Volver a 'Significados'¿Qué es DKIM2?
Última actualización:
La seguridad del correo electrónico no se detiene, y menos mal. Después de casi 20 años, DKIM recibe una gran actualización llamada DKIM2. Este nuevo estándar de seguridad de email aborda problemas que han surgido en los últimos años y hace que el correo sea aún más seguro. DKIM2 trae grandes mejoras especialmente para mensajes reenviados y listas de correo.
Anteriormente escribimos el artículo '¿Qué es DKIM?'. En él explicamos exactamente qué es el DKIM1 actual y qué hace por la seguridad del correo electrónico. Recomendamos leer primero ese artículo para hacer el paso a DKIM2 un poco más fácil.
Qué es DKIM2
DKIM2 es la segunda versión de DomainKeys Identified Mail y actualmente está en desarrollo.
Donde DKIM (ahora llamado DKIM1) demuestra que un correo proviene de un dominio específico, DKIM2 va un paso más allá. Documenta toda la ruta que recorre un correo desde el remitente hasta el destinatario. Cada servidor de correo que maneja el email añade su propia firma. Así puedes ver exactamente qué sistemas han procesado el correo.
Ejemplo
Con DKIM1 esto a veces puede causar confusión: al reenviar se añade automáticamente una línea como "Reenviado por Juan Pérez". Por esa única línea extra, la seguridad DKIM ya no funciona correctamente. El correo normalmente llega, pero el servidor de correo del destinatario ya no puede verificar si el contenido no ha sido modificado.
Con DKIM2 funciona de manera diferente. Cuando tu servidor de correo envía la confirmación del pedido, añade una firma DKIM2. Cuando el cliente reenvía el correo, su servidor de correo añade su propia firma y registra qué cambio se hizo (esa línea "Reenviado por..."). El servidor de correo del contador ahora puede ver exactamente:
- El correo realmente proviene de tu tienda online (primera firma)
- El cliente reenvió el correo (segunda firma)
- No se hicieron cambios en el correo original
De esta manera, el proveedor de correo del destinatario puede ver que el correo original no ha sido modificado.
Por qué llega DKIM2
En 2007, cuando se introdujo DKIM, el correo electrónico se veía muy diferente. Principalmente enviábamos correos directamente a un destinatario. Hoy en día recibes confirmaciones de pedidos de tiendas online, newsletters de empresas y correos de restablecimiento de contraseña de aplicaciones. En resumen: usamos el correo de manera más extensa que nunca.
Los ciberdelincuentes tampoco se han quedado quietos. Donde hace 20 años principalmente enviaban correos simples, ahora usan técnicas avanzadas para eludir las medidas de seguridad existentes como DKIM.
Problemas actuales de DKIM1
DKIM1 funciona bien, pero tiene varios puntos débiles que causan problemas en la práctica:
Correos reenviados
Cuando se reenvía un correo y algo cambia (como un disclaimer o enlace de baja), la seguridad DKIM1 se rompe. El correo normalmente llega, pero los servidores de correo ya no pueden verificar si el contenido no ha sido modificado. DKIM2 registra qué cambios se hicieron, para que esto siga siendo verificable.
Reenvío de correos antiguos (Replay Attack)
DKIM1 no tiene marca de tiempo. Esto significa que un ciberdelincuente puede reenviar un correo antiguo y los servidores de correo lo aceptan porque la seguridad todavía funciona. Esto se llama Replay Attack.
Ejemplo: una tienda online te envía un correo con un código de descuento. Un actor malicioso puede reenviar ese mismo correo meses después a miles de personas. DKIM2 añade una marca de tiempo, permitiendo que los servidores de correo vean que un correo es demasiado antiguo para seguir siendo válido.
Esto lo vemos especialmente alrededor del Black Friday y las fiestas cuando las tiendas online envían códigos de descuento en masa. Los ciberdelincuentes recopilan estos correos y los reenvían más tarde.
Mensajes de error a la persona equivocada (Backscatter)
Cuando un correo no puede ser entregado, el remitente normalmente recibe un mensaje de rebote. Los ciberdelincuentes abusan de esto usando tu dirección de correo como remitente de spam. Todos los mensajes de error llegan a ti, mientras que tú nunca enviaste esos correos. Esto se llama backscatter.
DKIM2 resuelve esto enviando mensajes de error de vuelta al servidor de correo que realmente envió el email, en lugar de a la dirección de correo que aparece como remitente.
La diferencia entre DKIM y DKIM2
DKIM2 se basa en DKIM1, pero resuelve varios problemas importantes. En la tabla a continuación ves las principales diferencias de un vistazo:
| Función | DKIM1 | DKIM2 |
|---|---|---|
| Firma básica (remitente) | Sí | Sí |
| Marca de tiempo | No | Sí |
| Información del destinatario | No | Sí |
| Seguimiento de cambios | No | Sí |
| Múltiples firmas | Sí, pero limitado | Sí, completo |
| Protección Backscatter | No | Sí |
| Protección Replay Attack | No | Sí |
Por firmas nos referimos a códigos de seguridad digitales que son añadidos automáticamente por los servidores de correo. Esto no tiene nada que ver con la firma que tú mismo pones al final de tus correos.
Cuándo estará disponible DKIM2
DKIM2 está actualmente todavía en desarrollo en el IETF (Internet Engineering Task Force). Esta es la organización que establece los estándares de internet. Las especificaciones están siendo elaboradas y probadas actualmente.
Todavía no hay una fecha definitiva para el lanzamiento. Los nuevos estándares de correo electrónico a menudo tardan años antes de ser ampliamente soportados. Piensa en DMARC: ese estándar se introdujo en 2012, pero solo años después fue realmente usado ampliamente por grandes proveedores de correo.
Se espera que DKIM2 se lance gradualmente. Los grandes proveedores de correo como Gmail, Outlook y Yahoo probablemente serán los primeros en añadir soporte. Después seguirán los proveedores de servicios de correo como Lettermint. Para los usuarios cambia poco: la transición ocurre en gran parte automáticamente.
¿Me beneficiaré de esto?
DKIM2 trae beneficios para todos los que usan correo electrónico. Ya sea que envíes o recibas correos, la seguridad mejorada causa menos problemas.
Para remitentes
Tus correos llegan como se pretende, incluso cuando los destinatarios los reenvían. Esto también aplica para correos desde diferentes subdominios. Los ciberdelincuentes ya no pueden reenviar correos antiguos de tu dominio o abusar de tu dirección sin que esto se note.
Para destinatarios
Estás mejor protegido contra correos falsos. Los servidores de correo pueden ver exactamente qué ruta ha seguido un correo y si algo ha sido modificado en el camino. Los correos antiguos que se reenvían también son automáticamente reconocidos.
Conclusión
DKIM2 es el siguiente paso en la seguridad del correo electrónico. Donde DKIM1 principalmente demuestra que un correo proviene de tu dominio, DKIM2 documenta toda la ruta que recorre un correo. Los mensajes reenviados permanecen confiables, los correos antiguos no pueden ser reenviados y los ciberdelincuentes ya no pueden abusar de tu dominio tan fácilmente.
DKIM2 está actualmente todavía en desarrollo. En Lettermint seguimos estos desarrollos de cerca y adoptaremos el nuevo estándar tan pronto como esté disponible.
Lo que puedes hacer ahora: asegúrate de que tu DKIM, SPF y DMARC estén configurados correctamente. Entonces estarás listo para cuando DKIM2 esté disponible.