Co to jest DKIM i jak działa DKIM?

DKIM to skuteczny sposób na zapewnienie, że wiadomości e-mail nie są modyfikowane podczas ich dostarczania. Metody i protokoły uwierzytelniania oparte na domenach są znacznie skuteczniejsze przeciwko cyberatakom opartym na wiadomościach e-mail, które stają się coraz bardziej powszechne, zwłaszcza wraz z rozwojem pracy zdalnej. Poczta elektroniczna pozostaje dominującą formą komunikacji biznesowej, ale jest również głównym wektorem ataków, takich jak phishing, co sprawia, że solidna weryfikacja ma kluczowe znaczenie. Ważne jest, aby pamiętać, że uwierzytelnianie poczty e-mail nie jest niezawodne, a atakujący wciąż mogą znaleźć sposoby na ominięcie tych środków. Dlatego zawsze warto zachować ostrożność podczas otwierania wiadomości e-mail, zwłaszcza tych zawierających linki lub załączniki. DKIM jest jednym z takich protokołów zaprojektowanych w celu zwalczania tych zagrożeń.

Opiera się na kryptografii klucza publicznego i działa poprzez dodanie podpisu cyfrowego do nagłówka wiadomości, zazwyczaj podpisując nagłówki takie jak "Od", "Do", "Temat" i "Data". Gdy odbiorca otrzyma wiadomość e-mail z DKIM, sprawdza podpis cyfrowy za pomocą klucza publicznego opublikowanego w DNS nadawcy, aby upewnić się, że jest on ważny. Jeśli tak, to wiedzą, że wiadomość pozostała niezmieniona podczas transferu i rzeczywiście pochodzi z żądanej domeny.

Co to jest DKIM?

DKIM to skrót od DomainKeys Identified Mail. Jest to protokół uwierzytelniania wiadomości e-mail, który umożliwia nadawcom zapobieganie zmianie treści wiadomości e-mail podczas procesu dostarczania. Pierwotnie utworzony przez połączenie DomainKeys (od Yahoo) i Identified Internet Mail (od Cisco) w 2004 roku, DKIM stał się szeroko przyjętą techniką.

Opiera się na kryptografii klucza publicznego i działa poprzez dodanie podpisu cyfrowego do nagłówka wiadomości. Gdy odbiorca otrzymuje wiadomość e-mail z DKIM, sprawdza podpis cyfrowy, aby upewnić się, że jest ważny. Jeśli tak, to wiedzą, że wiadomość pozostała niezmieniona podczas transferu. Wiodący dostawcy, tacy jak Google, Microsoft i Yahoo, sprawdzają pocztę przychodzącą pod kątem podpisów DKIM. Na przykład, nowi nadawcy przesyłający wiadomości e-mail do użytkowników Gmaila są obecnie zobowiązani przez Google do skonfigurowania co najmniej SPF lub DKIM. Google przeprowadza losowe kontrole wiadomości przychodzących, a wiadomości e-mail bez tych metod uwierzytelniania mogą zostać odrzucone z błędem 5.7.26 lub oznaczone jako spam.

Czym jest nagłówek DKIM?

Nagłówek DKIM jest częścią wiadomości e-mail, która zawiera kryptograficzny podpis DKIM. Podpis ten jest dodawany przez serwer pocztowy nadawcy, w szczególności przez agenta transferu poczty (MTA), który tworzy unikalny ciąg znaków zwany wartością skrótu na podstawie treści wiadomości i nagłówków. Podczas procesu uwierzytelniania pole podpisu w nagłówku DKIM pomaga zweryfikować autentyczność wiadomości wychodzących. Pomaga odbiorcom potwierdzić, że wiadomość e-mail jest autentyczna i pochodzi od legalnego nadawcy.

Czym są klucze DKIM?

Klucze DKIM to kryptograficzne pary kluczy prywatnych i publicznych używane do uwierzytelniania DKIM.

• Klucz publiczny: Klucz publiczny DKIM jest przechowywany w DNS nadawcy (jako rekord TXT) i jest używany przez odbierające serwery pocztowe do weryfikacji podpisów DKIM.
• Klucz prywatny: Klucz prywatny DKIM jest przechowywany bezpiecznie na serwerze pocztowym nadawcy i jest używany do generowania i dołączania podpisu cyfrowego do każdej wiadomości wychodzącej jako część nagłówka DKIM.

