DKIM original ha sido la columna vertebral de la firma de correos electrónicos desde 2011. DKIM2 es la primera actualización significativa, que aborda las deficiencias estructurales que han persistido durante más de una década.
Sendmarc sigue de cerca la evolución del estándar y adaptará su plataforma a DKIM2 en cuanto este se haya ultimado.
DKIM es un estándar de autenticación de correo electrónico que utiliza una firma criptográfica para verificar que un mensaje no ha sido alterado durante su transmisión.
Cuando se envía un correo electrónico, el servidor de envío adjunta una firma digital al encabezado del mensaje. El servidor receptor recupera la clave pública del remitente del DNS y la utiliza para verificar la firma. Si la firma es válida, se confirma que el mensaje no ha sido modificado.
DKIM junto con SPF y DMARC para formar un marco completo de autenticación de correo electrónico.
DKIM2 es la propuesta de sucesor del DKIM original (RFC 6376), que actualmente está desarrollando el Grupo de Trabajo de Ingeniería de Internet (IETF). La especificación original se publicó en 2011 y, desde entonces, se ha implantado ampliamente; sin embargo, presenta debilidades estructurales que no se comprendieron del todo en el momento de su publicación.
DKIM2 aborda directamente esas deficiencias. Se enfrenta a los ataques de repetición y al backscatter, al tiempo que hace que la firma de correos electrónicos sea más flexible, coherente y eficiente.
La mayor parte del implementación recae en los servicios que envían correos electrónicos, como Sendgrid, Amazon SES, Mailchimp y Microsoft.
Para los propietarios de dominios, DKIM existentes seguirán funcionando. La compatibilidad con versiones anteriores es una decisión de diseño deliberada, que permite la adopción del sistema desde el primer día.
En el caso de DMARC como Sendmarc, DKIM más sólida y fiable se traduce en mejores indicadores, lo que mejora la precisión de reporte la aplicación de las normas.
DKIM2 introduce varias mejoras estructurales y criptográficas. A continuación se detallan los cambios más importantes que deben conocer los profesionales de la seguridad y los propietarios de dominios.
El estándar DKIM2 establece qué encabezados deben firmarse, lo que garantiza que todos los encabezados críticos queden cubiertos de forma sistemática. Esto reduce la confusión y subsana las deficiencias que deja la firma parcial.
DKIM2 tiene como objetivo hacer frente a los ataques de repetición vinculando los mensajes a sus destinatarios previstos y registrando la hora en que se envió cada mensaje. En conjunto, estas novedades permiten a los sistemas receptores detectar y rechazar los mensajes firmados que se reenvían a los destinatarios.
DKIM2 aborda el problema del «backscatter» reenviando el DSN al servidor que gestionó el mensaje por última vez. Esto contribuirá a garantizar que los mensajes se envíen a la dirección correcta. Además, hace que el rechazo diferido sea más seguro, ya que da a los sistemas receptores más tiempo para analizar los mensajes antes de aceptarlos o rechazarlos.
DKIM2 mejora la gestión de los mensajes devueltos y los errores al permitir que las listas de correo y las pasarelas de seguridad registren los cambios que realizan —y los reviertan—. Esto simplifica la verificación en el extremo receptor y facilita la detección de intentos de manipulación.
DKIM2 es compatible con múltiples algoritmos criptográficos —entre ellos RSA, curva elíptica y, potencialmente, algoritmos poscuánticos—, lo que facilita el abandono de algoritmos obsoletos sin afectar al envío de correos electrónicos. Además, permite incluir más de una firma en un único encabezado DKIM2, de modo que, si un algoritmo falla, el otro puede seguir superando la verificación.
Se espera que DKIM2 reduzca el número de cálculos criptográficos. Cuando un mensaje no ha sido alterado por ningún intermediario, solo sería necesario verificar solo primera firma DKIM2, lo que agilizaría el proceso.
