el campo encabezado de firma de DKIM es un encabezado especial colocado en cada mensaje de correo electrónico que contiene información sobre el remitente, el mensaje y la ubicación de Clave Pública necesaria para la verificación. Este campo de encabezado es requerido por todos los proveedores de buzones que usan DKIM para verificar su identidad, incluidos AOL, Gmail, Outlook.com, y Yahoo!.,
Aquí hay un ejemplo de un encabezado de firma DKIM:
el encabezado de firma DKIM se compone de diferentes elementos informativos que se representan mediante el uso de pares tag=value. La etiqueta suele ser una sola letra seguida de un signo igual (=). El valor de cada etiqueta indica una información específica sobre el remitente, el mensaje y la ubicación de la Clave Pública.
Hay numerosas etiquetas disponibles para un remitente; algunas etiquetas son obligatorias y otras son opcionales., La falta de una etiqueta requerida en la firma DKIM conduce a un error de verificación con el proveedor del buzón, mientras que la falta de una etiqueta opcional no lo hace.
Es importante tener en cuenta que las etiquetas que se incluyen en la firma DKIM y no tienen un valor asociado a ellas se tratan como si tuvieran un valor vacío. Sin embargo, las etiquetas que no se incluyen en la firma DKIM se tratan como si tuvieran el valor predeterminado.
etiquetas requeridas
a continuación se muestran las etiquetas requeridas de un encabezado de firma DKIM. Cualquier firma DKIM que falte estas etiquetas se encontrará con un error durante el proceso de verificación.,
- v = indica la versión de la especificación de la firma. El valor siempre debe establecerse en 1.
- a= indica el algoritmo utilizado para generar la firma. El valor debe ser rsa-sha256. Los remitentes con capacidades de CPU reducidas pueden usar rsa-sha1. Sin embargo, se desaconseja el uso de RSA-sha1 debido a los posibles riesgos de seguridad.
- s = indica el nombre de registro selector utilizado con el dominio para localizar la Clave Pública en DNS. El valor es un nombre o número creado por el remitente.,
- aquí hay un ejemplo de un registro de selector DNS. Las etiquetas que se muestran en este ejemplo solo aparecen en este registro dentro de DNS y no en el encabezado del correo electrónico: < selector (s=)._domainkey.domain (d=)>. TXT v=DKIM1; k=rsa; p=<public key>
- b= son los datos hash de los encabezados listados en la etiqueta h=; este hash también se llama firma DKIM y codificado en base64.,
- bh= es el hash calculado del cuerpo del mensaje. El valor es una cadena de caracteres que representa el hash determinado por el algoritmo hash.
- D = indica el dominio utilizado con el registro selector (s=) para localizar la Clave Pública. El valor es un nombre de dominio propiedad del remitente.
- h = es una lista de encabezados que se utilizarán en el algoritmo de firma para crear el hash que se encuentra en la etiqueta b=., El orden de los encabezados en la etiqueta h= es el orden en el que se presentaron durante la firma de DKIM, y por lo tanto es también el orden en el que deben presentarse durante la verificación. El valor es una lista de campos de encabezado que no cambiarán ni se eliminarán.
etiquetas opcionales y recomendadas
a continuación se muestran las etiquetas opcionales que le recomendamos incluir en un encabezado de firma DKIM. Las firmas DKIM a las que les falten estas etiquetas no encontrarán un error durante la verificación, pero se recomiendan como un medio para ayudar a identificar el spam.
los Spammers normalmente no establecen valores de tiempo., Los valores de tiempo vacíos o incorrectos, como una fecha de vencimiento anterior a la marca de tiempo del correo electrónico, harán que algunos proveedores de buzón rechacen el mensaje.
- t = es la marca de tiempo de la firma DKIM. Está destinado a indicar la hora en que se envía el mensaje. El formato es el número de segundos desde las 00:00:00 del 1 de enero de 1970 en la zona horaria UTC.
- x = es el tiempo de caducidad de la firma DKIM en el mismo formato que el anterior. El valor de la etiqueta this debe ser mayor que el valor de la etiqueta timestamp si ambas se utilizan en la firma DKIM., Las firmas DKIM pueden considerarse inválidas si el tiempo de verificación en el verificador supera la fecha de vencimiento, así que asegúrese de no establecer la fecha de vencimiento demasiado pronto.
Complete las pruebas para asegurarse de que estas etiquetas funcionan correctamente y que el tiempo de caducidad no se establece demasiado pronto después de la implementación.
etiquetas opcionales
a continuación se muestran las etiquetas opcionales que no se requieren en la firma DKIM.,
- c = es el algoritmo de canonicalización que define a un proveedor de buzón qué nivel de modificaciones puede estar presente cuando el correo electrónico está en tránsito al proveedor de buzón. Las modificaciones pueden incluir espacios en blanco o ajuste de línea. Algunos servidores de correo electrónico hacen modificaciones menores al correo electrónico durante el tránsito que pueden invalidar la firma.
- Aquí está el valor que define qué nivel de tolerancia debe tener el servidor de destino cuando un mensaje tiene estas modificaciones menores: value1/value2.,
Value1 representa el encabezado del mensaje y value2 representa el cuerpo del mensaje. Value1 y value2 se pueden etiquetar como «simple», que tolera muy poca, si alguna, modificación, o» relajado » que tolera modificaciones comunes.
- i= indica la identidad del usuario o agente. El valor es una dirección de correo electrónico que contiene el dominio o subdominio como se define en la etiqueta d=.,
etiquetas opcionales y no recomendadas
- l = es el número de caracteres del cuerpo del mensaje que se utilizaron para calcular el hash del cuerpo (bh=). Si este valor no está ahí, entonces se asume que se usó todo el cuerpo del mensaje. No recomendamos que utilice esta etiqueta porque puede ser difícil de controlar y puede conducir a errores de verificación.
- z = es una lista de los encabezados originales del mensaje y puede diferir de los encabezados listados en la etiqueta h=., Esta etiqueta puede ser utilizada por algunos proveedores de buzón en el proceso de diagnóstico de un error de verificación. Su valor no está bien definido.
etiquetas no reconocidas
cualquier etiqueta no especificada en el RFC 6376 no forma parte del protocolo DKIM y debe ignorarse durante el proceso de verificación. No todos los proveedores de buzón ignoran las etiquetas no reconocidas, por lo que es posible que vea un error durante el proceso de verificación.
Puede encontrar información completa sobre la firma DKIM en el sitio web de DKIM o en RFC 6376.
Deja una respuesta