Wyjaśnienie rotacji kluczy DKIM: najlepsze praktyki, metody i narzędzia

Blog

Rotacja kluczy DKIM to proces aktualizacji kluczy DKIM. Klucze należy rotować okresowo - częstotliwość nie jest ważna, ważny jest sam proces.

YunesTarada

Ostatnia aktualizacja:
6 czas czytania: 2 minuty
Wyjaśnienie rotacji kluczy DKIM: najlepsze praktyki, metody i narzędzia
Spis treści-

Rotacja kluczy DKIM to proces zastępowania istniejących kluczy kryptograficznych DKIM nowymi w celu zapewnienia bezpieczeństwa poczty elektronicznej. Brzmi to technicznie, ale idea jest prosta: podobnie jak hasła nie powinny pozostawać niezmienne przez cały czas, tak samo nie powinny pozostawać niezmienne klucze DKIM.

Regularna rotacja kluczy DKIM pomaga zapobiegać spoofingowi wiadomości e-mail, phishingowi i nieautoryzowanemu wykorzystaniu domeny. W tym przewodniku omówimy, czym są klucze DKIM, dlaczego rotacja ma znaczenie, jak często należy je rotować oraz najbezpieczniejsze sposoby jej przeprowadzania (ręcznie lub automatycznie).

Czym są klucze DKIM?

DKIM (DomainKeys Identified Mail) to protokół uwierzytelniania wiadomości e-mail, który weryfikuje, czy wiadomość rzeczywiście pochodzi z domeny, którą rzekomo reprezentuje.

Kiedy wysyłana jest wiadomość e-mail, serwer wysyłający podpisuje ją prywatnym kluczem kryptograficznym. Odpowiedni klucz publiczny jest publikowany w DNS jako rekord TXT. Kiedy serwer pocztowy odbiorcy odbiera wiadomość, pobiera klucz publiczny z DNS i używa go do sprawdzenia podpisu. Jeśli podpis się zgadza, wiadomość jest potwierdzana jako autentyczna i niezmieniona.

Proces ten wzmacnia zaufanie między serwerami wysyłającymi i odbierającymi. Poprawia również umiejscowienie wiadomości w skrzynce odbiorczej i chroni domeny przed podszywaniem się. DKIM działa wraz z SPF i DMARC, tworząc wielowarstwową ochronę przed spoofingiem i phishingiem.

Jednak ochrona kryptograficzna nie jest jednorazową konfiguracją, o której można po prostu zapomnieć. Klucze również muszą ewoluować.

Dlaczego rotacja kluczy DKIM ma kluczowe znaczenie

Rotacja kluczy DKIM oznacza wygenerowanie nowej pary kluczy prywatnego/publicznego i wycofanie starej po bezpiecznym okresie przejściowym. Ale dlaczego jest to ważne? Cóż, jeśli złośliwy podmiot uzyska dostęp do Twojego klucza prywatnego, może podpisywać fałszywe wiadomości e-mail, które wyglądają na legalne. Może to prowadzić do:

  • Kampanie phishingowe z Twojej domeny
  • Podszywanie się pod markę
  • Czarna lista adresów e-mail
  • Uszkodzenie przesyłki

Im dłużej klucz pozostaje aktywny, tym większe jest ryzyko narażenia. Nawet jeśli klucz nie zostanie naruszony, długotrwałe ponowne użycie zwiększa powierzchnię ataku. Ale to nie wszystko! Istnieje również powód operacyjny: przestarzałe klucze (takie jak klucze 1024-bitowe) mogą nie spełniać już współczesnych wymagań bezpieczeństwa i wpływać na niezawodność uwierzytelniania. Dlatego rotacja DKIM chroni zarówno reputację marki, jak i infrastrukturę poczty elektronicznej, pomagając utrzymać klucze w stanie nowoczesnym, aktualnym i szczelnym.

Jak często należy zmieniać klucze DKIM?

