¿Qué es DKIM?

DKIM (por las siglas de “DomainKeys Identified Mail”) es un protocolo que permite a una organización responsabilizarse de la transmisión de un mensaje, firmándolo de forma tal que los proveedores de buzones de correo puedan verificarlo. La verificación del registro DKIM es posible gracias a la autenticación criptográfica.

Implementar una tecnología de autenticación del correo electrónico como DKIM es una de las mejores formas de proteger a sus empleados y clientes de los ataques dirigidos al correo electrónico. A principios de este mes, publicamos un post en el que explicábamos qué es el convenio de remitentes o SPF (del inglés “Sender Policy Framework”) y por qué es importante. Esta semana, nos ocuparemos de otro protocolo de autenticación del correo electrónico: el DKIM (DomainKeys Identified Mail).

El proceso de firma DKIM consta de tres pasos principales. En primer lugar, el remitente identifica qué campos desea incluir en la firma de su registro DKIM. Estos campos incluyen la dirección “de”, el cuerpo, el asunto y muchos otros. Estos campos deben permanecer inalterados en tránsito, o la autenticación DKIM fallará.

En segundo lugar, la plataforma de correo electrónico del remitente crea una cadena hash para los campos de texto incluidos en la firma DKIM. Los campos de texto siguientes,

De: Jane Doe <jane.doe@proofpoint.com>
Asunto: Actualización

por ejemplo, se asignarán a esta cadena hash:

3303baf8986f910720abcfa607d81f53

Una vez generada la cadena hash original, se encripta con una clave privada, únicamente accesible para el remitente.

Por último, una vez enviado el correo electrónico, corresponde a la pasarela de correo electrónico o al proveedor de buzones del consumidor validar la firma DKIM encontrando la clave pública que coincida perfectamente con la clave privada. De este modo, la firma DKIM se descifra y vuelve a su cadena hash original.

A continuación, el receptor genera su propio hash de los campos incluidos en la firma DKIM y la compara con la cadena hash recién descifrada. Si coinciden, sabemos dos cosas: Una, que los campos de la firma DKIM no se modificaron en tránsito, y dos, que el firmante del correo electrónico es el verdadero propietario del mismo.

La firma DKIM es la característica principal de la validación. La firma es una cadena hash creada por diversos componentes dentro del mensaje. El remitente puede utilizar el dominio, el cuerpo del mensaje y otras partes del mensaje para crear una firma. Estos componentes se deciden cuando se envía el mensaje, por lo que no puede cambiar posteriormente.

Para crear la firma, el remitente utiliza la clave privada del dominio para cifrar el mensaje y crear una cadena hash. A continuación, el servidor de correo electrónico del destinatario utiliza la clave pública del remitente para cifrar también los mismos componentes del mensaje. El destinatario toma el resultado de la cadena hash cifrada, y la compara con la cadena hash descifrada del remitente. Si ambas cadenas son iguales, la validación DKIM pasa. Incluso aunque haya cambiado un único carácter del mensaje, la cadena hash resultante después de ser cifrada con la clave pública, no será idéntica a la enviada desde el servidor de correo electrónico del remitente.

Un fallo en el proceso de validación de la firma DKIM indica que un atacante podría haber manipulado el mensaje. La firma DKIM y el proceso de encriptación garantizan la integridad del mensaje para que los destinatarios no sean víctimas de ataques de phishing y malware a partir de mensajes interceptados.

El servidor DNS del dominio aloja la entrada DKIM TXT, pero el servidor de correo electrónico del destinatario debe ser capaz de localizarla entre otras entradas TXT. El selector DKIM indica dónde puede localizar el servidor de correo electrónico del destinatario, la clave pública del dominio. La clave pública se utiliza para crear una cadena hash y verificarla contra la misma cadena hash creada con la clave privada, por lo que es un componente necesario en la validación DKIM.

Cada mensaje de correo electrónico enviado con configuraciones DKIM incluye un encabezado DKIM-Signature (“Firma DKIM”) con el selector incluido junto con otra información. El siguiente es un ejemplo de una Firma DKIM:

DKIM-Signature: v=1; a=rsa; c=relaxed/relaxed; d=mydomain.com; s=s837fhs;

El valor situado en la etiqueta “s” es el selector DKIM. Este selector se genera cuando usted crea su par de claves privada/pública. Puede encontrar su propio selector DKIM tras configurar DKIM en su servidor de correo electrónico y enviarse un mensaje a sí mismo. Vea los encabezados del mensaje de correo electrónico y busque la sección de encabezados DKIM-Signature. El valor de la etiqueta “s” de las cabeceras es su propio selector DKIM.

DKIM y SPF trabajan juntos para proteger el correo electrónico, detener las escuchas y evitar la manipulación de datos. Ambos forman parte de DMARC (“Domain-based Message Authentication Reporting and Conformance”, en español: “autenticación de mensajes basada en dominios, informes y conformidad”), pero tienen propósitos diferentes. DKIM se utiliza para verificar que ningún tercero ha manipulado los datos de un correo electrónico. SPF, sin embargo, detiene los mensajes falsificados que utilizan el dominio del remitente.

