DKIM to skrót od DomainKeys Identified Mail, protokołu uwierzytelniania poczty e-mail, który działa przy użyciu zaszyfrowanego podpisu cyfrowego. Jest to również protokół uzupełniający, który może być sparowany z polityką polityką DMARC.
Protokół DKIM można zaimplementować, ustawiając rekord w DNS, utworzony z kombinacji tagów DKIM i odpowiadających im wartości. Na tym blogu zagłębiamy się w szczegółowe wyjaśnienia wymaganych, opcjonalnych, zalecanych i odradzanych tagów podpisu DKIM wraz z przykładami.
Czym są znaczniki DKIM?
Tagi DKIM to instrukcje w rekordzie DKIM określające szczegóły dotyczące nadawcy w celu weryfikacji podpisu cyfrowego.
Prawidłowo skonfigurowane znaczniki podpisu DKIM umożliwiają dostawcom usług poczty elektronicznej uwierzytelnianie wiadomości e-mail. Giganci technologiczni, tacy jak Google i Yahoo, wprowadzili ten protokół dla nadawców wiadomości e-mail w celu zapobiegania spamowi, phishingowi i spoofingowi.
Jak działają znaczniki podpisu DKIM
Serwer odbiorcy korzysta z danych w nagłówku wiadomości e-mail i oficjalnych danych domeny DKIM aby zweryfikować autentyczność wiadomości e-mail. Nagłówek sygnatury DKIM jest dołączany do wychodzącej wiadomości e-mail. Wiele znaczników podpisu DKIM zawiera informacje o nadawcy, dzięki czemu serwer odbiorcy wie, gdzie szukać, aby zweryfikować wiadomość e-mail.
Te znaczniki podpisu DKIM są składnikiem informacyjnym, który wyświetla określone wartości, z których każda reprezentuje szczegóły dotyczące treści wiadomości e-mail. Wszystkie klucze DomainKeys mają klucz prywatny używany do szyfrowania cyfrowych podpisów DKIM. Oprócz tego mają również klucz publiczny opublikowany w DNS domeny.
Tak więc za każdym razem, gdy wiadomości e-mail są wysyłane z Twojej domeny, klucz prywatny w wiadomościach e-mail powinien być zgodny z kluczem publicznym. W przeciwnym razie wiadomość nie dotrze do skrzynek pocztowych odbiorców. Jest to bardzo szybki proces i nie zajmuje więcej niż kilka sekund. Działa jednak tylko wtedy, gdy wygenerujesz rekord DKIM i dodasz prawidłowe tagi DNS DKIM.
Wyjaśnienie tagów rekordów DKIM
Znaczniki rekordów DNS DKIM to pojedyncze litery używane jako polecenia, po których następuje znak równości. Wszystkie litery mają znacznik DKIM, który wyznacza określone wartości reprezentujące informacje o nadawcy. Każdy znacznik podpisu DKIM zawiera szczegóły dotyczące lokalizacji klucza publicznego używanego do szyfrowania wiadomości.
Typy znaczników DKIM
Tagi sygnatur DKIM można sklasyfikować jako "wymagane tagi" i "opcjonalne tagi", a wartość każdego z nich jest ważna przy generowaniu rekordu DKIM. Istnieją inne tagi sygnatur DKIM, które są klasyfikowane jako "niewymagane" lub "niezalecane". Można je ustawić w zależności od instancji ich użyteczności lub wymagań każdej domeny. Podczas dodawania rekordu DKIM do DNS wymagane są odpowiednie tagi uwierzytelniania DKIM. Dowiedzmy się więcej o tych tagach.
Obowiązkowe tagi DKIM
Wymagane tagi DKIM są tak ważne dla nagłówka podpisu DKIM, że bez nich Twoja wiadomość nie przejdzie testu weryfikacyjnego. Skrzynka odbiorcy odrzuci e-maile bez tych tagów.
- v= Jest to znacznik wersji DKIM, który oznacza używany standard DKIM. Jego wartość jest zawsze ustawiona na 1.
- a= Ten znacznik DKIM wskazuje algorytm kryptograficzny użyty do stworzenia podpisu. Używaną wartością jest rsa-sha256. Jeśli Twój komputer ma zmniejszone możliwości procesora, możesz użyć rsa-sha1. Jednak nie jest to zalecane ze względów bezpieczeństwa.
- s= Wskazuje znacznik selektora DKIM używany do wyszukiwania klucza publicznego w DNS domeny. W tym polu należy wpisać nazwę lub liczbę.
- d= Znacznik domeny DKIM wyświetla domenę używaną z rekordem selektora do lokalizowania kluczy publicznych. Jego wartość jest taka sama jak nazwa domeny używana przez nadawcę.
- b= Znacznik ciała DKIM jest używany dla danych skrótu nagłówka. Zazwyczaj jest on sparowany ze znacznikiem h= w celu sporządzenia podpisu DKIM. Jest on zawsze zakodowany w Base64.
- bh= Znacznik skrótu ciała DKIM zawiera obliczony skrót wiadomości e-mail. Jego wartością jest ciąg znaków oznaczający skrót określony przez algorytm.
- h= Ten znacznik zawiera nagłówki widziane w algorytmie podpisywania, aby wygenerować hash w znaczniku b=. Jego wartość nie może być ani usunięta, ani zmieniona.
Opcjonalne tagi DKIM
Oprócz znaczników podpisu DKIM, istnieje kilka opcjonalnych znaczników. Oznacza to, że jeśli Twój podpis DKIM pominie te tagi, nie pojawi się żaden błąd w czasie weryfikacji. Jednak eksperci zalecają ich używanie, aby uniknąć spoofingu emaili.