Nie ma jednej uniwersalnej zasady, ale najlepsze praktyki branżowe sugerują:

  • W większości organizacji co 6–12 miesięcy
  • Co 3–6 miesięcy dla nadawców o wysokim poziomie bezpieczeństwa lub dużej ilości przesyłek
  • Natychmiast, jeśli istnieje podejrzenie naruszenia bezpieczeństwa

Organizacje działające zgodnie z wytycznymi grup branżowych, takich jak Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG), często stosują zasady rotacji raz lub dwa razy w roku.

Równie ważna jest długość klucza. Obecnie zaleca się stosowanie kluczy o długości co najmniej 2048 bitów. Chociaż klucze 1024-bitowe są nadal obsługiwane technicznie w niektórych systemach, są one coraz częściej uważane za słabe. Przejście na klucze 2048-bitowe wzmacnia odporność kryptograficzną i jest zgodne z nowoczesnymi standardami.

Metody rotacji kluczy DKIM

Istnieje kilka sposobów rotacji kluczy DKIM, w zależności od infrastruktury i poziomu kontroli.

1. Ręczna rotacja klucza DKIM

Możesz od czasu do czasu ręcznie rotować klucze DKIM, tworząc nowe klucze dla swojej domeny. Aby to zrobić, wykonaj poniższe kroki:

  • Przejdź do naszego bezpłatnego narzędzia do generowania rekordów DKIM.
  • Wprowadź informacje o swojej domenie i wprowadź wybrany selektor DKIM.
  • Naciśnij przycisk "Generuj".
  • Skopiuj nową parę kluczy DKIM
  • Klucz publiczny ma zostać opublikowany w DNS, zastępując poprzedni rekord
  • Klucz prywatny należy udostępnić dostawcy usług internetowych (jeśli zlecasz wysyłanie poczty na zewnątrz) lub umieścić na swoim serwerze pocztowym (jeśli obsługujesz wysyłanie poczty lokalnie).

2. Przekazanie klucza DKIM subdomeny

Właściciele domen mogą zlecić rotację klucza DKIM firmie zewnętrznej, która zajmie się tym za nich. Dzieje się tak, gdy właściciel domeny deleguje dedykowaną subdomenę do dostawcy poczty elektronicznej i prosi go o wygenerowanie pary kluczy DKIM w swoim imieniu. Pozwala to właścicielom uniknąć kłopotów związanych z rotacją klucza DKIM, zlecając tę odpowiedzialność stronie trzeciej.

Może to jednak powodować problemy z nadpisywaniem polityki z wpisami DMARC. Zaleca się, aby klucze rotacyjne były monitorowane i sprawdzane przez kontrolerów domeny w celu zapewnienia płynnego i bezbłędnego wdrożenia.

3. Delegacja klucza DKIM CNAME

CNAME oznacza nazwę kanoniczną i są to rekordy DNS, które są używane do wskazywania na dane domeny zewnętrznej. Delegacja CNAME pozwala właścicielom domen na wskazywanie na informacje o rekordach DKIM, które są utrzymywane przez dowolną zewnętrzną stronę trzecią. Jest to podobne do delegowania subdomen, ponieważ właściciel domeny jest zobowiązany do opublikowania tylko kilku rekordów CNAME w DNS, podczas gdy infrastruktura DKIM i rotacja kluczy DKIM są obsługiwane przez stronę trzecią, na którą wskazuje dany rekord.

Na przykład
„domain.com” to domena, z której pochodzą podpisywane wiadomości e-mail, a „third-party.com” to dostawca, który zajmie się procesem podpisywania.

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Wymieniony rekord CNAME musi zostać opublikowany w DNS właściciela domeny.
Teraz s1.domain.com.third-party.com ma już opublikowany rekord DKIM w swoim DNS, który może wyglądać następująco: s1.domain.com.third-party.com TXT „v=DKIM1; p=MIG89hdg599…”.

