Rotation af DKIM-nøgler

DKIM-nøglerotation er processen med at opdatere dine DKIM-nøgler. Du bør rotere dine nøgler med jævne mellemrum - den nøjagtige periode er ikke vigtig, men selve processen er vigtig. Hvorfor skal du gøre det? Rotation af nøgler henviser til oprettelse af nye nøgler og opdatering af DNS-poster med disse nye nøgler. Formålet med at rotere dine DKIM-nøgler svarer til, hvorfor du måske ændrer dine adgangskoder med jævne mellemrum: Det er en sikkerhedsforanstaltning, der hjælper med at forhindre angribere i at udgive sig for at være dit domæne og sende spam eller phishing-e-mails.

Lad os se på, hvorfor du overhovedet bruger DKIM-nøgler.

Hvorfor bruger du DKIM-nøgler?

DKIM står for DomainKeys Identified Mail. Det er en måde at tilføje et ekstra sikkerhedslag til din e-mail-server på, så dine e-mails ikke bliver markeret som spam og ender i spam-mapper. Den bedste måde at tænke på DKIM på er som en krypteret identifikator, der er knyttet til dine meddelelser, så modtagerne kan kontrollere, at meddelelsen faktisk er sendt af dig, den person, som den hævder at komme fra. Det er denne identifikator eller nøgle, der gør det muligt for dem at kontrollere dette.

Hvordan fungerer DKIM?

DKIM fungerer ved at tilføje denne identifikator til hver e-mail, der sendes. Når en person modtager en af disse e-mails, kan vedkommende tjekke meddelelsens header eller footer og finde en række tal og bogstaver, som er den krypterede identifikator eller DKIM-nøglen. Inden en e-mail sendes til modtageren, underskriver afsenderens e-mail-server hver e-mail med en digital signatur, som derefter valideres af den modtagende e-mail-server. Denne proces beviser, at e-mailen ikke er blevet manipuleret eller ændret på nogen måde. 

Når du sender din e-mail, vedhæftes signaturen som en overskrift i slutningen af meddelelsen. Modtagerservere bruger offentlige nøgler (som stilles til rådighed af domæneejere via DNS-poster) til at dekryptere og verificere disse signaturer.

Hvorfor er DKIM-nøgle rotation vigtig for dit domænes sikkerhed?

DKIM-nøglerotation er, når du begynder at bruge et nyt privat/offentligt nøglepar til at signere og autentificere din besked - og derefter holder op med at bruge det gamle private/offentlige nøglepar.

Hvorfor er det vigtigt? Hvis nogen kunne få adgang til din private nøgle, kunne de faktisk bruge den til at sende falske e-mails, som ser ud til at være fra dig! For at forhindre denne form for ondsindet aktivitet er det bedst at udskifte dine nøgler med nogle måneders mellemrum.

Lad os se på dette eksempel for at forstå vigtigheden af DKIM-nøgle-rotation bedre: 

Lad os sige, at du sender en e-mail-kampagne ud i forbindelse med et juleudsalg i din butik. Du bruger dine DKIM-nøgler til at signere dine e-mails, men hvis du sender tilstrækkeligt mange e-mails med det samme nøglepar over tid, kan dårlige aktører i sidste ende opsnappe og afkode en af dem, da hver besked bruger den samme kryptografiske hash-algoritme. Når de først har fået din offentlige nøgle, kan de begynde at signere deres phishing-e-mails med den, uden at du overhovedet ved det! Derfor er periodisk rotation af DKIM-nøgler afgørende for sikkerheden på dit domæne.

Hvordan kan du rotere dine DKIM-nøgler?

1. Manuel rotation af DKIM-nøgler

Du kan manuelt rotere dine DKIM-nøgler fra tid til anden ved at oprette nye nøgler for dit domæne. Følg disse trin for at gøre dette: 

  • Gå over til vores gratis DKIM-recordgenerator værktøj
  • Indtast dit domænes oplysninger og indtast den ønskede DKIM-selektor efter eget valg 
  • Tryk på knappen "Generer". 
  • Kopier dit helt nye par DKIM-nøgler 
  • Den offentlige nøgle skal offentliggøres på din DNS og erstatte din tidligere post
  • Den private nøgle skal enten deles med din ESP (hvis du outsourcer dine e-mails) eller uploades på din e-mail-server (hvis du håndterer e-mailoverførsel på stedet) 

2. Delegering af DKIM-nøgle til underdomæner

Domæneejere kan udlicitere DKIM-nøglerotation ved at lade en tredjepart håndtere det for dem. Dette sker, når ejeren af domænet uddelegerer et dedikeret underdomæne til en e-mail-leverandør og beder dem generere et DKIM-nøglepar på deres vegne. Dette giver ejerne mulighed for at undgå besværet med DKIM-nøglerotation ved at outsource ansvaret til en tredjepart. 

