Znaczniki DKIM to mechanizmy lub polecenia używane w rekordzie DKIM oznaczające określone informacje o skonfigurowanym przez nadawcę protokole DKIM. DKIM jest skrótem od DomainKeys Identified Mail, protokołu uwierzytelniania poczty elektronicznej, który działa za pomocą zaszyfrowanego podpisu cyfrowego. Jest on również kluczowy dla wdrożenia i prawidłowego działania polityki DMARC.
Prawidłowo dopasowany podpis DKIM pozwala dostawcom usług e-mail na weryfikację domeny. Giganci technologiczni, tacy jak Google i Yahoo, używają tego protokołu, aby zapobiegać phishingowi i spoofingowi.
Jak działa DKIM?
Serwer odbiorcy wykorzystuje dane w nagłówku wiadomości e-mail oraz oficjalny rekord DKIM domeny do weryfikacji autentyczności wiadomości e-mail. Nagłówek z podpisem DKIM jest umieszczany na górze wiadomości e-mail. Istnieje wiele znaczników DKIM, które przenoszą informacje o nadawcy, dzięki czemu serwer odbiorcy wie, gdzie szukać, aby zweryfikować wiadomość e-mail.
Te tagi są komponentem informacyjnym, który wyświetla określone wartości, z których każda reprezentuje szczegóły dotyczące ciała wiadomości e-mail. Wszystkie DomainKeys mają klucz prywatny używany do szyfrowania cyfrowych podpisów DKIM. Oprócz tego, mają również klucz publiczny opublikowany w DNS domeny.
Tak więc, za każdym razem, gdy e-maile są wysyłane z Twojej domeny, klucz prywatny w e-mailach powinien odpowiadać kluczowi publicznemu. W przeciwnym razie wiadomość nie dotrze do skrzynek pocztowych odbiorców. Jest to bardzo szybki proces i nie pochłania więcej niż kilka sekund. Działa jednak tylko wtedy, gdy wygenerujesz rekord DKIM i dodasz poprawne tagi uwierzytelniające DKIM.
Czym jest tag w rekordzie DKIM?
Znaczniki rekordów DKIM to pojedyncze litery używane jako polecenia, po których następuje znak równości. Wszystkie litery posiadają znacznik DKIM, który wyznacza określone wartości reprezentujące fragmenty informacji o nadawcy. Każdy znacznik zawiera szczegóły dotyczące lokalizacji klucza publicznego używanego do szyfrowania wiadomości.
Typy znaczników DKIM
Możesz sklasyfikować tagi DKIM przez "wymagane tagi" i "opcjonalne tagi", a wartość każdego z nich jest ważna w generowaniu rekordu DKIM. Istnieje kilka innych tagów DKIM, które są klasyfikowane jako "nie wymagane" lub "nie zalecane". Możesz ustawić je w zależności od instancji ich użyteczności lub wymagań każdej domeny. Wymagasz odpowiednich tagów uwierzytelniania DKIM podczas dodawania rekordu DKIM do DNS. Dowiedzmy się o tych tagach w szczegółach.
Wymagane znaczniki
Wymagane tagi DKIM są tak ważne dla nagłówka podpisu DKIM, że bez nich Twoja wiadomość nie przejdzie testu weryfikacyjnego. Skrzynka odbiorcy odrzuci e-maile bez tych tagów.
- v= Jest to znacznik wersji oznaczający używany standard DKIM. Jego wartość jest zawsze ustawiona na 1.
- a= Ten znacznik DKIM wskazuje algorytm kryptograficzny użyty do stworzenia podpisu. Używaną wartością jest rsa-sha256. Jeśli Twój komputer ma zmniejszone możliwości procesora, możesz użyć rsa-sha1. Jednak nie jest to zalecane ze względów bezpieczeństwa.
- s= Wskazuje nazwę rekordu selektora używanego do znalezienia klucza publicznego w DNS domeny. W tym polu wpiszesz nazwę lub liczbę.
- d= Wyświetla domenę używaną z rekordem selektora do lokalizacji kluczy publicznych. Jego wartość jest taka sama jak nazwa domeny używanej przez nadawcę.
- b= Ten tag DKIM jest używany dla danych hash nagłówka. Zazwyczaj jest sparowany z tagiem h= dla sporządzenia podpisu DKIM. Jest on zawsze zakodowany w Base64.
- bh= Posiada obliczony hash wiadomości e-mail. Jego wartością jest ciąg znaków oznaczający hash wyznaczony przez algorytm.
- h= Ten znacznik zawiera nagłówki widziane w algorytmie podpisywania, aby wygenerować hash w znaczniku b=. Jego wartość nie może być ani usunięta, ani zmieniona.