Jak działa DKIM?

Podczas procesu uwierzytelniania DKIM domena nadawcy generuje parę kluczy kryptograficznych, a gdy wiadomość e-mail jest wysyłana, serwer wysyłający (MTA) dodaje podpis DKIM do nagłówka wiadomości przy użyciu klucza prywatnego. Podpis ten zawiera wartość skrótu wybranych części wiadomości e-mail.

Domena nadawcy publikuje odpowiedni klucz publiczny w rekordzie DNS. Po otrzymaniu wiadomości e-mail serwer odbiorcy pobiera podpis DKIM z nagłówka, wysyła zapytanie do DNS o klucz publiczny i używa go do odszyfrowania wartości skrótu podpisu. Następnie serwer odbierający niezależnie oblicza własną wartość skrótu na podstawie nagłówków i treści otrzymanej wiadomości e-mail. Porównuje ten ponownie obliczony skrót z odszyfrowanym skrótem z podpisu. Jeśli obie wartości skrótu są zgodne, podpis jest ważny, potwierdzając, że wiadomość e-mail jest autentyczna, nie została zmieniona i została wysłana z wymienionej domeny, chroniąc w ten sposób przed fałszerstwem i manipulacją.

Skąd mam wiedzieć, że DKIM działa?

Aby sprawdzić, czy DKIM rzeczywiście działa dla Twojej domeny, możesz użyć sprawdzenia DKIM, aby zweryfikować swoją konfigurację. Spróbuj użyć naszego darmowego narzędzia do sprawdzania DKIM tutaj. Dodatkowo, monitoruj zbiorcze raporty DMARC, które zapewniają wgląd w wyniki uwierzytelniania DKIM dla wiadomości e-mail twierdzących, że pochodzą z Twojej domeny. Sprawdzanie dzienników zapytań DNS dla rekordów DKIM może również wskazywać, jak często serwery odbierające pobierają klucz publiczny.

Co to jest rekord DKIM?

Rekord DKIM to zestaw instrukcji na poziomie maszynowym publikowany jako rekord TXT w ustawieniach DNS domeny. Zawiera on klucz publiczny odpowiadający kluczowi prywatnemu używanemu do podpisywania. Ten rekord informuje Internet, że wiadomości twierdzące, że pochodzą z Twojej domeny, mogą zostać zweryfikowane przy użyciu tego klucza, umożliwiając serwerom pocztowym potwierdzenie, że wiadomość nie została zmieniona w drodze do miejsca docelowego i pochodzi z uwierzytelnionego źródła.

Podpis DKIM

A Podpis DKIM to podpis kryptograficzny dodawany do nagłówka wiadomości e-mail, który weryfikuje jej autentyczność i zapewnia, że nie została ona zmodyfikowana podczas przesyłania. Jest on generowany przy użyciu klucza prywatnego i weryfikowany przy użyciu klucza publicznego znajdującego się w rekordzie DKIM.

Selektor DKIM

Selektor DKIM jest unikalnym identyfikatorem używanym do określenia, która para kluczy DKIM została użyta do podpisania wiadomości, umożliwiając domenom zarządzanie wieloma kluczami (np. dla różnych usług wysyłania). Alfanumeryczna wartość ciągu, która jest zdefiniowana w tagu s= w nagłówku wiadomości e-mail DKIM, selektor powinien być rozróżnialny i inny dla każdego używanego dostawcy poczty e-mail.

Na przykład, w nazwie rekordu DKIM s1._domainkey.domain.com, s1 jest selektorem.

Przykład rekordu DKIM

v=DKIM1;
k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...
Rekordy DKIM mogą również zawierać znacznik "t=y", wskazujący, że domena jest w trybie testowym; powinien on być używany tymczasowo podczas początkowej konfiguracji i usunięty do pełnego wdrożenia.

