Tagi DKIM: Tagi wymagane i opcjonalne

Blog

Tagi DKIM to mechanizmy lub polecenia używane w rekordzie DKIM oznaczające określone informacje o nadawcy skonfigurowanym protokołem DKIM.

przez Ahona Rudra

Czas odczytu: 6 min
Tagi DKIM: Tagi wymagane i opcjonalne
Spis treści-

DKIM to skrót od DomainKeys Identified Mail, protokołu uwierzytelniania poczty e-mail, który działa przy użyciu zaszyfrowanego podpisu cyfrowego. Jest to również protokół uzupełniający, który może być sparowany z polityką polityką DMARC.

Protokół DKIM można zaimplementować, ustawiając rekord w DNS, utworzony z kombinacji tagów DKIM i odpowiadających im wartości. Na tym blogu zagłębiamy się w szczegółowe wyjaśnienia wymaganych, opcjonalnych, zalecanych i odradzanych tagów podpisu DKIM wraz z przykładami. 

Czym są znaczniki DKIM?

Tagi DKIM to instrukcje w rekordzie DKIM określające szczegóły dotyczące nadawcy w celu weryfikacji podpisu cyfrowego. 

Prawidłowo skonfigurowane znaczniki podpisu DKIM umożliwiają dostawcom usług poczty elektronicznej uwierzytelnianie wiadomości e-mail. Giganci technologiczni, tacy jak Google i Yahoo, wprowadzili ten protokół dla nadawców wiadomości e-mail w celu zapobiegania spamowi, phishingowi i spoofingowi.

 

Kluczowe wnioski

  1. DKIM to protokół uwierzytelniania wiadomości e-mail, który wykorzystuje zaszyfrowany podpis cyfrowy do weryfikacji legalności wiadomości e-mail.
  2. Prawidłowo skonfigurowane tagi sygnatur DKIM są niezbędne do zapewnienia, że wiadomości e-mail są uwierzytelnione, zapobiegając ich odrzuceniu przez skrzynki pocztowe odbiorców.
  3. Tagi DKIM są klasyfikowane jako wymagane, opcjonalne i niezalecane, przy czym niektóre tagi są krytyczne dla przejścia testów weryfikacji DKIM.
  4. Korzystanie z opcjonalnych i zalecanych tagów DKIM może zwiększyć bezpieczeństwo wiadomości e-mail i pomóc w procesie weryfikacji przed atakami typu spoofing.
  5. Wdrożenie DKIM może być skomplikowane, dlatego wiele organizacji decyduje się na rozwiązania hostowane, aby efektywnie zarządzać konfiguracją DKIM.

Jak działają znaczniki podpisu DKIM

Serwer odbiorcy korzysta z danych w nagłówku wiadomości e-mail i oficjalnych danych domeny DKIM aby zweryfikować autentyczność wiadomości e-mail. Nagłówek sygnatury DKIM jest dołączany do wychodzącej wiadomości e-mail. Wiele znaczników podpisu DKIM zawiera informacje o nadawcy, dzięki czemu serwer odbiorcy wie, gdzie szukać, aby zweryfikować wiadomość e-mail.

Te znaczniki podpisu DKIM są składnikiem informacyjnym, który wyświetla określone wartości, z których każda reprezentuje szczegóły dotyczące treści wiadomości e-mail. Wszystkie klucze DomainKeys mają klucz prywatny używany do szyfrowania cyfrowych podpisów DKIM. Oprócz tego mają również klucz publiczny opublikowany w DNS domeny.

Tak więc za każdym razem, gdy wiadomości e-mail są wysyłane z Twojej domeny, klucz prywatny w wiadomościach e-mail powinien być zgodny z kluczem publicznym. W przeciwnym razie wiadomość nie dotrze do skrzynek pocztowych odbiorców. Jest to bardzo szybki proces i nie zajmuje więcej niż kilka sekund. Działa jednak tylko wtedy, gdy wygenerujesz rekord DKIM i dodasz prawidłowe tagi DNS DKIM.

 

Uprość tagi DKIM dzięki PowerDMARC!

