Firma DKIM

Antes de configurar una firma DKIM, un remitente debe decidir qué elementos del correo electrónico deben incluirse en la firma DKIM. Normalmente, este es el cuerpo del mensaje y algunos encabezados predeterminados. Este comportamiento no puede ser cambiado. Una vez decididos estos elementos en la firma DKIM deben permanecer sin cambios o la validación DKIM fallará.

La firma DKIM se generará en una cadena textual única, el ‘valor hash’. Antes de enviar el correo electrónico, el valor hash se cifra con una clave privada, la firma DKIM. Solo el remitente tiene acceso a esta clave privada. Cuando el correo electrónico está encriptado, el correo electrónico se envía con esta firma DKIM.

Los receptores de correo electrónico, como Gmail y Microsoft (Hotmail, Outlook, etc.), detectan la firma DKIM. Esta firma DKIM revela qué dominio se utilizó para firmar el correo electrónico en el proceso de cifrado. Para validar la firma DKIM, el receptor de correo electrónico ejecutará una consulta DNS para buscar la clave pública para ese dominio. Las variables proporcionadas en la firma DKIM se utilizan para determinar dónde buscar esta clave. Si se encontró la clave, se puede utilizar para descifrar la firma DKIM a los valores hash originales. Estos valores se comparan con los nuevos valores recuperados del correo recibido. Si coinciden, el DKIM era válido.

DKIM solo no es una forma confiable de autenticar la identidad del remitente del correo electrónico. El dominio DKIM no es visible para el usuario final no técnico y no hace nada para evitar la suplantación del dominio ‘encabezado’ visible. DMARC resuelve ese problema garantizando que el dominio visible para el usuario final sea el mismo que el de los dominios validados por las comprobaciones DKIM y SPF. También proporciona a los receptores de correo electrónico una instrucción sobre lo que deben hacer con los correos electrónicos que no coinciden con estos controles.