Normas como DKIM2 suelen surgir a partir de debates en el MAAWG (Grupo de Trabajo contra el Abuso en Mensajería, Malware y Dispositivos Móviles), donde los operadores de correo electrónico colaboran para abordar los nuevos retos antes de que las propuestas pasen al IETF y, finalmente, se publiquen como RFC.
El grupo de trabajo está formado por ingenieros y operadores de grandes proveedores de correo electrónico e intermediarios —organizaciones interesadas en resolver las deficiencias que aborda DKIM2—, lo que confiere a la propuesta un gran impulso práctico.
DKIM2 ha sido adoptado por el grupo DKIM del IETF y se encuentra en fase de desarrollo. Aún debe presentarse, revisarse y someterse a revisión antes de que pueda publicarse como norma.
El sector cuenta con un calendario para DKIM2. A partir del cuarto trimestre de 2026, los proveedores, entre ellos Google y Yahoo, comenzarán una fase de verificación experimental. Es probable que los resultados se puedan consultar a través de los informes DMARC y los encabezados «Authentication-Results ». La implementación a gran escala está prevista para el primer trimestre de 2027. Los propietarios de dominios no necesitan tomar ninguna medida por el momento, ya que DKIM actuales DKIM siguen siendo válidas.
Sendmarc está siguiendo de cerca la evolución de la propuesta DKIM2. Cuando el protocolo esté definitivo, tenemos previsto adaptar nuestra plataforma a la especificación actualizada para que los propietarios de dominios puedan adoptar el nuevo estándar sin complicaciones.
DKIM2 soluciona las deficiencias que desde hace tiempo existen en la forma en que se firman y envían los correos electrónicos. Estos cambios abordan retos operativos y de seguridad reales.
La gestión DKIM en múltiples dominios y plataformas de envío supone una tarea compleja desde el punto de vista operativo. Una plataforma diseñada específicamente para este fin garantiza que su infraestructura de firma se mantenga precisa y actualizada a medida que evolucionan los estándares, sin aumentar la carga de trabajo de los equipos de seguridad y de TI, que ya están al límite de su capacidad.
Prepara tu entorno de correo electrónico para lo que está por venir
DKIM2 aún se encuentra en fase de desarrollo, pero las brechas de seguridad que aborda son reales y ya existen en la actualidad. Sendmarc ofrece una visión global de tus DMARC DKIM, SPF y DMARC , para que estés protegido ahora mismo y preparado para lo que venga.
DKIM2 es una propuesta de actualización del estándar original de autenticación DKIM . Aborda los ataques de repetición y el backscatter, al tiempo que hace que la firma de correos electrónicos sea más flexible, coherente y eficiente. Actualmente se encuentra en fase de borrador de Internet activo.
No. DKIM2 aún se encuentra en fase de desarrollo, por lo que, por el momento, no es necesario realizar ningún cambio. DKIM existentes siguen siendo válidos. Cuando DKIM2 se haya consolidado como estándar, es muy probable que su implantación se lleve a cabo de forma gradual, y Sendmarc ayudará a los propietarios de dominios a gestionar la transición.
Un ataque DKIM se produce cuando un atacante captura una DKIM válida de un correo electrónico legítimo y la reutiliza en otro mensaje fraudulento. Dado que el DKIM original no vincula las firmas a sus destinatarios previstos, este ataque permite que los correos electrónicos maliciosos incluyan una firma técnicamente válida, eludiendo así los controles de autenticación.
DKIM2 sigue siendo un borrador de Internet activo. Antes de su publicación, debe pasar por las fases de presentación, edición y revisión formal. Ya se ha establecido un calendario de implementación, y se espera que los principales proveedores de correo electrónico realicen verificaciones experimentales en el cuarto trimestre de 2026 y que las implementaciones en producción previstas para el primer trimestre de 2027. Sendmarc está supervisando los avances y adaptará suplataforma con el estándar una vez se finalizado.