Stanowiska

Rotacja kluczy DKIM to proces aktualizacji kluczy DKIM. Należy okresowo aktualizować klucze - dokładny okres nie jest ważny, ale sam proces tak. Dlaczego powinieneś to robić? Rotacja kluczy polega na tworzeniu nowych kluczy i aktualizowaniu rekordów DNS za pomocą tych nowych kluczy. Cel rotacji kluczy DKIM jest podobny do tego, w jakim zmieniasz okresowo swoje hasła: jest to środek bezpieczeństwa, który pomaga zapobiec podszywaniu się atakujących pod Twoją domenę i wysyłaniu spamu lub phishingu.

Przyjrzyjmy się, dlaczego w ogóle używa się kluczy DKIM.

Dlaczego używa się kluczy DKIM?

DKIM to skrót od DomainKeys Identified Mail. Jest to sposób na dodanie dodatkowej warstwy zabezpieczeń do Twojego serwera pocztowego, aby Twoje wiadomości nie były oznaczane jako spam i nie trafiały do folderów ze spamem. DKIM najlepiej rozumieć jako zaszyfrowany identyfikator dołączany do wiadomości, dzięki któremu odbiorcy mogą zweryfikować, czy wiadomość została wysłana przez Ciebie, czyli osobę, od której rzekomo pochodzi. Ten identyfikator, czyli klucz, pozwala im to sprawdzić.

Jak działa protokół DKIM?

Działanie DKIM polega na dodawaniu tego identyfikatora do każdej wysyłanej wiadomości e-mail. Gdy ktoś otrzyma jedną z takich wiadomości, może sprawdzić nagłówek lub stopkę wiadomości i znaleźć ciąg cyfr i liter, który jest zaszyfrowanym identyfikatorem lub kluczem DKIM. Przed wysłaniem wiadomości e-mail do odbiorcy serwer pocztowy nadawcy podpisuje każdą wiadomość podpisem cyfrowym, który jest następnie weryfikowany przez serwer odbierający wiadomość. Proces ten stanowi dowód, że wiadomość e-mail nie została w żaden sposób naruszona ani zmieniona. 

Podczas wysyłania wiadomości e-mail podpis jest dołączany jako nagłówek na końcu wiadomości. Serwery odbiorcze używają kluczy publicznych (dostarczanych przez właścicieli domen za pośrednictwem rekordów DNS) do odszyfrowania i zweryfikowania tych podpisów.

Dlaczego rotacja klucza DKIM jest ważna dla bezpieczeństwa Twojej domeny?

Rotacja kluczy DKIM polega na rozpoczęciu używania nowej pary kluczy prywatnych/publicznych do podpisywania i uwierzytelniania wiadomości, a następnie zaprzestaniu używania starej pary kluczy prywatnych/publicznych.

Dlaczego jest to ważne? Otóż gdyby ktoś uzyskał dostęp do Twojego klucza prywatnego, mógłby go wykorzystać do wysyłania fałszywych wiadomości e-mail, które wyglądałyby na pochodzące od Ciebie! Aby zapobiec tego rodzaju złośliwym działaniom, najlepiej jest wymieniać klucze co kilka miesięcy.

Aby lepiej zrozumieć znaczenie rotacji kluczy DKIM, przyjrzyjmy się następującemu przykładowi: 

Załóżmy, że wysyłasz kampanię e-mailową dotyczącą świątecznej wyprzedaży w swoim sklepie. Używasz kluczy DKIM do podpisywania wiadomości, ale jeśli z czasem wyślesz wystarczająco dużo wiadomości z użyciem tej samej pary kluczy, źli aktorzy mogą w końcu przechwycić i rozszyfrować jedną z nich, ponieważ każda wiadomość używa tego samego algorytmu haszowania kryptograficznego. Gdy już zdobędą Twój klucz publiczny, mogą zacząć podpisywać nim swoje wiadomości phishingowe bez Twojej wiedzy! Dlatego właśnie okresowa rotacja klucza DKIM jest kluczowa dla bezpieczeństwa Twojej domeny.

Jak można rotować klucze DKIM?

1. Ręczna rotacja klucza DKIM

Możesz od czasu do czasu ręcznie rotować klucze DKIM, tworząc nowe klucze dla swojej domeny. Aby to zrobić, wykonaj poniższe kroki: 

  • Przejdź do naszego darmowego Generator rekordów DKIM narzędzie
  • Wprowadź informacje o domenie i wprowadź wybrany selektor DKIM. 
  • Naciśnij przycisk "Generuj". 
  • Skopiuj nową parę kluczy DKIM 
  • Klucz publiczny ma zostać opublikowany w DNS, zastępując poprzedni rekord
  • Klucz prywatny należy udostępnić dostawcy usług internetowych (jeśli zlecasz wysyłanie poczty na zewnątrz) lub umieścić na swoim serwerze pocztowym (jeśli obsługujesz wysyłanie poczty lokalnie). 

