Dominio DKIM para DMARC

¿Cómo afecta la alineación de dominios DKIM a la autenticación DMARC?

DMARC (Domain-based Message Authentication, Reporting and Conformance),
es un estándar de autenticación del correo electrónico, desarrollado para combatir el correo electrónico que suplantaba dominios.

En el capítulo «3.1. Alineación de identificadores» se dice:

   Las tecnologías de autenticación de correo electrónico verifican diversos (y
  dispares) aspectos de un mensaje concreto.  Por ejemplo, [DKIM]
  autentifica el dominio que ha añadido una firma al mensaje,
  mientras que [SPF] puede autentificar bien el dominio que aparece en la
  sección RFC5321.MailFrom (Mail-From) de [SMTP], bien el dominio RFC5321.EHLO/
   HELO, o ambos.  Estos pueden ser dominios diferentes y,
   por lo general, no son visibles para el usuario final.

   DMARC autentica el uso del dominio RFC5322.From exigiendo que
   coincida (esté alineado con) un identificador autenticado.
   
   -- https://tools.ietf.org/html/rfc7489#section-3.1

Simplemente significa:

   cuando un remitente autentica su correo electrónico mediante SPF o DKIM,  
   al menos uno de los dominios debe coincidir con el dominio «De» del mensaje

No teníamos claro si un mensaje podía fallar en la comprobación de SPF o DKIM
y, aun así, superar la autenticación DMARC.

Lo hemos probado utilizando una herramienta al alcance de todos: una cuenta de Gmail.
Para ver el resultado, abre el mensaje y selecciona «Mostrar original»:

Prueba 1 - mensaje reenviado: SPF fallido, DKIM correcto (alineado)
SPF fallido, DMARC correcto

Prueba 2 - clave DKIM dañada: DKIM fallido, SPF correcto (coincide)
dkim-fallido dmarc-correcto

The result is evident, the message passes DMARC authentication if it occurs:
SPF and domain alignment <OR> DKIM and domain alignment

Para superar la comprobación DMARC, en algunos casos es importante validar la firma DKIM:
el dominio de firma (d=example.com) debe coincidir con el dominio del campo «De».

Ejemplos de resultados «DMARC-PASS» que, de otro modo, no habrían funcionado:

Caso 1: el reenvío impide la autenticación SPF

  • SPF-FAIL: Las comprobaciones de autenticación SPF fallarán en la mayoría de los casos,
    porque el correo electrónico reenviado lo envía una entidad nueva que no figura en el registro SPF del remitente original

  • DKIM-PASS (alineado): El reenvío de correos electrónicos no afecta a la firma DKIM

Resultado: La coincidencia de DKIM permite que el mensaje supere la comprobación de DMARC.

Caso 2: el dominio SPF proporcionado por el ESP (proveedor de servicios de correo electrónico)
NO PUEDE coincidir con el dominio del remitente

  • SPF~PASS (sin alineación): La autenticación SPF falla en la alineación de dominios,
    ya que el dominio utilizado por el ESP en la dirección «Mail-From» es diferente al del remitente en el campo «From».

  • DKIM-PASS (coincidente): la firma DKIM utiliza el mismo dominio que el remitente del campo «De»

Resultado: La coincidencia de DKIM permite que el mensaje supere la comprobación de DMARC.