Jakie są korzyści z DKIM

Firmy potrzebują DKIM do uwierzytelniania wychodzących wiadomości e-mail i zapewnienia ich legalności. DKIM odgrywa kluczową rolę w omijaniu ataków typu Man-in-the-Middle (MITM) i zapobieganiu nieuzasadnionym zmianom wprowadzanym do treści wiadomości e-mail przez osoby trzecie. Pomaga chronić relacje z klientami i reputację marki, zapewniając, że wiadomości e-mail są godne zaufania.

DKIM zapobiega modyfikacjom wiadomości

Kiedy zadajesz sobie pytanie, co robi DKIM, aby zapobiec oszustwom e-mailowym, zrozum to: podpis cyfrowy jest zabezpieczeniem przed awarią. Jeśli wiadomość e-mail została przechwycona i zmieniona, weryfikacja podpisu zakończy się niepowodzeniem, ponieważ ponownie obliczony skrót nie będzie pasował do odszyfrowanego skrótu z podpisu, więc wiadomość e-mail zostanie odrzucona lub oznaczona jako podejrzana.

Minimalizacja spoofingu dzięki domenie DKIM

Wiadomość e-mail wysłana przez atakującego próbującego podszyć się pod Twoją domenę nie będzie miała prawidłowego podpisu wygenerowanego przy użyciu Twojego klucza prywatnego. Nie powiedzie się sprawdzanie uwierzytelniania DKIM, co jest kolejnym wglądem w to, przed czym DKIM chroni Twoją organizację.

Najnowsze statystyki dotyczące oszustw e-mailowych tutaj.

DKIM zmniejsza ilość spamu w wiadomościach e-mail

DKIM jest powszechnie znany z redukcji ilości spamu w wiadomościach e-mail. Prawidłowa konfiguracja DKIM zwiększa wiarygodność wiadomości e-mail, znacznie zmniejszając ryzyko, że legalne wiadomości trafią do folderu spamu, co jest szczególnie korzystne w przypadku kampanii e-mail marketingowych.

DKIM zwiększa dostarczalność wiadomości e-mail

Co więcej, skonfigurowanie DKIM poprawia reputację nadawcy jako zweryfikowanego źródła w oczach dostawców usług internetowych (ISP), klientów, partnerów i innych usług odbiorczych. Przyczynia się to do lepszej dostarczalności wiadomości e-mail i pomaga generować przychody, zapewniając, że ważne komunikaty docierają do zamierzonych odbiorców. Dostarczalność wiadomości e-mail, czyli zdolność wiadomości e-mail do dotarcia do skrzynki odbiorczej odbiorcy zamiast oznaczania jej jako spam lub odrzucania, ma kluczowe znaczenie dla marketingu i komunikacji. Kluczowe wskaźniki, takie jak współczynniki odrzuceń, współczynniki otwarć, współczynniki klikalności i skargi na spam, pomagają ocenić zaangażowanie. Słaba dostarczalność może prowadzić do marnowania inwestycji marketingowych, umieszczania na listach blokowanych, takich jak Spamhaus, i wpływać na obsługę klienta. Dostawcy skrzynek pocztowych coraz częściej koncentrują się na sygnałach zaangażowania użytkowników (otwarcia, kliknięcia, odpowiedzi, wskaźniki skarg) w celu filtrowania wiadomości e-mail, podkreślając potrzebę wysokiej dostarczalności. Pomyślnie dostarczone wiadomości e-mail dzięki weryfikacji DKIM przyczyniają się do wyższych współczynników klikalności i otwarć, potencjalnie prowadząc do zwiększenia konwersji i sprzedaży.

Jakie są ograniczenia DKIM?

