Innlegg

DKIM-nøkkelrotasjon er prosessen med å oppdatere DKIM-nøklene dine. Du bør rotere nøklene med jevne mellomrom - den nøyaktige perioden er ikke viktig, men selve prosessen er det. Hvorfor skal du gjøre det? Roterende nøkler refererer til å opprette nye nøkler og oppdatere DNS-poster med de nye nøklene. Hensikten med å rotere DKIM-nøklene dine ligner på hvorfor du kan endre passordene dine med jevne mellomrom: det er et sikkerhetstiltak som hjelper til med å forhindre at angripere utgir seg for å utgi seg for domenet ditt og sender spam eller phishing-e-post.

La oss ta en titt på hvorfor du bruker DKIM-nøkler i utgangspunktet.

Hvorfor bruker du DKIM-nøkler?

DKIM står for DomainKeys Identified Mail. Det er en måte å legge til et ekstra lag med sikkerhet til e-postserveren din, slik at e-postene dine ikke blir flagget som spam og havner i spam-mapper. Den beste måten å tenke på DKIM er som en kryptert identifikator knyttet til meldingene dine slik at mottakerne kan bekrefte at meldingen faktisk ble sendt av deg, personen den hevder å komme fra. Denne identifikatoren, eller nøkkelen, er det som lar dem bekrefte det.

Hvordan fungerer DKIM?

DKIM fungerer ved å legge til denne identifikatoren i hver e-post som sendes ut. Når noen mottar en av disse e-postene, kan de sjekke overskriften eller bunnteksten i meldingen og finne en streng med tall og bokstaver, som er den krypterte identifikatoren eller DKIM-nøkkelen. Før en e-post sendes til mottakeren, signerer avsenderens e-postserver hver e-post med en digital signatur, som deretter valideres av den mottakende e-postserveren. Denne prosessen beviser at e-posten ikke har blitt tuklet med eller endret på noen måte. 

Når du sender e-posten din, legges signaturen ved som en overskrift på slutten av meldingen. Mottakerservere bruker offentlige nøkler (levert av domeneeiere gjennom DNS-poster) for å dekryptere og bekrefte disse signaturene.

Hvorfor er DKIM-nøkkelrotasjon viktig for domenets sikkerhet?

DKIM-nøkkelrotasjon er når du begynner å bruke et nytt privat/offentlig nøkkelpar for å signere og autentisere meldingen – og deretter slutte å bruke det gamle private/offentlige nøkkelparet.

Hvorfor er dette viktig? Vel, hvis noen var i stand til å få tilgang til din private nøkkel, kunne de faktisk bruke den til å sende falske e-poster som ser ut til å være fra deg! For å forhindre denne typen ondsinnet aktivitet er det best å rotere nøklene med noen måneders mellomrom.

For å forstå viktigheten av DKIM-nøkkelrotasjon bedre, la oss ta en titt på dette eksemplet: 

La oss si at du sender ut en e-postkampanje for et feriesalg i butikken din. Du bruker DKIM-nøklene dine til å signere e-postene dine, men hvis du sender ut nok e-poster med samme nøkkelpar over tid, kan dårlige aktører til slutt fange opp og dekode en av dem, siden hver melding bruker den samme kryptografiske hash-algoritmen. Når de har fått den offentlige nøkkelen din, kan de begynne å signere phishing-e-postene sine med den uten at du en gang vet det! Det er derfor periodisk rotasjon av DKIM-nøkler er avgjørende for sikkerheten til domenet ditt.

Hvordan kan du rotere DKIM-nøklene?

1. Manuell DKIM-tastrotasjon

Du kan rotere DKIM-nøklene manuelt fra tid til annen ved å opprette nye nøkler for domenet ditt. Følg disse trinnene for å gjøre det: 

  • Gå over til vårt gratis DKIM -postgeneratorverktøy
  • Skriv inn domenets informasjon og skriv inn ønsket DKIM-velger 
  • Trykk på "Generer"-knappen 
  • Kopier det splitter nye paret med DKIM-nøkler 
  • Den offentlige nøkkelen skal publiseres på DNS-en din, og erstatter den forrige posten
  • Den private nøkkelen skal enten deles med ESP-en din (hvis du outsourcer e-postene dine) eller lastes opp på e-postserveren din (hvis du håndterer e-postoverføring på stedet) 

2. Delegering av DKIM-nøkkel for underdomene

Domeneeiere kan outsource DKIM-nøkkelrotasjon ved å la en tredjepart håndtere det for dem. Dette er når eieren av domenet delegerer et dedikert underdomene til en e-postleverandør og ber dem generere et DKIM-nøkkelpar på deres vegne. Dette lar eiere unngå bryet med DKIM-nøkkelrotasjon ved å sette ut ansvaret til en tredjepart. 

