DomainKeys vs. DKIM: Jaka jest różnica?
przez
Ostatnia aktualizacja: 6 czas czytania: 2 minuty
Kluczowe wnioski
- Yahoo wprowadziło DomainKeys w 2004 roku, aby zweryfikować tożsamość domeny nadawcy i ograniczyć liczbę fałszywych wiadomości e-mail.
- DKIM (DomainKeys Identified Mail) został ustandaryzowany przez IETF w RFC 4871 (2007), łącząc Yahoo's DomainKeys i Cisco's Identified Internet Mail w jeden otwarty standard.
- DKIM umożliwia nadawcom podpisanie kanonicznego skrótu wybranych nagłówków i treści, zapewniając integralność wiadomości nawet w przypadku wystąpienia niekrytycznych modyfikacji (takich jak zmiany białych znaków).
- Selektory w DKIM upraszczają rotację kluczy i umożliwiają stosowanie wielu kluczy dla różnych usług.
- DKIM potwierdza, że wiadomość e-mail została autoryzowana przez domenę wymienioną w podpisie i że jej treść nie została zmieniona podczas przesyłania.
- DKIM przyczynia się do kontroli dopasowania DMARC, pomagając właścicielom domen w egzekwowaniu polityki antyspoofingowej.
DomainKeys i DKIM to dwie powiązane, ale odrębne technologie uwierzytelniania wiadomości e-mail zaprojektowane w celu ochrony przed spoofingiem, phishingiem i spamem. DomainKeys, wprowadzony przez Yahoo w 2004 roku, był pierwszym krokiem w kierunku weryfikacji autentyczności nadawcy za pomocą podpisów kryptograficznych. Jednak jego elastyczność i zastosowanie były ograniczone. DKIM ewoluował z DomainKeys i Cisco's Identified Internet Mail, aby stać się znormalizowanym i szeroko przyjętym rozwiązaniem. Obecnie DKIM służy jako kamień węgielny bezpiecznej komunikacji e-mail, zapewniając, że wiadomości pozostają autentyczne i niezmienione podczas transmisji, jednocześnie wspierając DMARC w celu egzekwowania zasad.
Czym było DomainKeys (DK)?
DomainKeys był wczesnym protokołem uwierzytelniania wiadomości e-mail, który został opracowany i wydany przez Yahoo w 2004 roku. Miał bardzo prosty, nieskomplikowany i godny podziwu cel: zweryfikowanie tożsamości domeny nadawcy i zmniejszenie rosnącej liczby spamu, phishingu i fałszywych wiadomości e-mail.
Oto jak działał DomainKeys. Używał prostego schematu podpisywania, który stosował podpisy kryptograficzne do całej wiadomości. Mimo że był to krok naprzód, nadal brakowało mu elastyczności w wyborze nagłówków i łatwo było go złamać poprzez przekierowanie lub modyfikacje listy mailingowej. Z powodu tych ograniczeń został ostatecznie zastąpiony przez DKIM i przestarzały.
Wady DomainKeys
Oto kilka powodów, dla których DomainKeys musiał zostać ostatecznie zastąpiony:
- Był zastrzeżony: Był to zastrzeżony standard Yahoo i nigdy nie osiągnął powszechnej standaryzacji IETF.
- Nie miał mechanizmu selektora: Brakowało "selektorów", co oznacza, że domena mogła używać tylko jednego klucza publicznego. Sprawiało to, że rotacja kluczy i zarządzanie różnymi usługami wysyłania wiadomości e-mail było niezwykle trudne.
- Podpisy były dość kruche: Metoda podpisywania była bardzo sztywna. Podpisy prawie zawsze pękały, jeśli wiadomość e-mail została przekazana dalej lub nieznacznie zmodyfikowana przez listę mailingową.
- Miał ograniczoną elastyczność: Zapewniał bardzo niewiele opcji algorytmów podpisywania i kanonizacji (tj. sposobu przetwarzania wiadomości e-mail przed podpisaniem).
