Back to Course
Լight modeDark mode

Fallos de Autenticación DKIM

¿Qué significa el fallo de DKIM?

El fallo de DKIM se refiere al estado fallido de su verificación de autenticación DKIM, debido a una discrepancia entre los dominios especificados en el encabezado de la firma DKIM y el encabezado From, y a inconsistencias entre los valores del par de claves.

Escenarios donde DKIM puede fallar

1. Error en la sintaxis del registro DKIM

Si no utiliza una herramienta confiable de generación de registros DKIM para generar su registro y trata de configurarlo manualmente para su dominio, puede implementarlo incorrectamente. Los errores sintácticos en sus registros DNS pueden llevar a fallos de autenticación y, en este caso, DKIM falla.

2 . Fallo de alineación del identificador DKIM

Si tiene configurado DMARC para su dominio además de DKIM, durante la verificación de DKIM el valor del dominio en el campo d= de la firma DKIM en el encabezado del correo electrónico debe alinearse con el dominio encontrado en la dirección del remitente. Puede ser una alineación estricta, en la que los dos dominios deben coincidir exactamente, o una alineación relajada que permite que una coincidencia organizacional pase la verificación. 
 

Un fallo de DKIM puede ocurrir si el dominio del encabezado de la firma DKIM no coincide con el dominio encontrado en el encabezado From, lo que podría ser un caso típico de suplantación de dominio o ataque de suplantación de identidad.

3 . No ha configurado DKIM para sus proveedores de correo electrónico de terceros. 

Si utiliza varios proveedores de correo electrónico de terceros para enviar correos electrónicos en nombre de su organización, debe ponerse en contacto con ellos para obtener instrucciones sobre cómo activar DKIM para sus correos electrónicos salientes. Si está utilizando sus propios dominios o subdominios personalizados registrados en este servicio de terceros para enviar correos electrónicos a sus clientes, asegúrese de solicitar a su proveedor que gestione DKIM por usted.

Idealmente, si su proveedor de terceros le está ayudando a externalizar sus correos electrónicos, ellos configurarán su dominio publicando un registro DKIM en su DNS utilizando un selector DKIM que sea único para usted, sin que tenga que intervenir.

O bien, Puede generar un par de claves DKIM y entregar la clave privada a su proveedor de correo electrónico mientras publica la clave pública en su propio DNS. Las configuraciones incorrectas pueden llevar a fallos de DKIM, por lo que es imperativo que se comunique abiertamente con su proveedor de servicios sobre la configuración de DKIM.

Nota: Algunos servidores de intercambio de terceros inducen pies de página formateados en el cuerpo del mensaje. Si estos servidores son servidores intermediarios en un proceso de reenvío de correos electrónicos, el pie de página adjunto puede ser un factor que contribuya al fallo de DKIM.

4 . Problemas en la comunicación del servidor. 

En ciertas situaciones, el correo electrónico podría ser enviado desde un servidor en el que DKIM está desactivado. En tales casos, DKIM fallará para ese correo electrónico. Es importante asegurarse de que las partes que comunican tengan DKIM activado correctamente.

5 . Modificaciones en el cuerpo del mensaje por Agentes de Transferencia de Correo (MTAs)

A diferencia de SPF, DKIM no verifica la dirección IP del remitente ni la ruta de retorno al verificar la autenticidad de los mensajes. En cambio, asegura que el contenido del mensaje no haya sido alterado durante el tránsito. A veces, los MTAs participantes y los agentes de reenvío de correo electrónico pueden modificar el cuerpo del mensaje durante el ajuste de líneas o el formato del contenido, lo cual puede llevar a fallos de DKIM.

El formato del contenido de un correo electrónico suele ser un proceso automatizado para asegurar que el mensaje sea fácilmente comprensible para cada destinatario.

6 . Interrupción del DNS / Tiempo fuera del DNS

Esta es una razón común para fallos de autenticación, incluyendo fallos de DKIM. Las interrupciones del DNS pueden ocurrir debido a diversas razones, incluidos ataques de denegación de servicio. El mantenimiento rutinario de su servidor de nombres también puede ser la causa de una caída del DNS. Durante este período (generalmente breve),los servidores receptores no pueden realizar consultas DNS.

Como sabemos, DKIM existe en su DNS como un registro TXT/CNAME, y el servidor cliente realiza una búsqueda para consultar el DNS del remitente en busca de la clave pública durante la autenticación. Durante una interrupción, esto no es posible y por lo tanto puede romper DKIM.
 

7 . Usando OpenDKIM

Una implementación de DKIM de código abierto conocida como OpenDKIM es comúnmente utilizada por proveedores de buzones como Gmail, Outlook, Yahoo, etc. OpenDKIM se conecta con el servidor a través del puerto 8891 durante la verificación. A veces, los errores pueden ser causados por habilitar permisos incorrectos debido a los cuales su servidor no puede enlazarse con su socket.

Revise su directorio para asegurarse de que ha habilitado los permisos correctamente, o si tiene configurado un directorio para su socket.

Fundamentos Basicos de DKIM >Fallos de Autenticación DKIM
Course content
Curso de Fundamentos Básicos de Autenticación de Correo Electrónico