DKIM jest niezwykle ważny dla uwierzytelniania i integralności wiadomości, jednak nie jest doskonały. Oto niektóre z jego ograniczeń:

• DKIM nie uwierzytelnia nadawcy (adresu "From") widocznego dla użytkownika końcowego bezpośrednio w stosunku do domeny podpisującej we wszystkich przypadkach (ta kontrola wyrównania jest częścią DMARC). Uwierzytelnia przede wszystkim, że wiadomość e-mail została autoryzowana przez domenę znajdującą się w podpisie DKIM (tag d=) i nie została zmieniona. Jeśli więc ktoś uzyska nieautoryzowany dostęp do legalnego konta lub serwera, może wysyłać wiadomości e-mail z podpisem DKIM z Twojej domeny.
• DKIM opiera się na prawidłowej publikacji i pobieraniu rekordów DNS. Jeśli publiczne rekordy DNS nie są poprawnie skonfigurowane, są źle skonfigurowane lub występują opóźnienia w propagacji, może to prowadzić do błędów uwierzytelniania DKIM nawet w przypadku legalnych wiadomości e-mail.
• Sam DKIM nie dyktuje zasad postępowania w przypadku niepowodzenia uwierzytelniania. Zapewnia jedynie wynik pozytywny/negatywny. Z natury nie powstrzymuje spamu ani prób phishingu - utrudnia fałszowanie. Dlatego połączenie go z DMARC, który wykorzystuje wyniki DKIM (i/lub SPF) do egzekwowania polityki, jest niezwykle istotne dla kompleksowej ochrony.

Ponadto wdrożenie DKIM może wiązać się z praktycznymi wyzwaniami, w tym złożonością techniczną wymagającą wiedzy specjalistycznej w zakresie zarządzania kluczami i konfiguracji DNS, potencjalnymi problemami z dostarczalnością wiadomości e-mail w przypadku nieprawidłowej konfiguracji, trudnościami w zarządzaniu kluczami na dużą skalę oraz zapewnieniem kompatybilności z usługami wysyłania wiadomości e-mail innych firm.

Łączenie DKIM z DMARC

Nie ma sensu porównywać DKIM i DMARC, ponieważ połączenie DKIM z DMARC (i SPF) jest idealne dla zapewnienia wszechstronnej ochrony przy jednoczesnym zapewnieniu płynnego dostarczania wiadomości e-mail! Jeśli używasz obu, DMARC wykorzystuje wyniki uwierzytelniania DKIM (wraz z SPF) i dodaje kontrole wyrównania oraz egzekwowanie zasad (takich jak odrzucanie lub poddawanie kwarantannie niepowodzeń), co znacznie utrudnia fałszywym wiadomościom e-mail dotarcie do skrzynki odbiorczej. Pomaga to uniknąć umieszczenia na czarnej liście przez filtry antyspamowe, co oznacza, że legalne wiadomości e-mail będą dostarczane bardziej niezawodnie.

Ponadto, używanie DKIM i DMARC razem pomaga chronić Twoją markę - spamerzy często próbują podszywać się pod domeny, które ich zdaniem będą mniej skłonne do zgłaszania ich jako spam. Jeśli jednak domeny, które podszywają się pod spam, faktycznie mają skonfigurowany DKIM i wdrożoną politykę DMARC, znacznie utrudni im to ucieczkę od podstępu i ochroni reputację Twojej domeny.

Piękno ich połączenia polega na tym, że współpracują ze sobą płynnie, zapewniając wiele warstw ochrony przed próbami spoofingu, jednocześnie dając nadawcom kontrolę i wgląd (poprzez raporty DMARC) w to, jak ich poczta jest obsługiwana i uwierzytelniana w Internecie.

Włącz DKIM za pomocą PowerDMARC

PowerDMARC umożliwia właścicielom domen łatwą konfigurację DKIM wraz z SPF i DMARC, zapewniając praktyczne funkcje monitorowania i raportowania. Pomaga im to być na bieżąco z wynikami uwierzytelniania i błędami, zapewniając dostarczalność przy jednoczesnym aktywnym zwalczaniu cyberataków.

Nasza platforma jest łatwa w użyciu dla firm każdej wielkości i może obsługiwać wiele domen i duży ruch e-mail. Zapewniamy skuteczne rozwiązanie DKIM w połączeniu z kilkoma innymi niezbędnymi protokołami uwierzytelniania poczty e-mail w celu zapewnienia 360-stopniowej ochrony przed oszustwami e-mailowymi.

Uzyskaj swoje DKIM i DMARC w zaledwie kilka minut dzięki PowerDMARC!

Często zadawane pytania dotyczące DKIM

Jak skonfigurować DKIM?