Wprowadzenie do DKIM (DomainKeys Identified Mail)
DKIM, czyli DomainKeys Identified Mail, to protokół uwierzytelniania poczty elektronicznej, który umożliwia nadawcom zapobieganie manipulowaniu treścią wiadomości e-mail podczas jej dostarczania. DKIM powstał w wyniku współpracy Yahoo i Cisco w latach 2004-2005 i stał się standardem IETF w 2007 roku (RFC 4871).
Działa poprzez dodanie podpisu cyfrowego do nagłówka wiadomości. Gdy tylko odbiorca otrzyma wiadomość e-mail z podpisem DKIM, sprawdza podpis, aby upewnić się, że jest ważny. Jeśli jest ważny, wiedzą, że wiadomość została przesłana w nienaruszonym stanie i nie została zmanipulowana przez hakerów.
Oto przykład podpisu DKIM:
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:subject:date; bh=abc123...; b=xyz456...
Jak działa DKIM
DKIM opiera się na parze kluczy kryptograficznych: kluczu prywatnym i kluczu publicznym. Klucze te są niezbędne do zapewnienia, że wiadomość e-mail jest autentyczna i nie została zmieniona.
Gdy wiadomość e-mail jest wysyłana, serwer pocztowy nadawcy używa klucza prywatnego do utworzenia podpisu cyfrowego. Podpis ten jest dodawany do wiadomości e-mail w nagłówku DKIM, specjalnej części wiadomości e-mail, która zawiera sam podpis wraz z informacjami o domenie podpisującej, zastosowanym algorytmie i nagłówkach zawartych w podpisie.
Gdy wiadomość e-mail dotrze do odbiorcy, jego serwer pocztowy pobiera klucz publiczny z DNS nadawcy. Następnie serwer używa tego klucza publicznego do sprawdzenia nagłówka DKIM i zweryfikowania, czy podpis pasuje do wiadomości. Jeśli tak, wiadomość e-mail jest potwierdzana jako autentyczna i niezmieniona.
W skrócie: nagłówek DKIM zawiera podpis, klucz prywatny go generuje, a klucz publiczny weryfikuje, chroniąc zarówno integralność, jak i autentyczność wiadomości e-mail.
Kluczowe innowacje: Kluczową innowacją DKIM w stosunku do DomainKeys było wprowadzenie znormalizowanych, elastycznych podpisów kryptograficznych z selektorami i solidną kanonikalizacją dla niezawodnego uwierzytelniania opartego na domenie.
DomainKeys kontra DKIM: kluczowe różnice
Jest to różnica zaledwie dwóch liter w akronimie, ale robi ogromną różnicę. DKIM pojawił się, aby naprawić ograniczenia DomainKeys.
1. Standaryzacja i przyjęcie
- DomainKeys: Był zastrzeżony i napędzany przez Yahoo, a jego przyjęcie było dość ograniczone; dziś jest całkowicie przestarzały.
- DKIM: Jest to otwarty standard IETF. Ta neutralność i wyższość techniczna stały się głównymi powodami, dla których przyjęli go wszyscy główni dostawcy poczty e-mail, w tym Google i Microsoft.
2. Elastyczność podpisu
- DomainKeys: Podpisywał określone nagłówki i całą treść wiadomości, co często powodowało złamanie podpisu, jeśli wiadomości były modyfikowane podczas przesyłania.
- DKIM: DKIM's body hash i kanonizacja sprawiają, że jest on bardziej tolerancyjny na drobne zmiany formatowania, chociaż przekazywanie lub modyfikacje list mailingowych mogą nadal łamać podpisy. Pozwala nadawcy wybrać dokładnie które nagłówki podpisać (h= tag). Co więcej, podpisuje hash treści wiadomości (bh= ), który jest bardziej odporny na drobne modyfikacje, takie jak przekierowanie. Używa również kanonizacji (c= tag) do definiowania sposobu traktowania zmian w wiadomościach, takich jak białe znaki.
3. Zarządzanie kluczami i selektory
- DomainKeys: Brak mechanizmu selektora, zmuszającego wszystkie wiadomości z domeny do korzystania z jednego klucza publicznego, co komplikowało rotację kluczy i zarządzanie nimi.