15-dniowy trialZamów demo

Wyjaśnienie tagów rekordów DKIM

Znaczniki rekordów DNS DKIM to pojedyncze litery używane jako polecenia, po których następuje znak równości. Wszystkie litery mają znacznik DKIM, który wyznacza określone wartości reprezentujące informacje o nadawcy. Każdy znacznik podpisu DKIM zawiera szczegóły dotyczące lokalizacji klucza publicznego używanego do szyfrowania wiadomości.

Typy znaczników DKIM 

Tagi sygnatur DKIM można sklasyfikować jako "wymagane tagi" i "opcjonalne tagi", a wartość każdego z nich jest ważna przy generowaniu rekordu DKIM. Istnieją inne tagi sygnatur DKIM, które są klasyfikowane jako "niewymagane" lub "niezalecane". Można je ustawić w zależności od instancji ich użyteczności lub wymagań każdej domeny. Podczas dodawania rekordu DKIM do DNS wymagane są odpowiednie tagi uwierzytelniania DKIM. Dowiedzmy się więcej o tych tagach.

Obowiązkowe tagi DKIM 

Wymagane tagi DKIM są tak ważne dla nagłówka podpisu DKIM, że bez nich Twoja wiadomość nie przejdzie testu weryfikacyjnego. Skrzynka odbiorcy odrzuci e-maile bez tych tagów. 

  • v= Jest to znacznik wersji DKIM, który oznacza używany standard DKIM. Jego wartość jest zawsze ustawiona na 1.
  • a= Ten znacznik DKIM wskazuje algorytm kryptograficzny użyty do stworzenia podpisu. Używaną wartością jest rsa-sha256. Jeśli Twój komputer ma zmniejszone możliwości procesora, możesz użyć rsa-sha1. Jednak nie jest to zalecane ze względów bezpieczeństwa. 
  • s= Wskazuje znacznik selektora DKIM używany do wyszukiwania klucza publicznego w DNS domeny. W tym polu należy wpisać nazwę lub liczbę.
  • d= Znacznik domeny DKIM wyświetla domenę używaną z rekordem selektora do lokalizowania kluczy publicznych. Jego wartość jest taka sama jak nazwa domeny używana przez nadawcę.
  • b= Znacznik ciała DKIM jest używany dla danych skrótu nagłówka. Zazwyczaj jest on sparowany ze znacznikiem h= w celu sporządzenia podpisu DKIM. Jest on zawsze zakodowany w Base64. 
  • bh= Znacznik skrótu ciała DKIM zawiera obliczony skrót wiadomości e-mail. Jego wartością jest ciąg znaków oznaczający skrót określony przez algorytm.
  • h= Ten znacznik zawiera nagłówki widziane w algorytmie podpisywania, aby wygenerować hash w znaczniku b=. Jego wartość nie może być ani usunięta, ani zmieniona. 

Opcjonalne tagi DKIM

Oprócz znaczników podpisu DKIM, istnieje kilka opcjonalnych znaczników. Oznacza to, że jeśli Twój podpis DKIM pominie te tagi, nie pojawi się żaden błąd w czasie weryfikacji. Jednak eksperci zalecają ich używanie, aby uniknąć spoofingu emaili. 

Spoofery nie przypisują wartości czasowych, w przeciwieństwie do prawdziwych maili korporacyjnych. Jeśli więc Twoja skrzynka pocztowa zauważy nieprawidłowe wartości czasu dla nadawcy, jest bardziej prawdopodobne, że całkowicie odrzuci wiadomość. 

Zachęcamy do korzystania z tych zalecanych tagów rekordów DKIM, ponieważ pomagają one serwerowi odbiorcy w procesie weryfikacji. 

