Parte 6 de la serie "Seguridad web en la UE: 10 pasos para una mejor calificación"
El problema
SPF comprueba si el servidor de correo está autorizado. Pero SPF no comprueba si el contenido del correo electrónico fue alterado en tránsito. Un servidor de retransmisión comprometido puede cambiar el texto, sustituir enlaces, manipular adjuntos — y SPF sigue diciendo "pass".
DKIM resuelve esto: tu servidor de correo firma cada correo saliente con una clave privada. El destinatario verifica la firma usando la clave pública publicada en tu DNS. Si el correo fue alterado, la firma no coincide — el destinatario sabe: manipulación.
Adopción de DKIM en la UE: 31,1%. Dos de cada tres dominios no firman sus correos electrónicos.
Por qué DKIM es crítico para DMARC
DMARC comprueba: ¿Pasa SPF O DKIM — y está el dominio alineado? En la práctica, SPF falla frecuentemente con correos reenviados (el reenvío rompe SPF). DKIM sobrevive al reenvío porque la firma está adjunta a la cabecera del correo, no al servidor de envío.
Sin DKIM, tu política DMARC falla en cada correo reenviado. Listas de correo, reglas de reenvío de Outlook, autoenvío — todos generan fallos SPF. Solo DKIM salva la entregabilidad.
Cómo configurar DKIM
Google Workspace
- Consola de administración > Apps > Google Workspace > Gmail > Autenticar correo electrónico
- "Generar nueva clave DKIM" > Longitud de clave 2048 bit
- Añade el registro TXT mostrado a tu DNS (bajo
google._domainkey.tu-dominio.com) - De vuelta en la Consola de administración: "Iniciar autenticación"
Microsoft 365
- Microsoft 365 Defender > Políticas > Autenticación de correo electrónico > DKIM
- Seleccionar dominio > "Crear clave DKIM"
- Añade dos registros CNAME a tu DNS (Microsoft los muestra)
- Activar DKIM
Brevo / Mailchimp / Herramientas de newsletter
La mayoría de las herramientas de newsletter requieren la configuración de DKIM durante la verificación del dominio:
- En la herramienta: Añadir dominio > Se muestra el registro DKIM
- Añade el registro TXT a tu DNS
- En la herramienta: Verificar dominio
Configuración manual (Postfix / Servidor de correo propio)
# Instalar OpenDKIM
apt install opendkim opendkim-tools
# Generar par de claves
opendkim-genkey -t -s mail -d tu-dominio.com
# Añadir clave pública al DNS
cat mail.txt # -> Registro TXT bajo mail._domainkey.tu-dominio.com
Longitud de clave
- 1024 bit: Mínimo, todavía aceptado, pero criptográficamente marginal
- 2048 bit: Estándar, recomendado
- 4096 bit: Máxima seguridad, pero algunos proveedores DNS tienen problemas con la longitud del registro TXT (>255 caracteres requieren división)
Del benchmark: solo el 31% tiene DKIM — y de esos, aproximadamente el 60% todavía usa claves de 1024 bits. Recomendamos actualizar a 2048 bits.
Errores comunes
1. Olvidar DKIM para remitentes de terceros. Cada servicio que envía correos en tu nombre necesita su propio selector DKIM: Google Workspace, herramienta de newsletter, sistema de tickets, CRM. Cada uno obtiene su propio registro selector._domainkey.
2. No rotar nunca las claves. Las claves DKIM deben rotarse cada 6-12 meses. La mayoría de los proveedores lo hacen automáticamente — pero verifícalo.
3. DKIM sin DMARC. DKIM solo verifica la firma. Sin DMARC, no le dice al destinatario qué hacer con los correos no firmados.
Comprueba la seguridad de tu correo electrónico
SiteGuardian comprueba SPF, DKIM (incluyendo longitud de clave y detección de selector), DMARC y STARTTLS:
La próxima semana en la Parte 7: X-Content-Type-Options y Referrer-Policy — dos cabeceras, cinco minutos, protección mediblemente mejor.