Spoofery nie przypisują wartości czasowych, w przeciwieństwie do prawdziwych maili korporacyjnych. Jeśli więc Twoja skrzynka pocztowa zauważy nieprawidłowe wartości czasu dla nadawcy, jest bardziej prawdopodobne, że całkowicie odrzuci wiadomość.
Opcjonalne, ale zalecane tagi DKIM
Zachęcamy do korzystania z tych zalecanych tagów rekordów DKIM, ponieważ pomagają one serwerowi odbiorcy w procesie weryfikacji.
- g= Działa jako ziarnistość twojego klucza publicznego i jego wartość jest taka sama jak lokalna część znacznika i=. Możesz również wprowadzić gwiazdkę (*) jako symbol wieloznaczny. Ten tag DKIM blokuje adresy podpisujące przed użyciem rekordów selektora. Każdy email posiadający adres podpisujący nie pasujący do tego tagu nie przejdzie weryfikacji.
- h= Oznacza akceptowalny algorytm skrótu i ma określone wartości ustawione na "sha1" i "sha256". Sygnatariusze i weryfikatorzy potrzebują tych wartości.
- k= Jest to typ klucza. Jego domyślna wartość jest ustawiona na "rsa", co powinno być obsługiwane przez podpisujących i weryfikatorów.
- n= Administratorzy używają tego tagu do dodawania notatek czytelnych dla człowieka.
- t= Jest to ważny tag, ponieważ działa jako znacznik czasu podpisu pokazujący czas wysłania wiadomości. Format tego znacznika jest w numerowanych sekundach od 00:00:00 1 stycznia 1970 roku (UTC).
- x= Ten znacznik informuje o dacie ważności podpisu. Uzupełnia on tag t= poprzez przypisanie daty dostawy.
- t=y Służy do określenia podpisu testowania domeny i jest używany przez nadawców, gdy DKIM jest ustawiony po raz pierwszy. Jest to sugerowane, ponieważ niektórzy dostawcy skrzynek pocztowych pomijają podpisy DKIM w trybie testowym. Tag należy usunąć przed całkowitym wdrożeniem.
- t=s jest zamiennikiem znacznika t=y. Mówi, że każdy podpis DKIM używający znacznika i= musi mieć tę samą wartość domeny, co domena podstawowa.
Nie jest wymagany
Nie potrzebujesz tych tagów podpisu DKIM, jeśli tworzysz nagłówek DKIM po raz pierwszy. Sprawiają one, że podpis DKIM jest techniczny i złożony.
- c= jest znacznikiem rekordu DKIM, który działa jako algorytm kanonizacji i opisuje poziom modyfikacji emaila w trakcie tranzytu do innego dostawcy skrzynki pocztowej. Jest on używany w celu uniknięcia drobnych modyfikacji wiadomości e-mail w trakcie tranzytu. W przeciwnym razie może to spowodować niepowodzenie weryfikacji. Zmiany obejmują białe spacje lub zawijanie linii.
Jego wartość jest ustawiona na wartość1 lub wartość2. Wartość1 przeznaczona jest dla nagłówka, natomiast wartość2 dla treści wiadomości. Mogą być ustawione na 'simple' lub 'relaxed' aby określić tolerancję na modyfikacje w emailu.
- i= reprezentuje tożsamość użytkownika lub agenta. Jego wartością jest adres e-mail posiadający domenę i subdomenę do Twojej strony, która jest taka sama jak znacznik d=.
Nie zalecane
Te tagi DKIM DNS nie są konieczne dla żadnego nagłówka DKIM. Są one używane tylko wtedy, gdy musisz kontrolować którąkolwiek z wymienionych poniżej specyfikacji;
- l= Znacznik długości DKIM ułatwia częściowe podpisanie treści wiadomości oznaczonej liczbą bitów do podpisania. Ten znacznik nie jest zalecany, ponieważ pozostawia wiadomość podatną na manipulacje.
- z= Zawiera oryginalne nagłówki wiadomości i jest używany przez dostawców skrzynek pocztowych do obsługi błędów weryfikacji diagnostyki.
Końcowe wnioski
Wdrożenie i zarządzanie protokołem DKIM może wymagać specjalistycznej wiedzy, czasu i wysiłku, które często znacznie przekraczają przepustowość. Dlatego organizacje wybierają nasze hostowane rozwiązanie DKIM. Pomagamy generować rekordy DKIM, konfigurować tagi sygnatur DKIM oraz zarządzać selektorami i kluczami DKIM na jednej platformie!
Ponadto zapewniamy fachową pomoc w konfiguracji protokołów uzupełniających, takich jak DMARC i SPF aby wzmocnić ochronę przed atakami opartymi na wiadomościach e-mail.
Aby dowiedzieć się więcej i uzyskać spersonalizowaną strategię bezpieczeństwa domeny dla organizacji, która została wypróbowana i przetestowana w celu poprawy dostarczalności - skontaktuj się z nami już dziś!
- Wzrost liczby oszustw pod pretekstem w ulepszonych atakach phishingowych - 15 stycznia 2025 r.
- DMARC staje się obowiązkowy dla branży kart płatniczych od 2025 roku - 12 stycznia 2025 r.
- Zmiany w NCSC Mail Check i ich wpływ na bezpieczeństwo poczty elektronicznej w brytyjskim sektorze publicznym - 11 stycznia 2025 r.