  • g= Działa jako ziarnistość twojego klucza publicznego i jego wartość jest taka sama jak lokalna część znacznika i=. Możesz również wprowadzić gwiazdkę (*) jako symbol wieloznaczny. Ten tag DKIM blokuje adresy podpisujące przed użyciem rekordów selektora. Każdy email posiadający adres podpisujący nie pasujący do tego tagu nie przejdzie weryfikacji. 
  • h= Oznacza akceptowalny algorytm skrótu i ma określone wartości ustawione na "sha1" i "sha256". Sygnatariusze i weryfikatorzy potrzebują tych wartości.
  • k= Jest to typ klucza. Jego domyślna wartość jest ustawiona na "rsa", co powinno być obsługiwane przez podpisujących i weryfikatorów.
  • n= Administratorzy używają tego tagu do dodawania notatek czytelnych dla człowieka.
  • t= Jest to ważny tag, ponieważ działa jako znacznik czasu podpisu pokazujący czas wysłania wiadomości. Format tego znacznika jest w numerowanych sekundach od 00:00:00 1 stycznia 1970 roku (UTC).
  • x= Ten znacznik informuje o dacie ważności podpisu. Uzupełnia on tag t= poprzez przypisanie daty dostawy. 
  • t=y Służy do określenia podpisu testowania domeny i jest używany przez nadawców, gdy DKIM jest ustawiony po raz pierwszy. Jest to sugerowane, ponieważ niektórzy dostawcy skrzynek pocztowych pomijają podpisy DKIM w trybie testowym. Tag należy usunąć przed całkowitym wdrożeniem.
  • t=s jest zamiennikiem znacznika t=y. Mówi, że każdy podpis DKIM używający znacznika i= musi mieć tę samą wartość domeny, co domena podstawowa.

Nie jest wymagany

Nie potrzebujesz tych tagów podpisu DKIM, jeśli tworzysz nagłówek DKIM po raz pierwszy. Sprawiają one, że podpis DKIM jest techniczny i złożony. 

  • c= jest znacznikiem rekordu DKIM, który działa jako algorytm kanonizacji i opisuje poziom modyfikacji emaila w trakcie tranzytu do innego dostawcy skrzynki pocztowej. Jest on używany w celu uniknięcia drobnych modyfikacji wiadomości e-mail w trakcie tranzytu. W przeciwnym razie może to spowodować niepowodzenie weryfikacji. Zmiany obejmują białe spacje lub zawijanie linii.

Jego wartość jest ustawiona na wartość1 lub wartość2. Wartość1 przeznaczona jest dla nagłówka, natomiast wartość2 dla treści wiadomości. Mogą być ustawione na 'simple' lub 'relaxed' aby określić tolerancję na modyfikacje w emailu. 

  • i= reprezentuje tożsamość użytkownika lub agenta. Jego wartością jest adres e-mail posiadający domenę i subdomenę do Twojej strony, która jest taka sama jak znacznik d=.

Te tagi DKIM DNS nie są konieczne dla żadnego nagłówka DKIM. Są one używane tylko wtedy, gdy musisz kontrolować którąkolwiek z wymienionych poniżej specyfikacji;

  • l= Znacznik długości DKIM ułatwia częściowe podpisanie treści wiadomości oznaczonej liczbą bitów do podpisania. Ten znacznik nie jest zalecany, ponieważ pozostawia wiadomość podatną na manipulacje. 
  • z= Zawiera oryginalne nagłówki wiadomości i jest używany przez dostawców skrzynek pocztowych do obsługi błędów weryfikacji diagnostyki.

Końcowe wnioski

Wdrożenie i zarządzanie protokołem DKIM może wymagać specjalistycznej wiedzy, czasu i wysiłku, które często znacznie przekraczają przepustowość. Dlatego organizacje wybierają nasze hostowane rozwiązanie DKIM. Pomagamy generować rekordy DKIM, konfigurować tagi sygnatur DKIM oraz zarządzać selektorami i kluczami DKIM na jednej platformie! 

Ponadto zapewniamy fachową pomoc w konfiguracji protokołów uzupełniających, takich jak DMARC i SPF aby wzmocnić ochronę przed atakami opartymi na wiadomościach e-mail.

Aby dowiedzieć się więcej i uzyskać spersonalizowaną strategię bezpieczeństwa domeny dla organizacji, która została wypróbowana i przetestowana w celu poprawy dostarczalności - skontaktuj się z nami już dziś!

Latest posts by Ahona Rudra (zobacz wszystkie)
Jak eksportować rekordy DNSJak eksportować rekordy DNSCzym jest TLS HandshakeCo to jest TLS Handshake?