Informacje te będą wykorzystywane do podpisywania wiadomości e-mail pochodzących z domeny.com.

Uwaga: Aby umożliwić rotację kluczy DKIM, należy opublikować wiele rekordów DKIM (zalecane: co najmniej 3 rekordy CNAME) z różnymi selektorami w systemie DNS. Umożliwi to dostawcy przełączanie się między kluczami podczas podpisywania i zapewni mu alternatywne opcje.

4. Automatyczna rotacja klucza DKIM

Większość dostawców poczty elektronicznej i zewnętrznych dostawców usług poczty elektronicznej umożliwia klientom automatyczną rotację klucza DKIM. Na przykład, jeśli korzystasz z usługi Office 365 do routingu swoich wiadomości e-mail, ucieszy Cię wiadomość, że firma Microsoft obsługuje automatyczną rotację klucza DKIM dla użytkowników usługi Office 365.

W naszej bazie wiedzy zamieściliśmy pełny dokument dotyczący włączania rotacji kluczy DKIM dla wiadomości e-mail Office 365.

Najlepsze praktyki dotyczące rotacji kluczy DKIM

Oto krótka lista kontrolna, którą należy przestrzegać:

  • Używaj kluczy o długości co najmniej 2048 bitów.
  • Obracaj co 6–12 miesięcy
  • Użyj wielu selektorów
  • Prowadź dziennik rotacji
  • Przetestuj nowe klucze przed usunięciem starych.
  • Zastosowanie okresu przejściowego podczas transformacji
  • Koordynacja działań wszystkich dostawców usług edukacyjnych i dostawców
  • Monitoruj raporty DMARC po rotacji

Najczęstsze pułapki i sposoby ich unikania

Nawet doświadczone zespoły popełniają błędy. Oto typowe problemy związane z rotacją:

Typowe pułapki i jak ich unikać

1. Zbyt wczesne usuwanie starych kluczy

Przed usunięciem zawsze należy poczekać na propagację DNS i zakończenie przepływu poczty. W tym przypadku przydatna może być konfiguracja raportów DMARC. Wystarczy wygenerować rekord DMARC i zdefiniować tag „rua” wraz z adresem e-mail, aby otrzymywać codzienne raporty dotyczące statusu uwierzytelniania i wyników.

2. Pomijanie weryfikacji

Zawsze sprawdzaj wyniki uwierzytelniania po włączeniu nowego selektora. Możesz to zrobić ręcznie lub, co jest lepszym rozwiązaniem, za pomocą narzędzia do sprawdzania DKIM, które zapewnia natychmiastową przejrzystość i wgląd w dane.

3. Nie używanie wielu selektorów

Konfiguracje z jednym selektorem stwarzają ryzyko przestoju. Upewnij się, że definiujesz oddzielne selektory dla oddzielnych rekordów DKIM skonfigurowanych w Twojej domenie, aby serwery odbiorcze mogły łatwo zlokalizować Twoje klucze.

4. Nieprawidłowo skonfigurowane delegowanie

Nieprawidłowe rekordy CNAME lub subdomeny mogą zakłócić zgodność DKIM, dlatego należy sprawdzać konfigurację po każdej wprowadzonej zmianie.

5. Ignorowanie rozmiaru klucza

Przestarzałe klucze 1024-bitowe osłabiają poziom bezpieczeństwa. Eksperci zalecają skonfigurowanie kluczy DKIM o długości co najmniej 2048 bitów w celu zapewnienia lepszej ochrony i zgodności z nowoczesnymi standardami bezpieczeństwa.

Wdrażanie strategii rotacji kluczy DKIM

Nazywamy to 3 D rotacji kluczy DKIM:

Krok 1. Omówienie: Uzgodnij z interesariuszami i dostawcami częstotliwość rotacji, rozmiar klucza (zalecane 2048 bitów) oraz metodę delegowania.