- DKIM: Wprowadzono koncepcję "selektory". Selektor to nazwa, która wskazuje na plik specyficzny klucz publiczny w DNS. Pozwala to na:
- Używaj różnych kluczy dla różnych usług, czy to dla Google Workspace, dla platformy marketingowej itp.
- Obracanie kluczy zapewnia bezpieczeństwo bez zakłócania przepływu poczty.
Jeśli potrzebujesz pomocy w utworzeniu rekordu DKIM, możesz skorzystać z darmowy generator rekordów DKIM aby upewnić się, że składnia jest poprawna.
4. Bezpieczeństwo i integralność
- DomainKeys: Skupiał się na autentyczności nadawcy.
- DKIM: Kontrola skrótu treści (bh=) potwierdza, że treść wiadomości e-mail nie została zmieniona od czasu jej podpisania.
DomainKeys vs DKIM: Tabela porównawcza
| Cecha | DomainKeys (DK) | Poczta identyfikowana za pomocą kluczy domenowych (DKIM) |
|---|---|---|
| Opracowane przez | Yahoo (własność) w 2004 r. | Wspólny wysiłek Yahoo i Cisco, później ustandaryzowany przez IETF. Wprowadzony w 2007 roku (RFC 4871), zaktualizowany w RFC 6376 (2011). |
| Cel | Uwierzytelnianie domeny nadawcy w celu ograniczenia liczby fałszywych wiadomości e-mail i spamu. | Uwierzytelnianie domeny nadawcy i zapewnienie integralności wiadomości |
| Nazwa pola nagłówka | DomainKey-Signature: | Podpis DKIM: |
| Mechanizm selektora | Nieobsługiwane | Obsługiwane (selector._domainkey.example.com) |
| Zarządzanie kluczami | Pojedynczy klucz dla całej domeny | Wiele przycisków za pomocą selektorów; łatwe obracanie przycisków |
| Zakres podpisywania | Cała treść wiadomości i niektóre nagłówki | Określone nagłówki wybrane przez nadawcę (h= tag) i zaszyfrowana treść wiadomości (bh= tag) |
| Opcje kanonizacji | Podstawowy lub brak | Proste i zrelaksowane opcje kanonizacji dla elastyczności |
| Body Hashing | Całe ciało podpisane bezpośrednio | Używa skrótu ciała (bh=) dla lepszej odporności na drobne zmiany. |
| Domena weryfikacji | Na podstawie domeny "Od" lub "Nadawca" | Na podstawie tagu d= w podpisie |
| Integracja z DMARC | Nieobsługiwane | W pełni obsługiwany i używany do kontroli wyrównania |
| Adopcja i status | Ograniczone zastosowanie; przestarzałe | Powszechnie przyjęte i aktywnie wykorzystywane |
| Główne ograniczenia | Sztywny proces podpisywania, brak selektorów, złamanie podpisu | Nie chroni widocznego nagłówka "From" (wymaga DMARC). |
Dlaczego DKIM zastąpił DomainKeys?
DKIM zastąpił DomainKeys, ponieważ rozwiązał główne ograniczenia techniczne protokołu - brak standaryzacji, brak mechanizmu selektora do rotacji kluczy i kruche podpisy, które łamały się przy drobnych zmianach wiadomości. DKIM wprowadził elastyczne podpisywanie nagłówków, silniejszą kryptografię i standaryzację IETF, dzięki czemu jest bardziej niezawodny, skalowalny i szeroko stosowany do uwierzytelniania wiadomości e-mail.
Korzyści biznesowe wynikające z wdrożenia DKIM
DKIM wiąże się z licznymi korzyściami:
Zapobieganie spoofingowi i phishingowi
Podczas gdy sam DKIM nie jest w stanie powstrzymać ataków typu spoofing i phishing, współpracuje on z DMARC w celu zwiększenia bezpieczeństwa domeny i zapobiegania fałszerstwom.
Ochrona marki
Gdy oszust używa Twojej domeny do wysyłania złośliwych wiadomości e-mail, cierpi na tym reputacja Twojej marki. Odbiorcy kojarzą Twoją nazwę z spamem i oszustwem, co prowadzi do utraty zaufania. DKIM pozwala zachować integralność marki w skrzynce odbiorczej.