Con un registro SPF, el propietario del dominio registra un registro TXT en sus servidores DNS, del mismo modo que un registro DKIM aloja información clave. La información TXT enumera todos los servidores de correo electrónico aprobados para enviar mensajes de correo electrónico en nombre del dominio. Si un atacante utiliza encabezados de mensaje falsificados, el registro SPF permite al servidor de correo electrónico del destinatario detectar los mensajes fraudulentos y bloquearlos para que no lleguen a la bandeja de entrada de la víctima prevista.

Un registro SPF solamente garantiza que los mensajes de correo electrónico falsificados no puedan ser enviados a los destinatarios, pero no garantiza que un atacante no haya manipulado el mensaje. Sin DKIM, un atacante podría secuestrar los mensajes y enviar un mensaje alterado al destinatario. DKIM funciona junto con SPF para garantizar que el remitente es legítimo y que el mensaje no fue alterado durante la transmisión.

DKIM y SPF juntos añaden seguridad al sistema de correo electrónico, una de las principales herramientas de comunicación en internet. El correo electrónico llevaba mucho tiempo siendo una manera para que los atacantes robaran identidades y credenciales de usuario, ya que la mayoría de los usuarios no tenían la capacidad de detectar los mensajes falsificados. Estas dos estrategias se aplican a continuación a las reglas DMARC. DMARC determina lo que le ocurre al mensaje si no supera la validación.

Para las grandes empresas, las reglas DMARC pueden poner en cuarentena los mensajes para que los revise un administrador. Los mensajes en cuarentena no llegan al destinatario a menos que el administrador los pase a su bandeja de entrada. Los falsos positivos pueden reenviarse al destinatario previsto para que ningún mensaje importante sea descartado y eliminado incorrectamente. Una vez que se haya comprobado a fondo la seguridad, se puede configurar DMARC para que descarte y elimine automáticamente los mensajes que no superen la validación DKIM y SPF.

DKIM, SPF y DMARC se utilizan a menudo indistintamente; sin embargo, son tres estrategias distintas que trabajan juntas para asegurar los mensajes de correo electrónico. Piense en DMARC como las reglas de seguridad que determinan qué hacer con un mensaje cuando DKIM y SPF no superan la validación.

DMARC proporciona tres opciones para la validación DKIM fallida: cuarentena, rechazo y ninguna. El proceso de seguridad DMARC determina cuál de estas tres fases se aplicará al mensaje. El administrador del servidor de correo electrónico establece la configuración DMARC, de este modo, lo que ocurra con los mensajes fallidos dependerá de las preferencias del administrador.

La configuración “ninguna” significa que no ocurre nada, y los mensajes siguen llegando a la bandeja de entrada del destinatario. Esta configuración es para destinatarios que necesitan recibir mensajes que han sido suplantados o que contienen contenido malintencionado. El destinatario podría ser un administrador de seguridad o un empleado que necesita investigar mensajes sospechosos.

El estado de “cuarentena” es el que utilizan muchos administradores para revisar los mensajes que no superan la validación. El sistema de correo electrónico coloca estos mensajes en una ubicación segura a la que los usuarios no pueden acceder, pero donde un administrador puede revisarlos posteriormente. Al revisar los mensajes enviados a cuarentena, un administrador puede determinar cuándo la organización ha sido objetivo de una campaña de phishing. Los mensajes en cuarentena también podrían utilizarse para determinar si los ajustes SPF o DKIM están mal configurados. Algunos sistemas de seguridad del correo electrónico funcionan con inteligencia artificial (IA), por lo que el administrador puede señalar un falso positivo para ayudar a entrenar mejor al sistema.

Si un mensaje no supera la validación DKIM y DMARC está configurado para rechazar mensajes, el servidor de correo electrónico lo descarta por completo y no lo envía a ninguna parte. Esta configuración es habitual en servidores de correo electrónico públicos como Gmail. Google descarta directamente millones de mensajes que no superan la validación DKIM y SPF para que sus clientes no sean víctimas de phishing, piratería informática y otras campañas de robo de identidad.

Un registro DKIM beneficia a los receptores informándoles de correos electrónicos que pueden contener contenido malintencionado o spam. También sirve para validar que los datos incluidos en la firma DKIM no se modificaron en tránsito. Pero como DKIM es más difícil de implementar, son menos los remitentes que lo han adoptado. Además, DKIM no hace nada para evitar que los ciberdelincuentes falsifiquen las partes visibles del campo “de” de un correo electrónico, incluida la dirección de correo electrónico, el nombre de visualización y el dominio. Así que, al igual que SPF, DKIM por sí solo no es suficiente para proteger a una organización de sofisticados ataques de phishing.

Combinando lo mejor de SPF y DKIM, la norma de autenticación DMARC (Domain-based Message Authentication Reporting and Conformance) es la única tecnología que puede validar que los mensajes que utilizan el dominio de una empresa como remitente en el encabezado “de”, son legítimos.