2. Przekazanie klucza DKIM subdomeny

Właściciele domen mogą zlecić rotację klucza DKIM firmie zewnętrznej, która zajmie się tym za nich. Dzieje się tak, gdy właściciel domeny deleguje dedykowaną subdomenę do dostawcy poczty elektronicznej i prosi go o wygenerowanie pary kluczy DKIM w swoim imieniu. Pozwala to właścicielom uniknąć kłopotów związanych z rotacją klucza DKIM, zlecając tę odpowiedzialność stronie trzeciej. 

Może to jednak powodować problemy z zastępowaniem zasad przy wpisach DMARC. Zaleca się, aby klucze rotacyjne były monitorowane i sprawdzane przez kontrolerów domeny w celu zapewnienia płynnego i bezbłędnego wdrożenia. 

3. Delegacja klucza DKIM CNAME

CNAME oznacza nazwę kanoniczną i są to rekordy DNS, które są używane do wskazywania na dane domeny zewnętrznej. Delegacja CNAME pozwala właścicielom domen na wskazywanie na informacje o rekordach DKIM, które są utrzymywane przez dowolną zewnętrzną stronę trzecią. Jest to podobne do delegowania subdomen, ponieważ właściciel domeny jest zobowiązany do opublikowania tylko kilku rekordów CNAME w DNS, podczas gdy infrastruktura DKIM i rotacja kluczy DKIM są obsługiwane przez stronę trzecią, na którą wskazuje dany rekord. 

Na przykład, 

"domain.com" to domena, z której mają być podpisywane przychodzące wiadomości e-mail, a "third-party.com" to dostawca, który będzie obsługiwał proces podpisywania. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Wspomniany wyżej rekord CNAME musi być opublikowany w DNS właściciela domeny. 

Teraz, s1.domain.com.third-party.com ma już opublikowany rekord DKIM w swoim DNS, który może być następujący s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Informacje te będą wykorzystywane do podpisywania wiadomości e-mail pochodzących z domeny.com. 

Notatka: Należy opublikować wiele rekordów DKIM (zalecane: co najmniej 3 rekordy CNAME) z różnymi selektorami w DNS, aby umożliwić rotację kluczy DKIM. Pozwoli to dostawcy na przełączanie się między kluczami podczas podpisywania i zapewni mu alternatywne opcje.

4. Automatyczna rotacja klucza DKIM

Większość dostawców poczty elektronicznej i zewnętrznych dostawców usług poczty elektronicznej umożliwia klientom automatyczną rotację klucza DKIM. Na przykład, jeśli korzystasz z usługi Office 365 do routingu swoich wiadomości e-mail, ucieszy Cię wiadomość, że firma Microsoft obsługuje automatyczną rotację klucza DKIM dla użytkowników usługi Office 365. 

W naszej bazie wiedzy znajduje się pełny dokument opisujący sposób włączania rotacji klucza DKIM dla wiadomości e-mail w usłudze Office 365. 

Korzyści wynikające z automatycznej rotacji kluczy DKIM

  • Jeśli dostawca umożliwia automatyczną rotację kluczy DKIM, nie musisz nic robić ze swojej strony. Wszystko jest zarządzane przez dostawcę. 
  • Konfiguracje ręczne są podatne na błędy ludzkie.
  • Automatyczna rotacja klawiszy jest szybka i skuteczna, nie wymaga ingerencji użytkownika. 
  • System zarządzania DKIM jest całkowicie zlecany na zewnątrz i obsługiwany przez stronę trzecią.

Wdrażanie strategii rotacji kluczy DKIM

Nazywamy to "3 D rotacji klucza DKIM":

  • Omówienie strony 
  • Zdecyduj
  • Wdrażanie 

To podsumowuje skuteczną strategię rotacji kluczy DKIM dla Twoich domen. Jeśli korzystasz z usług firm trzecich w zakresie poczty elektronicznej i ich dostawca zajmuje się rotacją kluczy, upewnij się, że macie otwartą i przejrzystą dyskusję na temat tego, kiedy i jak często chcesz rotować swoje klucze. Powinieneś mieć wpływ na harmonogram oraz rozmiar klucza selekcyjnego (czy chcesz użyć 1024 czy 2048 bitów dla większego bezpieczeństwa). 

Po zakończeniu fazy dyskusji użytkownik i sprzedawca muszą wspólnie zdecydować, jaka jest strategia, a następnie przystąpić do jej wdrożenia.