Dette kan imidlertid forårsake policyoverstyringsproblemer med DMARC-oppføringer. Det anbefales at roterte nøkler overvåkes og gjennomgås av domenekontrollere for å sikre jevn og feilfri distribusjon. 

3. DKIM CNAME nøkkeldelegering

CNAME står for kanonisk navn, og er DNS-poster som brukes til å peke på data fra et eksternt domene. CNAME-delegering lar domeneeiere peke på DKIM-postinformasjon som vedlikeholdes av en ekstern tredjepart. Dette ligner på delegering av underdomene siden domeneeieren bare er pålagt å publisere noen få CNAME-poster på DNS, mens DKIM-infrastrukturen og DKIM-nøkkelrotasjonen deretter håndteres av tredjeparten som posten peker til. 

For eksempel, 

"domain.com" er domenet som opprinnende e-poster skal signeres fra, og "third-party.com" er leverandøren som skal håndtere signeringsprosessen. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Den ovennevnte CNAME-posten må publiseres i DNS-en til domeneeieren. 

Nå har s1.domain.com.third-party.com allerede en DKIM-post publisert på DNS som kan være: s1.domain.com.third-party.com TXT “v=DKIM1; p=MIG89hdg599...."

Denne informasjonen vil bli brukt til å signere e-poster som stammer fra domain.com. 

Merk : Du må publisere flere DKIM-poster (anbefalt: minst 3 CNAME-poster) med forskjellige velgere på DNS for å aktivere DKIM-nøkkelrotasjon. Dette vil tillate leverandøren din å bytte mellom nøkler mens du signerer og gi dem alternative alternativer.

4. Automatisk DKIM-tastrotasjon

De fleste e-postleverandører og tredjeparts e-postleverandører aktiverer automatisk DKIM-nøkkelrotasjon for kunder. For eksempel, hvis du bruker Office 365 for å rute e-postene dine, vil du gjerne vite at Microsoft støtter automatisk DKIM-nøkkelrotasjon for deres Office 365-brukere. 

Vi har dekket et fullstendig dokument om hvordan du aktiverer DKIM-nøkkelrotasjon for dine Office 365-e-poster i kunnskapsbasen vår. 

Fordeler med å rotere DKIM-nøkler automatisk

  • Du trenger ikke å gjøre noe fra din side hvis leverandøren din tillater automatisert rotasjon av DKIM-nøkler. Alt styres av dem. 
  • Manuelle konfigurasjoner er utsatt for menneskelige feil.
  • Automatisk nøkkelrotasjon er rask og effektiv, og krever ingen forstyrrelser fra din side. 
  • DKIM-styringssystemet er fullstendig outsourcet og håndtert av en tredjepart.

Implementering av en DKIM-nøkkelrotasjonsstrategi

Vi kaller det " 3 Ds of DKIM key rotation ":

  • Diskutere 
  • Bestemme seg for
  • Utplassere 

Dette oppsummerer en effektiv DKIM-nøkkelrotasjonsstrategi for domenene dine. Når du benytter deg av tredjepartstjenester for e-postene dine og leverandøren din håndterer rotasjon for deg, sørg for at du har en åpen og gjennomsiktig diskusjon om når og hvor ofte du vil rotere nøklene. Du bør ha en mening om tidslinjer samt størrelsen du vil bruke for velgernøkkelen (om du vil bruke 1024 biter eller 2048 biter for mer sikkerhet). 

Når diskusjonsfasen har passert, må du og leverandøren din gjensidig bestemme hva strategien din er og til slutt fortsette å implementere den samme.