Autenticar el correo electrónico mediante DKIM

Acerca de DKIM

Mejora la prevención de spoofing en los mensajes salientes del correo electrónico

Con el estándar DomainKeys Identified Mail (DKIM), puedes mejorar la prevención de spoofing en los mensajes salientes del correo electrónico.

Se denomina spoofing de correos electrónicos a cambiar el contenido del mensaje para que parezca provenir de una fuente que no es la real. Como es un método habitual de uso no autorizado de correos electrónicos, algunos servidores de correo electrónico necesitan DKIM para evitarlo.

Con DKIM se incluye una firma cifrada en el encabezado de todos los mensajes salientes. Los servidores de correo electrónico que reciben estos mensajes utilizan DKIM para descifrar el encabezado del mensaje y verificar que no se ha modificado tras el envío. 

Usar DKIM con SPF y DMARC

Junto con DKIM, recomendamos configurar el marco de políticas del remitente (SPF) y la autenticación de mensajes, informes y conformidad basada en dominios (DMARC). DKIM verifica que el contenido del mensaje es auténtico y no se ha modificado, mientras que SPF especifica los dominios que pueden enviar mensajes a tu organización y DMARC indica el modo en que tu dominio gestiona los correos electrónicos sospechosos.

Si no configuras DKIM, Gmail usa la versión predeterminada de DKIM

La firma con DKIM aumenta la seguridad del correo electrónico y ayuda a prevenir el spoofing. Te recomendamos que utilices tu propia clave DKIM en todos los mensajes que envíes.

Si no la activas con tu propia clave de dominio DKIM, Gmail firma todos los mensajes salientes del servidor mail.google.com con la clave predeterminada d=*.gappssmtp.com, aunque no firma los que se envíen desde otros servidores.

Pasos para configurar DKIM

  1. Genera la clave de dominio público para tu dominio.
  2. Añade la clave pública a los registros DNS de tu dominio. Los servidores de correo electrónico pueden usar esta clave para leer los encabezados DKIM de los mensajes.
  3. Activa la firma con DKIM para poder añadir una firma DKIM a todos los mensajes salientes.
Empezar ahora

Preguntas frecuentes sobre DKIM

¿Cómo funciona DKIM?

DKIM verifica los mensajes con un par de claves, una privada y otra pública.

La clave de dominio privada añade un encabezado cifrado a todos los mensajes salientes enviados desde tu dominio de Gmail.

La clave pública, que coincide con la anterior, se añade al registro del sistema de nombres de dominio (DNS) de tu dominio de Gmail. Los servidores de correo electrónico que reciben mensajes de tu dominio utilizan la clave pública para descifrar los encabezados de los mensajes y verificar la fuente del mensaje.

Una vez activada la autenticación de correo electrónico en Gmail, DKIM cifrará los encabezados de los mensajes salientes.

¿Qué ocurre si mi dominio ya tiene una clave DKIM?

Si en tu dominio ya tienes una clave DKIM de otro sistema de correo electrónico, genera una clave de dominio única para poder usarla con Gmail. 

Estas claves de dominio incluyen una cadena de texto llamada prefijo selector, que puedes editar cuando generas la clave. El prefijo selector predeterminado de la clave de dominio de G Suite es "google". Cuando generas la clave, puedes cambiarlo por el texto que quieras.

¿Cómo se configura DKIM en un servidor que cambia el contenido de los correos electrónicos salientes?

Si utilizas una pasarela de correo saliente que cambia los mensajes salientes, la firma DKIM se anula. Un ejemplo de este caso son los servidores de correo electrónico que añaden un pie de página a todos los mensajes salientes. Para evitar este problema, tienes dos opciones:

  • Configurar la pasarela para que no cambie los mensajes salientes.
  • Configurar la pasarela para que primero cambie el mensaje y, después, añada la firma con DKIM.
¿Qué ocurre si los correos electrónicos de mi dominio se rechazan porque no superan las comprobaciones de DKIM?

Si los mensajes de tu dominio se rechazan, ponte en contacto con el administrador del servidor de correo electrónico que los rechaza. Ningún servidor debería rechazar mensajes porque no tienen firma de DKIM o porque no pueden verificarla (RFC 4871).

¿Te ha sido útil este artículo?
¿Cómo podemos mejorar esta página?