Dostarczalność wiadomości e-mail
Główni dostawcy skrzynek odbiorczych, tacy jak Google i Microsoft oczekują i wymagają prawidłowego uwierzytelnienia. Wiadomości e-mail, które przejdą DKIM, są postrzegane jako bardziej godne zaufania.
Integralność wiadomości
Podpis DKIM gwarantuje, że treść wiadomości e-mail nie została zmodyfikowana po jej wysłaniu. Pomaga to upewnić się, że wiadomość, którą czyta odbiorca, jest dokładnie tą samą wiadomością, którą wysłałeś.
Dlaczego sam DKIM nie wystarczy?
DKIM to potężne narzędzie, ale ma jedno poważne ograniczenie, gdy jest używane samodzielnie: nie zatrzymuje spoofingu nagłówka "From".
DKIM sprawdza, czy wiadomość e-mail została podpisana przez domenę wymienioną w polu d= w podpisie. Jednakże nie wymaga, aby domena była zgodna z widoczny "Od", który widzi użytkownik. Phisher może wysłać wiadomość e-mail "od" dyrektora generalnego, ale podpisać ją własną złośliwą domeną. Wiadomość e-mail przeszłaby kontrolę DKIM, ale nadal byłby to atak spoofingowy.
W tym miejscu DMARC wkracza do akcji.
DMARC wypełnia lukę między uwierzytelnianiem a tożsamością. Zapewnia, że domena uwierzytelniona przez DKIM lub SPF jest zgodna z domeną widoczną dla odbiorcy w nagłówku "From".
Podsumowanie
DomainKeys utorował drogę, ale DKIM pozostaje dziś standardem uwierzytelniania zaufanych wiadomości e-mail. Połączenie go z DMARC zapewnia ochronę przed spoofingiem i phishingiem.
Jeśli skonfigurujesz coś w niewłaściwy sposób, nawet legalne wiadomości e-mail mogą zostać zablokowane. Aby uniknąć takich problemów i innych wyzwań związanych z DKIM, PowerDMARC's Hosted DKIM może pomóc. Jest to usługa w chmurze, która dba o każdy aspekt procesu zarządzania DKIM. Ze scentralizowanego pulpitu nawigacyjnego można dodawać, edytować i zarządzać wieloma selektorami i kluczami dla wszystkich domen, bez konieczności zajmowania się zmianami na poziomie DNS.
Rozpocznij bezpłatny okres próbny już dziś, aby zwiększyć dostarczalność, poprawić uwierzytelnianie i zabezpieczyć swoją domenę przed spoofingiem!
Najczęściej zadawane pytania
- Czy DomainKeys jest nadal używany?
Już nie. Został on wycofany i zastąpiony nowoczesnym protokołem DKIM.
- W jaki sposób PowerDMARC może pomóc w zarządzaniu DKIM?
PowerDMARC oferuje hostowane rozwiązanie DKIM, które umożliwia automatyczne wdrażanie DKIM, selektor i zarządzanie kluczami.
Ekspert ds. bezpieczeństwa domen i poczty e-mail w PowerDMARC
Ahona jest Marketing Managerem w PowerDMARC, z ponad 5-letnim doświadczeniem w pisaniu na tematy związane z cyberbezpieczeństwem, specjalizującym się w bezpieczeństwie domen i poczty elektronicznej. Ahona posiada dyplom ukończenia studiów podyplomowych w zakresie dziennikarstwa i komunikacji, umacniając swoją karierę w sektorze bezpieczeństwa od 2019 roku.
Latest posts by Ahona Rudra (zobacz wszystkie)
- Studium przypadku DMARC dla dostawców usług zarządzanych (MSP): Jak firma Digital Infinity IT Group usprawniła zarządzanie protokołami DMARC i DKIM dla klientów dzięki PowerDMARC - 21 kwietnia 2026 r.
- Czym jest DANE? Wyjaśnienie uwierzytelniania nazwanych podmiotów w oparciu o DNS (2026) - 20 kwietnia 2026 r.
- Podstawy bezpieczeństwa VPN: najlepsze praktyki w zakresie ochrony prywatności – 14 kwietnia 2026 r.