Tagi opcjonalne
Oprócz znaczników podpisu DKIM, istnieje kilka opcjonalnych znaczników. Oznacza to, że jeśli Twój podpis DKIM pominie te tagi, nie pojawi się żaden błąd w czasie weryfikacji. Jednak eksperci zalecają ich używanie, aby uniknąć spoofingu emaili.
Spoofery nie przypisują wartości czasowych, w przeciwieństwie do prawdziwych maili korporacyjnych. Jeśli więc Twoja skrzynka pocztowa zauważy nieprawidłowe wartości czasu dla nadawcy, jest bardziej prawdopodobne, że całkowicie odrzuci wiadomość.
Polecane tagi
Zachęcamy do korzystania z zalecanych znaczników rekordów DKIM, ponieważ wspomagają one serwer odbiorcy w tym procesie.
- g= Działa jako ziarnistość twojego klucza publicznego i jego wartość jest taka sama jak lokalna część znacznika i=. Możesz również wprowadzić gwiazdkę (*) jako symbol wieloznaczny. Ten tag DKIM blokuje adresy podpisujące przed użyciem rekordów selektora. Każdy email posiadający adres podpisujący nie pasujący do tego tagu nie przejdzie weryfikacji.
- h= Oznacza dopuszczalny algorytm haszujący i ma określone wartości ustawione na "sha1" i "sha256". Są one potrzebne sygnatariuszom i weryfikatorom.
- k= Jest to typ klucza. Jego domyślna wartość jest ustawiona na "rsa", co powinno być obsługiwane przez podpisujących i weryfikatorów.
- n= Administratorzy używają tego tagu do dodawania notatek czytelnych dla człowieka.
- t= Jest to ważny tag, ponieważ działa jako znacznik czasu podpisu pokazujący czas wysłania wiadomości. Format tego znacznika jest w numerowanych sekundach od 00:00:00 1 stycznia 1970 roku (UTC).
- x= Ten znacznik informuje o dacie ważności podpisu. Uzupełnia on tag t= poprzez przypisanie daty dostawy.
- t=y Służy do określenia testowej sygnatury domeny i jest używana przez nadawców gdy DKIM jest ustawiony po raz pierwszy. Jest to sugerowane, ponieważ niektórzy dostawcy skrzynek pocztowych przeoczają podpisy DKIM w trybie testowym. Musisz usunąć ten tag przed całkowitym wdrożeniem.
- t=s jest zamiennikiem znacznika t=y. Mówi on, że każdy podpis DKIM używający znacznika i= musi mieć taką samą wartość domeny jak domena główna.
Nie jest wymagany
Nie potrzebujesz tych tagów DKIM jeśli tworzysz nagłówek DKIM po raz pierwszy. Mają one tendencję do uczynienia twojego podpisu DKIM technicznym i złożonym.
- c= jest znacznikiem rekordu DKIM, który działa jako algorytm kanonizacji i opisuje poziom modyfikacji emaila w trakcie tranzytu do innego dostawcy skrzynki pocztowej. Jest on używany w celu uniknięcia drobnych modyfikacji wiadomości e-mail w trakcie tranzytu. W przeciwnym razie może to spowodować niepowodzenie weryfikacji. Zmiany obejmują białe spacje lub zawijanie linii.
Jego wartość jest ustawiona na wartość1 lub wartość2. Wartość1 przeznaczona jest dla nagłówka, natomiast wartość2 dla treści wiadomości. Mogą być ustawione na 'simple' lub 'relaxed' aby określić tolerancję na modyfikacje w emailu.
- i= reprezentuje tożsamość użytkownika lub agenta. Jego wartością jest adres e-mail posiadający domenę i subdomenę do Twojej strony, która jest taka sama jak znacznik d=.
Nie zalecane
Te DKIM tagi nie są konieczne dla każdego nagłówka DKIM. Te są używane tylko wtedy, gdy musisz kontrolować którąś z wymienionych poniżej specyfikacji;
- I= Określa liczbę znaków z wiadomości użytych do policzenia haszu ciała. Bez tej wartości będziesz musiał założyć, że używane jest całe ciało wiadomości.
- z= Zawiera oryginalne nagłówki wiadomości i jest używany przez dostawców skrzynek pocztowych do obsługi błędów weryfikacji diagnostyki.
- Wzrost liczby oszustw podatkowych i ataków podszywania się pod IRS w sezonie podatkowym - 2 maja 2024 r.
- Bezpieczeństwo poczty e-mail 101 w walce z oszustwami kryptograficznymi - 30 kwietnia 2024 r.
- Jak znaleźć najlepszego dostawcę rozwiązań DMARC dla swojej firmy? - 25 kwietnia 2024 r.