Rotación de Claves DKIM

¿Por qué es importante la rotación de claves DKIM para la seguridad de tu dominio?

La rotación de claves DKIM implica empezar a utilizar un nuevo par de claves pública/privada para firmar y autenticar tus mensajes, y dejar de utilizar el par de claves pública/privada anterior.

¿Por qué es esto importante? Bueno, si alguien lograra acceder a tu clave privada, ¡podría usarla para enviar correos electrónicos fraudulentos que parecen provenir de ti! Para evitar este tipo de actividad maliciosa, es una práctica recomendada rotar tus claves cada pocos meses.

Para entender mejor la importancia de la rotación de claves DKIM, considera este ejemplo:

Imagina que envías una campaña de correo electrónico para una venta de vacaciones en tu tienda. Utilizas tus claves DKIM para firmar tus correos electrónicos. Sin embargo, si envías suficientes correos electrónicos utilizando el mismo par de claves a lo largo del tiempo, los actores malintencionados podrían eventualmente interceptar y descifrar uno de ellos, dado que cada mensaje utiliza el mismo algoritmo hash criptográfico. Una vez que obtienen tu clave pública, ¡pueden comenzar a firmar sus correos electrónicos de phishing con ella sin que tú lo sepas! Por eso, la rotación periódica de claves DKIM es crucial para la seguridad de tu dominio.

¿Cómo puedes rotar tus claves DKIM?

1. Rotación manual de claves DKIM 

Puedes rotar manualmente tus claves DKIM de vez en cuando creando nuevas claves para tu dominio. Sigue estos pasos: 

• Dirígete a una herramienta gratuita generadora de registros DKIM 
• Ingresa la información de tu dominio y el selector DKIM deseado de tu elección 
• Haz clic en el botón "Generar" 
• Copia tu nuevo par de claves DKIM 
• La clave pública debe publicarse en tu DNS, reemplazando tu registro anterior
•  La clave privada debe ser compartida con tu ESP (si tercerizas tus correos electrónicos) o cargada en tu servidor de correo electrónico (si manejas la transferencia de correo en las instalaciones)

2. Delegación de claves DKIM de subdominio 

Los propietarios de dominios pueden tercerizar la rotación de claves DKIM permitiendo que un tercero la maneje por ellos. Esto ocurre cuando el propietario del dominio delega un subdominio dedicado a un proveedor de correo electrónico y les pide que generen un par de claves DKIM en su nombre. Esto permite a los propietarios evitar la molestia de la rotación de claves DKIM al tercerizar la responsabilidad a un tercero.

Sin embargo, esto puede causar problemas de anulación de políticas con entradas DMARC. Se recomienda que las claves rotadas sean monitoreadas y revisadas por los controladores de dominio para garantizar una implementación fluida y sin errores.

3. Delegación de claves DKIM CNAME 

CNAME significa nombre canónico y son registros DNS que se utilizan para apuntar a datos de un dominio externo. La delegación CNAME permite a los propietarios de dominios apuntar a información de registro DKIM mantenida por cualquier tercero externo. Esto es similar a la delegación de subdominios ya que el propietario del dominio solo necesita publicar algunos registros CNAME en su DNS, mientras que la infraestructura DKIM y la rotación de claves DKIM son manejadas por el tercero al que apunta el registro.

Por ejemplo, "domain.com" es el dominio desde el cual se deben firmar los correos electrónicos originarios, y "third-party.com" es el proveedor que manejará el proceso de firma.

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

El registro CNAME mencionado anteriormente debe publicarse en el DNS del propietario del dominio.

Ahora bien, s1.domain.com.third-party.com ya tiene un registro DKIM publicado en su DNS que puede ser: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599…." 

Esta información se utilizará para firmar correos electrónicos originados desde domain.com.

Nota: Debes publicar múltiples registros DKIM (se recomienda al menos 3 registros CNAME) con selectores diferentes en tu DNS para habilitar la rotación de claves DKIM. Esto permitirá a tu proveedor cambiar entre claves mientras firma y proporcionarles opciones alternativas.

4. Rotación automática de claves DKIM 

La mayoría de los proveedores de correo electrónico y servicios de correo electrónico de terceros permiten la rotación automática de claves DKIM para los clientes. Por ejemplo, si estás utilizando Office 365 para el enrutamiento de tus correos electrónicos, te alegrará saber que Microsoft admite la rotación automática de claves DKIM para sus usuarios de Office 365.

Hemos cubierto un documento completo sobre cómo habilitar la rotación de claves DKIM para tus correos electrónicos de Office 365 en nuestra base de conocimientos.

Beneficios de rotar automáticamente tus claves DKIM 

• No necesitas hacer nada por tu cuenta si tu proveedor permite la rotación automática de claves DKIM. Todo es gestionado por ellos. 
• Las configuraciones manuales son propensas a errores humanos. 
• La rotación automática de claves es rápida y efectiva, no requiere interferencia por tu parte. 
• El sistema de gestión DKIM es completamente tercerizado y manejado por un tercero. 

Implementación de una estrategia de rotación de claves DKIM 

Lo llamamos las "3 Ds de la rotación de claves DKIM": 

• Discutir 
• Decidir 
• Desplegar 

Esto resume una estrategia efectiva de rotación de claves DKIM para tus dominios. Cuando estés utilizando cualquier servicio de terceros para tus correos electrónicos y tu proveedor está manejando la rotación por ti, asegúrate de tener una discusión abierta y transparente sobre cuándo y con qué frecuencia deseas rotar tus claves. Deberías tener voz en los plazos, así como en el tamaño que deseas usar para tu clave de selector (si prefieres usar 1024 bits o 2048 bits para mayor seguridad).

Una vez que pase la fase de discusión, tú y tu proveedor deben decidir mutuamente cuál es tu estrategia y finalmente proceder a implementarla.