsificación de correos electrónicos es un método de engaño que utilizan los spammers para hacer que los correos electrónicos se envíen desde una dirección de correo electrónico o un dominio legítimos, que no les pertenecen. Esto se realiza mediante la falsificación de los encabezados de correo electrónico para que parezcan legítimos a fin de que los destinatarios confíen y abran los correos electrónicos.
Los spammers siguen este enfoque porque permite que más personas vean el correo electrónico, ya que el remitente parece ser auténtico. No obstante, en ocasiones, esto puede suponer consecuencias graves si intentan recuperar la información confidencial del usuario. Los correos electrónicos falsificados se pueden detectar y evitar mediante la configuración de SPF y DKIM. Si DKIM está configurado, se valida la identidad del nombre de dominio asociada a cada mensaje.
Si la validación de DKIM falla, dichos correos electrónicos se ponen en cuarentena o se rechazan según las condiciones que haya establecido cuando falla la validación de DKIM.
Retrodispersión de correos electrónicos:
Los spammers falsifican un nombre de dominio y envían correos electrónicos mediante la dirección de correo electrónico alterada. Si el dominio del destinatario rechaza el correo electrónico, enviará mensajes de rebote al dominio falsificado. Los mensajes devueltos que recibe un usuario por correos electrónicos que nunca envió se denominan devolución de correo no enviado.
Por ejemplo, un spammer falsificó su dirección de correo electrónico y envió mensajes de correo electrónico no deseado a otro dominio. Cuando estos correos electrónicos no deseados se envían a direcciones de correo electrónico no válidas, el dominio del destinatario envía un mensaje de rebote al dominio falsificado. Este mensaje de rebote, en lugar de enviarse al remitente de correo no deseado, se enviará al dominio falsificado desde el cual el usuario afirma haber enviado el correo electrónico. El dominio del destinatario también bloqueará el dominio falsificado. Si DKIM está configurado, se puede validar la autenticidad del dominio y evitar el bloqueo del mismo. En caso de que se encuentre en el extremo receptor de estos correos electrónicos no deseados, DKIM puede ayudar a detectar la autenticidad de los correos electrónicos, y los correos electrónicos que no sean originales no se enviarán a su buzón.
La falsificación y la retrodispersión de correos electrónicos, dos métodos que los spammers utilizan habitualmente, se pueden evitar hasta cierto punto mediante la configuración de SPF y DKIM en su dominio.
Funcionamiento de DKIM
En el proceso de DKIM, una clave pública se publica como un registro de TXT para el administrador de DNS del dominio (registrador del dominio o proveedor de DNS). En cada correo electrónico saliente, se incluye una firma única generada mediante la clave privada del dominio específico. El servidor de correo electrónico receptor utiliza esta combinación de clave pública y privada para validar la fuente del correo electrónico. Si hay una falla de validación, es posible que el servidor del destinatario rechace el correo electrónico o lo clasifique como correo no deseado/falsificado, según el comportamiento del servidor.
Habilitar y usar DKIM en el dominio garantizan que los correos electrónicos válidos enviados a través de Zoho no se clasifiquen como correo no deseado en el extremo del destinatario.
Selector DKIM
El selector se utiliza para identificar los detalles de la clave DKIM pública del dominio. Es un atributo para la firma DKIM y se incluye en el encabezado DKIM del correo electrónico. Se pueden utilizar varios selectores para un solo dominio en los casos en que necesite proporcionar controles de firma especiales para diferentes conjuntos de usuarios.
Una vez que haya agregado un selector y lo haya verificado, debe dejarlo como opción predeterminada y habilitarlo para el dominio. Una vez habilitado, todos los correos electrónicos salientes basados en el dominio se firmarán con el selector predeterminado, a menos que los usuarios hayan sido asociados con un selector diferente en la sección Usuarios.
Pasos para agregar una firma DKIM para su dominio:
Puede habilitar DKIM para su dominio en el panel de control de Zoho Mail después de crear el registro de texto requerido en el administrador de DNS del dominio. La configuración de DKIM tiene tres pasos principales:
- Genere un valor de clave DKIM pública única mediante un selector predeterminado en Zoho Mail.
- Cree un registro de TXT en el administrador de DNS del dominio (registrador del dominio o el proveedor de DNS).
- Valide el selector y active DKIM en Zoho Mail.
I. Generar una clave única de dominio en Zoho Mail:
- Inicie sesión en el panel de control desde https://mailadmin.zoho.com como administrador o superadministrador.
- Vaya a Domains en el menú de la izquierda y seleccione el dominio para el que desea configurar DKIM.
- En la pestaña Email Configuration, seleccione DKIM.
- Haga clic en Add para agregar un nuevo selector para el dominio.
- Ingrese el nombre del selector para el dominio que se utilizará con Zoho Mail. Ej.: zoho
- Haga clic en Agregar. Se agregará el selector y se generará y mostrará un registro de TXT en el selector agregado.
- Puede copiar el texto en el campo TXT value.
- Debe crear un registro de TXT con este valor en el administrador de DNS antes de hacer clic en Verificar.
