DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) es un estándar de autenticación de correo electrónico que permite al servidor de correo emisor adjuntar una firma digital criptográfica a los mensajes salientes. El servidor receptor obtiene la clave pública correspondiente de los registros DNS del remitente y la utiliza para verificar la firma. Si la firma es válida, el destinatario sabe que el correo proviene genuinamente del dominio declarado y no fue alterado en tránsito. DKIM funciona junto con [SPF](/glossary/spf) (Sender Policy Framework) y [DMARC](/glossary/dmarc) (Domain-based Message Authentication, Reporting & Conformance) para formar un marco completo de autenticación de correo electrónico que protege tanto a remitentes como a destinatarios.

El correo electrónico sigue siendo un canal principal para compartir publicaciones digitales, enviar notificaciones de captura de leads y entregar mensajes transaccionales. Sin DKIM, los correos tienen más probabilidades de ser marcados como spam o rechazados por los servidores de correo de los destinatarios. Los principales proveedores como Gmail, Outlook y Yahoo ahora exigen DKIM para los remitentes masivos, y los mensajes sin firmas válidas enfrentan un filtrado cada vez más agresivo. La configuración adecuada de DKIM mejora la entregabilidad, protege tu marca contra la suplantación (donde los atacantes envían correos haciéndose pasar por tu dominio) y genera confianza con los proveedores de correo. Para los editores que dependen del correo electrónico para distribuir flipbooks y recopilar leads, DKIM afecta directamente si tu audiencia realmente ve tus mensajes.

FlipLink envía correos electrónicos en tu nombre para notificaciones de captura de leads, enlaces de publicaciones compartidas y [plantillas de correo](/features/email-templates). Estos correos se envían a través de una infraestructura con DKIM configurado, lo que significa que cada mensaje saliente lleva una firma criptográfica válida. Si utilizas un [dominio personalizado](/features/custom-domains) para tus publicaciones y deseas enviar correos de compartición desde ese dominio, configuras los registros DNS DKIM para autorizar a los servidores de correo de FlipLink a enviar en tu nombre. Esto asegura que los destinatarios vean tu dominio como remitente verificado, maximizando la colocación en la bandeja de entrada y manteniendo la credibilidad de tu marca.

La configuración de DKIM implica tanto la configuración DNS como la coordinación con el servidor de correo. Así es como se ve típicamente el proceso: 1. **Generar un par de claves.** Tu servicio de correo o plataforma (como FlipLink) genera una clave privada (guardada en el servidor de envío) y una clave pública (publicada en DNS). 2. **Agregar el registro DNS TXT.** Crea un registro TXT en `selector._domainkey.tudominio.com` que contenga la clave pública. El selector es una etiqueta (como `fl1` o `mail`) que identifica qué clave usar. 3. **Verificar la propagación del registro.** Los cambios de DNS pueden tardar hasta 48 horas, aunque la mayoría se propaga en una hora. Usa una herramienta de verificación DKIM para confirmar que el registro sea visible. 4. **Enviar un correo de prueba.** Envía un correo desde el dominio configurado y revisa las cabeceras buscando `dkim=pass` en la cabecera Authentication-Results. 5. **Monitorear continuamente.** Configura los informes [DMARC](/glossary/dmarc) para recibir alertas si la validación DKIM comienza a fallar, lo que podría indicar una configuración DNS incorrecta o remitentes no autorizados.

DKIM protege contra dos amenazas específicas: **suplantación de correo electrónico** (alguien que envía correos que parecen venir de tu dominio) y **manipulación de mensajes** (alguien que modifica el contenido del correo después de que sale de tu servidor). Sin embargo, DKIM por sí solo no es una solución de seguridad completa. **Lo que DKIM protege:** - Verifica que el correo fue enviado por un servidor autorizado para ese dominio - Confirma que las cabeceras y el cuerpo firmados no fueron alterados en tránsito - Proporciona una base para la aplicación de políticas [DMARC](/glossary/dmarc) **Lo que DKIM no protege:** - No cifra el contenido del correo (usa TLS para eso) - No verifica la identidad del remitente individual, solo el dominio - No impide que tu dominio reciba spam — solo ayuda a que tu correo saliente sea confiable **La rotación de claves** es una práctica importante pero a menudo descuidada. Si tu clave privada DKIM se ve comprometida, un atacante puede firmar correos como tu dominio. Rota tus claves DKIM periódicamente (cada 6-12 meses) y actualiza el registro DNS con la nueva clave pública antes de retirar la antigua.

Una firma DKIM se agrega como una cabecera `DKIM-Signature` a cada correo saliente. Esta cabecera contiene varios campos: - **v** — Versión (siempre `1`) - **a** — Algoritmo de firma (típicamente `rsa-sha256`) - **d** — El dominio firmante - **s** — El selector usado para buscar la clave pública en DNS - **h** — Lista de cabeceras incluidas en la firma (ej. `from:to:subject:date`) - **bh** — Hash del cuerpo del correo - **b** — La firma criptográfica real El servidor receptor extrae los valores `d` y `s`, consulta DNS para `s._domainkey.d`, obtiene la clave pública y verifica la firma contra las cabeceras firmadas y el hash del cuerpo. Si todo coincide, la verificación DKIM pasa. DKIM soporta longitudes de clave de 1024 bits y 2048 bits. Aunque las claves de 1024 bits son todavía comunes, las de 2048 bits se recomiendan para mayor seguridad. Algunos proveedores DNS tienen un límite de 255 caracteres para registros TXT, lo que requiere dividir las claves más largas de 2048 bits en múltiples cadenas dentro de un solo registro TXT.