Gestión de DKIM las filiales: guía de gobernanza para empresas

Por qué resulta más complicado gestionar DKIM gran escala

En un entorno de un solo dominio, DKIM es sencilla. Se genera un par de claves, se publica la clave pública en el DNS y se configura la plataforma de correo electrónico para que firme los mensajes salientes. En el caso de un grupo de dominios subsidiarios, ese mismo proceso se repite para cada sistema de envío que se utilice.

Cada dominio secundario requiere sus propios registros DKIM . Las filiales suelen utilizar diferentes plataformas de correo electrónico —herramientas de marketing, CRM, sistemas de RR. HH.— y cada una de ellas requiere un par de claves y un selector independientes. Las entidades adquiridas suelen presentar DKIM incoherentes o incompletas, de las que usted se hace responsable en el momento en que se cierra la adquisición.

Sin una supervisión centralizada, las discrepancias en la firma pasan desapercibidas hasta que surgen DMARC . Y dado que los cambios en el DNS suelen requerir la coordinación entre el departamento central de TI y los equipos de las filiales, la corrección de estos problemas se lleva a cabo con lentitud.

El resultado es una configuración que se va desviando con el tiempo. Ampliar DKIM implica ajustar tanto la configuración técnica como los procesos operativos.

Los riesgos de DKIM incorrecta DKIM

Las deficiencias en DKIM tienen consecuencias directas para la seguridad, la capacidad de entrega y el cumplimiento normativo. Cada dominio secundario representa un posible punto de fallo.

Los riesgos más comunes son:

Repercusiones de DMARC

Los errores DKIM impiden DMARC . Un solo dominio secundario con un DKIM defectuoso puede retrasar la aplicación de la política.

Riesgo de entrega

Si la dirección de correo electrónico de la filial no está verificada, aumenta la probabilidad de que los mensajes de facturación, notificación y marketing sean filtrados como spam o correo no deseado, o incluso rechazados por completo.

Exposición normativa

Las normas PCI DSS, RGPD, POPIA e ISO exigen a las organizaciones que demuestren que controlan los sistemas que acceden a los datos o los tratan. DKIM incorrecta DKIM dificulta esa demostración.

Puntos habituales DKIM en entornos de filiales

La mayoría de DKIM en entornos distribuidos se pueden clasificar en cuatro categorías. Comprender la causa raíz agiliza el diagnóstico y ayuda a evitar que se repita el mismo problema.

Los cuatro puntos de fallo más frecuentes son:

No hay DKIM

El dominio secundario no tiene ningún registro TXT en el DNS. Esto es habitual en entidades adquiridas en las que nunca se configuró la autenticación del correo electrónico, así como en dominios aparcados que se pasan por alto durante el proceso de incorporación.

Discrepancia en el selector

El selector al que se hace referencia en la firma del correo electrónico no coincide con el registro publicado en el DNS. Esto suele ocurrir cuando hay retrasos en la propagación del DNS o cuando la configuración del DNS está incompleta.

Desviación en la rotación de la llave

La clave DKIM se ha actualizado, pero el registro DNS sigue conteniendo la clave pública antigua. Los correos electrónicos firmados con la nueva clave no superan la validación hasta que se actualice el DNS. Esto se evita coordinando ambos cambios al mismo tiempo.

Remitentes externos mal configurados

Una plataforma de marketing o transaccional envía mensajes en nombre del dominio secundario, pero nunca se configuró para DKIM . Esta es una de las causas más comunes de DKIM en empresas que han adoptado herramientas SaaS sin una supervisión centralizada por parte del departamento de TI.

Cómo gestionar DKIM las filiales

Para gestionar DKIM un entorno de grupo, es necesario contar con un proceso documentado y repetible. Siga estos pasos en todos los dominios subsidiarios:

1. Elabora un inventario completo de dominios y remitentes. Documenta todos los dominios secundarios y todas las plataformas de correo electrónico que se utilizan en dichos dominios. Esta información constituye la base para todas las tareas de configuración y gestión. Sin ella, es inevitable que se produzcan lagunas.
2. Generar y publicar pares DKIM para cada remitente. Para cada plataforma de envío en cada dominio secundario, generar un par DKIM. Publica la clave pública como un registro TXT en el DNS con un selector único.

   Algunas plataformas gestionan la generación de claves internamente; otras requieren que el usuario proporcione la clave. Comprueba cuál es el caso antes de empezar.

3. Configura cada remitente para que firme los mensajes salientes. Activa DKIM en cada plataforma utilizando la clave privada y el selector correspondientes.
4. Comprueba la configuración. Una vez realizada la configuración, utiliza una herramienta DKIM para confirmar que el registro es correcto. Envía un mensaje de prueba para comprobar que DKIM .
5. Establezca un calendario de rotación de claves. Defina los intervalos de rotación para cada plataforma. La mayoría de las empresas realizan la rotación cada seis meses. Coordine las actualizaciones del DNS y los cambios de claves de las plataformas para evitar brechas en la firma durante la transición.
6. Asigne la titularidad por dominio o entidad. Asegúrese de que cada filial cuente con un responsable designado que se encargue de DKIM y de los cambios en el DNS.

Gestión continua DKIM

Configuración inicial no’suficiente suficiente. DKIM se deteriora con el tiempo a medida que se añaden plataformas y las claves caducan. La gobernanza es lo que mantiene estable el entorno de autenticación. 

Para gestionar eficazmente DKIM, las organizaciones deben:

• Auditar las adquisiciones de forma inmediata. Cada nueva adquisición de una filial debe dar lugar a una DKIM como parte del proceso de integración. Las configuraciones heredadas suelen estar incompletas o mal configuradas.
• Siga un calendario de rotación documentado. La rotación de claves debe seguir un calendario definido, con un responsable designado para cada dominio. Los entornos de mayor riesgo pueden requerir una rotación de claves más frecuente.
• Utiliza los informes DMARC para supervisar DKIM. Los informes RUA ofrecen una visibilidad continua de DKIM nuevos DKIM a medida que cambia el entorno de envío, por lo que deben revisarse periódicamente, y no solo la respuesta a incidentes.
• Mantener un registro común de todos los selectores activos. Los administradores de DNS, TI y correo electrónico deben basarse en un registro común en el que se detallen todos los selectores y claves activos.

Cómo te ayuda Sendmarc a gestionar DKIM tus filiales

DKIM a nivel de las filiales forma parte de un reto más amplio relacionado con la autenticación y la gobernanza de dominios. La plataformaDMARC de Sendmarc supervisa el estado DKIM en todos los dominios de las filiales, detecta remitentes no autorizados y deficiencias en la autenticación, y orienta la evolución de las políticas.

Cuando los departamentos adoptan nuevas plataformas o realizan cambios en el DNS sin supervisión centralizada, Sendmarc detecta los fallos resultantes antes de que se conviertan en incidentes. Además, proporciona los reporte los responsables de seguridad de la información (CISO) y los responsables de cumplimiento normativo necesitan para mantener una visión clara y fiable del estado de la autenticación.

Si gestionas DKIM varios dominios, Sendmarc te ofrece la visibilidad y el control necesarios para hacerlo correctamente.