II. Crear el registro de TXT en el administrador de DNS.
- Inicie sesión en el administrador de DNS del dominio donde apunta el servidor de nombres de su dominio.
- Cree un registro de TXT en el DNS con el título <selector>._domainkey.<nombredesudominio.com>.
Ejemplo: zoho._domainkey.zylker.org debe ser el nombre del registro de TXT si el selector que elige es zoho y el nombre de dominio es zylker.org. Reemplace el texto con los valores personalizados sin los paréntesis angulares.
Si el DNS está alojado en GoDaddy, WIX, Squarespace, Namecheap, etc., ingrese el nombre del registro de TXT como zoho._domainkey (estos proveedores agregan el nombre de dominio automáticamente) - En el valor de registro de TXT, pegue todo el contenido que copió del campo de texto Valor de registro de TXT en Zoho.
- Guarde el registro de TXT en el administrador de DNS.
- Puede verificar la validez de DKIM utilizando este verificador de DKIM.
Nota:
El proceso para crear un registro de TXT varía según el proveedor/administrador de DNS que utilice.
Algunos proveedores de DNS (como GoDaddy, Wix, Squarespace, Namecheap, etc.) agregan el nombre de dominio automáticamente. En tales casos, simplemente puede ingresar <selector>._domainkey como el nombre del registro de TXT.
Ciertos proveedores de DNS esperan que se cree el subdominio en lugar de un registro de TXT.
Pasos para agregar el registro de TXT en el administrador del dominio de GoDaddy:
- Inicie sesión en el administrador de DNS de GoDaddy. Seleccione el menú Mi Cuenta y elija Dominios.
- Expanda la ventana Dominios y haga clic en el botón Administrar DNS del dominio que desea comprobar.
- Se abrirá la página Administrador de DNS con información sobre los registros de DNS existentes.
- Desplácese hasta la sección Registros y haga clic en el botón Agregar para agregar un registro de DNS.
- Seleccione TXT en el menú desplegable Tipo de registro.
- En el campo Host, ingrese <selector>._domainkey.
- En el campo Valor de TXT, ingrese el valor del registro de TXT generado en el panel de control de Zoho Mail.
- Haga clic en Finalizar.
III. Habilitación de DKIM para el dominio
- Si la validación de DKIM se realiza correctamente en el sitio de terceros, inicie sesión en el panel de control de Zoho Mail.
- Haga clic en Verify en el selector determinado. El registro de texto cambiará al estado verificado.
- Una vez que se haya verificado, verá un mensaje para habilitar DKIM inmediatamente o después. Puede habilitar DKIM inmediatamente para comenzar a registrar firmas DKIM para los correos electrónicos de su dominio.
- Una vez que las habilite, las firmas DKIM se agregarán a todos los correos electrónicos que se generen desde el dominio.
Varios selectores DKIM:
Puede usar varios selectores para un solo dominio a fin de generar firmas DKIM independientes para varias oficinas en diferentes ubicaciones o generar firmas DKIM independientes para un conjunto de cuentas.
Ejemplo:
- ukoffice._domainkey.zylker.com
- usoffice._domainkey.zylker.com
- hrteam._domainkey.zylker.com
- marketing._domainkey.zylker.com
Puede agregar más selectores para claves DKIM específicas para diferentes conjuntos de usuarios o diferentes ubicaciones de oficinas.
Selectores de dominio basados en el usuario:
Cuando tiene varios selectores, puede asociar los diferentes conjuntos de usuarios con los selectores en función de sus necesidades. El selector predeterminado se aplica automáticamente a todos los usuarios y, por lo tanto, no aparecerá en la lista desplegable.
Una vez que agregue un selector adicional, puede asociarlo con un conjunto específico de usuarios de la sección Lista de usuarios.
Solucionar problemas de SPF/DKIM
TTL más extenso
El tiempo de vida (TTL) es el tiempo especificado en el DNS para que cada cambio en el DNS sea efectivo. Si tiene un valor de TTL extenso (24 o 48 horas), entonces los registros de TXT/SPF pueden tardar un tiempo en propagarse. Los cambios de DNS pueden tardar de 12 a 24 horas en surtir efecto, según el conjunto de TTL.
Valores incorrectos
Por lo general, la forma en que se deben agregar los registros de SPF varía según los diferentes proveedores de DNS.
Errores tipográficos/ortográficos
Compruebe si copió y pegó la información correcta de las páginas de configuración de Zoho. En el caso de DKIM, debe copiar la clave completa que se muestra e ingresarla como un valor del registro de TXT. El nombre del registro de TXT debe seguir las convenciones de nomenclatura sugeridas
Nota:
Cualquier alteración en el contenido del correo electrónico por parte de los servidores de correo electrónico que pasan los correos intermedios, puede alterar la firma y hacer que DKIM no sea válido durante la verificación en el extremo del destinatario.
Actualmente, DKIM solo es compatible con los correos electrónicos generados en Zoho y que se entregan directamente a servidores externos. En el caso de los dominios configurados con Enrutamiento de correo electrónico y Puertas de enlace salientes, en los que los correos electrónicos no se entregan directamente o los correos electrónicos se generan desde otros servidores, DKIM no es compatible.