Dette kan dog give problemer med at tilsidesætte politikker med DMARC-indgange. Det anbefales, at roterede nøgler overvåges og gennemgås af domænecontrollere for at sikre en problemfri og fejlfri implementering. 

3. DKIM CNAME-nøgleudvidelse

CNAME står for canonical name og er DNS-poster, der bruges til at pege på data på et eksternt domæne. CNAME-delegering gør det muligt for domæneejere at pege på DKIM-rekordsoplysninger, der vedligeholdes af en ekstern tredjepart. Dette svarer til delegering af underdomæner, da domæneejeren kun skal offentliggøre nogle få CNAME-poster på sin DNS, mens DKIM-infrastrukturen og rotationen af DKIM-nøgler håndteres af den tredjepart, som posten peger på. 

For eksempel, 

"domain.com" er det domæne, hvorfra e-mails skal signeres, og "third-party.com" er den leverandør, som skal håndtere signeringsprocessen. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Ovennævnte CNAME-post skal offentliggøres i domæneejerens DNS. 

Nu har s1.domain.com.com.third-party.com allerede en DKIM-post offentliggjort på sin DNS, som kan være: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Disse oplysninger vil blive brugt til at signere e-mails, der stammer fra domain.com. 

Bemærk: Du skal offentliggøre flere DKIM-poster (anbefalet: mindst 3 CNAME-poster) med forskellige selektorer på din DNS for at aktivere DKIM-nøgle-rotation. Dette vil give din leverandør mulighed for at skifte mellem nøgler under signering og give ham alternative muligheder.

4. Automatisk rotation af DKIM-nøgler

De fleste e-mail-leverandører og tredjepartsudbydere af e-mail-tjenester muliggør automatisk rotation af DKIM-nøgler for kunderne. Hvis du f.eks. bruger Office 365 til at videresende dine e-mails, vil du være glad for at vide, at Microsoft understøtter automatisk rotation af DKIM-nøgler for deres Office 365-brugere. 

Vi har et komplet dokument om, hvordan du aktiverer DKIM-nøgle-rotation for dine Office 365-e-mails, i vores vidensbase. 

Fordele ved automatisk rotation af dine DKIM-nøgler

  • Du behøver ikke at gøre noget fra din side, hvis din leverandør tillader automatisk rotation af DKIM-nøgler. Alt styres af dem. 
  • Manuelle konfigurationer er udsat for menneskelige fejl.
  • Den automatiske nøgle rotation er hurtig og effektiv og kræver ingen indblanding fra din side. 
  • DKIM-håndteringssystemet er fuldstændig outsourcet og håndteres af en tredjepart.

Implementering af en strategi for rotation af DKIM-nøgler

Vi kalder det "3 D'er af DKIM-nøgle rotation":

  • Diskutere 
  • Beslut dig
  • Udrulning 

Dette opsummerer en effektiv DKIM-nøgle-rotationsstrategi for dine domæner. Når du benytter dig af en tredjepartstjeneste til dine e-mails, og din leverandør håndterer rotationen for dig, skal du sikre dig, at du har en åben og gennemsigtig diskussion om, hvornår og hvor ofte du ønsker at rotere dine nøgler. Du bør have indflydelse på tidslinjerne og på den størrelse, du ønsker at bruge til din valgnøgle (om du ønsker at bruge 1024 bit eller 2048 bit for at opnå større sikkerhed). 

Når diskussionsfasen er overstået, skal du og din leverandør i fællesskab beslutte, hvad jeres strategi er, og endelig skal I fortsætte med at implementere den samme.

Nyeste indlæg af Syuzanna Papazyan (se alle)