Cómo activar el mecanismo de seguridad DKIM para el envío de correos desde cuentas de Gmail de Google Workspace. Explicamos qué es DKIM y cómo activarlo para mejorar la seguridad en el envío de correos electrónicos.
- Qué es DKIM.
- Generar clave DKIM en consola de administración de Google Workspace.
- Añadir DNS de tipo TXT para clave DKIM en hosting del dominio.
- Autenticación de DNS DKIM en Google Workspace.
- Comprobar que DKIM está activado en el correo electrónico.
Qué es DKIM
DKIM (DomainKeys Identified Mail) es un método de autenticación de correo electrónico que ayuda a evitar que los spammers se hagan pasar por un dominio legítimo.
Como es sabido, las direcciones de correo electrónico tienen un dominio (definido en la parte final, tras la arroba). Los spammers y otros atacantes pueden intentar suplantar un dominio cuando envían correos electrónicos para llevar a cabo ataques de tipo phishing u otros fraudes similares.
Si no tenemos mecanismos de seguridad adicional como DKIM o SPF, un atacante podría agregar en la dirección del destinatario la dirección de correo electrónico que desee, con el dominio que desee. Esto puede server de engaño al usuario que recibe el correo electrónico, dado que lo único que variará será la IP del servidor que lo envía y esto, casi nunca se comprueba.
DKIM y otros mecanismos de seguridad como SPF o DMARC, impide que los atacantes puedan realizar esta suplantación. Los correos electrónicos que no superan las pruebas DKIM y SPF se marcan como «spam» o no son entregados por los servidores de correo electrónico.
En este tutorial explicamos cómo activar DKIM en cuentas Google Workspace, aunque el proceso es similar (al menos en concepto) para otros sistemas de correo electrónico.
Generar clave DKIM en consola de administración de Google Workspace
En primer lugar, necesitaremos una clave DKIM para agregarla al DNS de nuestro dominio. Para generarla deberemos acceder a la consola de administración de nuestras cuentas de Google Workspace (https://admin.google.com). Accederemos a «Aplicaciones» – «Google Workspace» – «Gmail»:
Pulsaremos en «Autenticar el correo electrónico»:
Si tenemos varios dominios asociados a nuestra cuenta de Google Workspace, seleccionaremos el dominio del que queramos generar la clave DKIM y pulsaremos en «GENERAR REGISTRO»:
Por defecto se generará una clave DKIM de 2048 bits (si el hosting donde tenemos registrado el dominio admite sólo clave DKIM de 1024 bits modificaremos este valor). Por defecto generará la clave con el prefijo «google». Dejaremos este prefijo por defecto salvo que tengamos más claves DKIM generadas para nuestro dominio y para google. Pulsaremos en «GENERAR»:
Anotaremos el valor de «Nombre del host DNS (nombre del registro TXT), por defecto «google._domainkey» y copiaremos toda la clave generada (será la que se agregue al DNS del dominio):
Añadir DNS de tipo TXT para clave DKIM en hosting del dominio
Accederemos al panel de control del hosting donde hayamos registrado el dominio al que queramos aplicar el DKIM. En el panel de control, buscaremos «Zonas DNS»:
Añadiremos una nueva zona DNS, de tipo TXT, con los siguientes valores:
- Tipo de zona DNS [1]: elegiremos tipo de registro «Registro TXT».
- Subdominio [2]: elegiremos «Subdominio».
- Host [3]: introduciremos el valor proporcionado por Google en el paso anterior, en «Nombre del host DNS», por defecto «google._domainkey».
- Cadena de texto [4]: pegaremos el valor copiado en el paso anterior (Valor del registro TXT).
Y pulsaremos en «Crear»:
Autenticación de DNS DKIM en Google Workspace
Tras agregar la zona DNS de tipo TXT con la clave de DKIM generada en el hosting, como hemos indicado anteriormente, es conveniente esperar unas horas a que se propague el DNS. Transcurrido un tiempo, volveremos a acceder a la consola de administración de Google Workspace y a «Autenticar el correo electrónico», como hemos hecho en este paso. Ahora pulsaremos en «INICIAR AUTENTICACIÓN»:
Se iniciará el proceso de autenticación DKIM, nos indicará el progreso arriba en «Estado», con el valor «Se está autenticando el correo electrónico con DKIM»:
El proceso puede tardar varias horas.
Comprobar que DKIM está activado en el correo electrónico
Para verificar que la activación es correcta y que estamos usando DKIM, enviaremos un correo electrónico desde una cuenta del dominio en el que hemos activado DKIM a otra cuenta diferente:
Accederemos al buzón de correo electrónico al que hemos enviado el mail, seleccionaremos el mail recibido y pulsaremos en los tres puntos verticales y en «Mostrar original»:
Si el mecanismo de seguridad DKIM está activado, en el código del mensaje original aparecerá el texto:
dkim=pass
o bien:
dkim=ok
Esto significa que DKIM está activado y ha pasado la prueba correctamente.