Krok 2. Podejmij decyzję: Wybierz model rotacji: ręczny, delegowanie CNAME, delegowanie subdomeny lub w pełni zautomatyzowany.

Krok 3. Wdrożenie: Na koniec należy bezpiecznie wdrożyć rozwiązanie, generując nowy selektor, monitorując proces uwierzytelniania i usuwając stare klucze dopiero po ich sprawdzeniu.

Przykładowy harmonogram rotacji

Styczeń: Dodaj nowy selektor i klucz
Luty: Przełącz podpisywanie na nowy selektor
Połowa lutego: Usuń stary klucz
Powtarzaj co 6–12 miesięcy

Podsumowanie

Rotacja kluczy DKIM jest kluczowym, ale często pomijanym elementem bezpieczeństwa poczty elektronicznej. Pozostawienie kluczy bez zmian przez lata zwiększa ryzyko narażenia i osłabia strukturę uwierzytelniania. Podsumowując, rotacja kluczy co 6–12 miesięcy, stosowanie szyfrowania 2048-bitowego, utrzymywanie wielu selektorów i monitorowanie wyników uwierzytelniania stanowią podstawę skutecznej strategii rotacji.

Aby ułatwić rotację kluczy DKIM i uwierzytelnianie, skorzystaj z pomocy PowerDMARC! Nasz zespół ekspertów pomógł ponad 10 000 organizacji zautomatyzować konfigurację i zarządzanie protokołami, bez żadnych domysłów i przestojów. Skontaktuj się z nami już dziś, aby dowiedzieć się więcej lub rozpocząć współpracę!

Najczęściej zadawane pytania

1. Czy rotacja kluczy DKIM wymaga przestoju?

Nie. Rotacja kluczy DKIM nie powinna powodować przestojów, jeśli zostanie prawidłowo wdrożona. Dzięki wprowadzeniu nowego selektora przy jednoczesnym utrzymaniu starego klucza w stanie aktywnym przez okres karencji, wiadomości e-mail będą nadal normalnie uwierzytelniane podczas całego procesu przejścia.

2. Czy powinienem rotować klucze DKIM dla wszystkich źródeł wysyłających jednocześnie?

Niekoniecznie. Jeśli korzystasz z wielu dostawców usług poczty elektronicznej lub wewnętrznych serwerów pocztowych, każde źródło może mieć własną konfigurację DKIM. Rotacja powinna być koordynowana dla każdego źródła wysyłania, aby uniknąć niezgodności uwierzytelniania.

3. Jak długo należy przechowywać stary klucz DKIM po jego rotacji?

Zasadniczo zaleca się, aby stary klucz był publikowany przez co najmniej 1–2 tygodnie po przejściu na nowy selektor. Wynika to z opóźnień w propagacji DNS i kolejkowania wiadomości e-mail, które mogą nadal odnosić się do poprzedniego podpisu.

4. Czy klucze DKIM mogą wygasać automatycznie?

Klucze DKIM nie tracą ważności, chyba że je tak skonfigurujesz. Rekordy DNS pozostają aktywne, dopóki nie zostaną ręcznie usunięte lub zastąpione.

5. Czy rotacja kluczy DKIM jest wymagana do zapewnienia zgodności z DMARC?

DMARC nie wymaga wyraźnie rotacji kluczy DKIM. Jednak regularna rotacja wzmacnia ogólną autoryzację poczty elektronicznej i zmniejsza ryzyko niepowodzeń w dostosowaniu DKIM spowodowanych naruszeniem bezpieczeństwa lub nieaktualnością kluczy.

Najnowsze posty autorstwa Yunes Tarada (zobacz wszystkie)
Ostatnia aktualizacja:
Jak scalić rekordy SPF?Połącz SPF RecordsWyjaśnienie pojęcia reputacji nadawcy wiadomości e-mailWyjaśnienie pojęcia reputacji nadawcy wiadomości e-mail