¿Puedo tener varios registros DKIM en mi dominio?

DKIM Multiple DKIM Records

¿Puede tener múltiples registros DKIM en un solo dominio? La respuesta es sí, puede tener tantos registros DKIM en su dominio como lo permita su proveedor de DNS.

¿Qué es DKIM?

DKIM son las siglas de DomainKeys Identified Mail. Es un método de autenticación de correo electrónico diseñado para detectar campos de encabezado y contenido falsificados en los correos electrónicos. DKIM permite que el servidor de correo electrónico receptor verifique si los encabezados y el contenido del correo electrónico han sido manipulados en tránsito.

DKIM se basa en la criptografía asimétrica, que utiliza pares de claves: claves privadas que solo conoce el servidor de envío y claves públicas que se publican en el DNS y son accesibles para el servidor de recepción.

Antes de abandonar el servidor de correo electrónico saliente, se firma un mensaje de correo electrónico con la clave privada almacenada en el servidor; al llegar al servidor receptor, el servidor verifica el mensaje de correo electrónico con la clave pública publicada en el DNS.

¿Qué es un registro DKIM?

Un registro DKIM es un registro TXT publicado en el DNS. Consiste en una lista de etiquetas, una de las cuales es la etiqueta "p=", que contiene la clave DKIM pública.

Este es un ejemplo de registro DKIM:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

El registro DKIM anterior consta de una lista de etiquetas que definen los parámetros del registro. La etiqueta p en el registro especifica la clave pública codificada en base64, que utiliza el servidor receptor para validar la firma DKIM.

Un registro DKIM también puede ser un registro CNAME, en cuyo caso, asigna el registro CNAME a un registro DKIM de tipo TXT.

Por ejemplo, si configura DKIM en SendGrid, crea un registro DKIM de tipo CNAME que se ve así:

s1.domainkey.uXXX.wlXXX.sendgrid.net

Este registro se asigna a un registro DKIM de tipo TXT:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

Todos los registros DKIM en el dominio example.com existen en xxx._domainkey.example.com, siendo xxx el selector DKIM, independientemente del tipo de registro.

¿Qué es un selector DKIM?

Un selector DKIM es una cadena que se utiliza para especificar la ubicación de la clave pública DKIM en un dominio. El objetivo principal de los selectores DKIM es permitir varios pares de claves DKIM en el nombre de dominio de la misma organización.

Por ejemplo, puede elegir un selector "may10" y crear una clave pública DKIM en ese selector en el dominio example.com: may10._domainkey.example.com.

También puede elegir otro selector "july29" y crear una clave pública DKIM en ese selector en el dominio example.com: july29._domainkey.example.com.

Para obtener más información sobre los selectores DKIM, consulte: What is a DKIM selector.

¿Puedo tener múltiples registros DKIM en un solo dominio?

Como se mencionó en la sección anterior, varios registros DKIM en un solo dominio son posibles mediante la creación de varios selectores DKIM en ese dominio, con cada selector apuntando a un registro DKIM.

La posibilidad de tener múltiples registros DKIM en un solo dominio es fundamental en los siguientes escenarios:

  • una organización utiliza varios servicios de entrega de correo electrónico para enviar correos electrónicos en nombre de un único dominio, en cuyo caso, se deben utilizar varios selectores DKIM y pares de claves pública/privada para separar estos servicios.

    Por ejemplo, si autoriza tanto a SendGrid como a Mailgun a enviar correos electrónicos en nombre de su dominio, debe tener al menos un registro DKIM para SendGrid y otro para Mailgun. De esta forma, los servidores de firma/verificación de los dos servicios pueden localizar correctamente sus respectivos pares de claves.

  • si está utilizando solo un servicio de entrega de correo electrónico, tener múltiples selectores/pares de claves es esencial para un mecanismo de seguridad DKIM llamado "rotación de claves DKIM". Este es básicamente un proceso en el que los pares de claves se actualizan periódicamente para reducir el riesgo de que los pares de claves se vean comprometidos.

    Obtenga más información sobre este proceso en What is a DKIM selector.

A diferencia de SPF y DMARC, tener múltiples registros DKIM en un solo dominio no solo es posible, sino que a menudo es necesario.

Artículos Relacionados:

Entrada Anterior Siguiente Entrada

 Protect Business Email & Improve Email Deliverability

Get a 14 day trial. No credit card required.

Create Account