Aby skonfigurować DKIM, należy wygenerować klucz prywatny i odpowiadającą mu parę kluczy publicznych, często przy użyciu narzędzia takiego jak generator rekordów DKIM lub za pośrednictwem dostawcy usług poczty e-mail. Zaleca się używanie kluczy DKIM o długości co najmniej 1024 bitów, przy czym dla większego bezpieczeństwa preferowane są klucze 2048-bitowe. Regularnie zmieniaj klucze DKIM i rozważ użycie unikalnych kluczy dla różnych usług wysyłania lub klientów. Upewnij się, że okres ważności podpisu cyfrowego, jeśli jest ustawiony, jest dłuższy niż okres rotacji klucza i pamiętaj o wycofaniu starych kluczy. Następnie skonfiguruj serwer(y) poczty wysyłającej do podpisywania wychodzących wiadomości e-mail za pomocą klucza prywatnego i opublikuj klucz publiczny jako rekord DNS TXT pod określoną nazwą selektora dla swojej domeny (np. selector._domainkey.yourdomain.com).

Jak sprawdzić swój rekord DKIM?

Aby sprawdzić swój rekord DKIM, możesz skorzystać z naszego bezpłatnego Narzędzie do sprawdzania DKIM narzędzie. Wystarczy wprowadzić nazwę domeny i konkretny selektor DKIM, który chcesz sprawdzić (jeśli jest znany), a narzędzie zapyta DNS i zgłosi, czy rekord DKIM jest poprawnie sformatowany, opublikowany i możliwy do pobrania, lub czy wykryto jakiekolwiek problemy.

Czym różnią się SPF i DKIM?

Podczas gdy oba są protokołami uwierzytelniania poczty elektronicznej używanymi przez DMARC, SPF (Sender Policy Framework) koncentruje się na autoryzacji, które adresy IP mogą wysyłać wiadomości e-mail *dla* domeny, weryfikując ścieżkę wiadomości. DKIM koncentruje się na weryfikacji *integralności treści* wiadomości e-mail i potwierdza, że wiadomość została autoryzowana przez właściciela domeny za pomocą podpisu kryptograficznego, weryfikując pochodzenie wiadomości i zapewniając, że nie została ona zmieniona. Podpisy DKIM przetrwają przekazywanie, podczas gdy SPF często łamie się podczas przekazywania.

Czy mogę użyć tego samego klucza DKIM dla wielu domen?

Nie, nie można używać tej samej pary kluczy DKIM dla wielu różnych domen. Każda domena wymaga własnej unikalnej pary kluczy DKIM (klucz prywatny do podpisywania, klucz publiczny publikowany w DNS tej domeny). Gwarantuje to, że podpisy DKIM są specyficzne dla domeny i utrzymują bezpieczeństwo i integralność uwierzytelniania wiadomości e-mail dla każdej domeny. W razie potrzeby można jednak użyć tej samej pary kluczy dla różnych selektorów *w obrębie* tej samej domeny, chociaż powszechne jest stosowanie oddzielnych kluczy dla każdej usługi wysyłania.

Czytaj więcej

Czy Office 365 używa DKIM?

Tak, Microsoft 365 (dawniej Office 365) obsługuje i używa DKIM. Domyślnie Microsoft 365 używa współdzielonej konfiguracji DKIM dla początkowych domen, ale zdecydowanie zaleca się skonfigurowanie niestandardowego podpisywania DKIM dla własnej domeny (domen) poprzez wygenerowanie niezbędnych rekordów CNAME w DNS zgodnie z instrukcjami Microsoft, co pozwala im zarządzać kluczami i procesem podpisywania.

Czy mogę używać DMARC bez DKIM?

Technicznie tak, można wdrożyć DMARC używając tylko SPF do uwierzytelniania. Jest to jednak wysoce *niezalecane*. DMARC opiera się na SPF lub DKIM (lub obu) przechodzących i dopasowujących się. Poleganie tylko na SPF sprawia, że uwierzytelnianie jest kruche, ponieważ SPF często zawodzi podczas pośrednich przepływów poczty (takich jak przekierowanie). Wdrożenie zarówno SPF, jak i DKIM zapewnia redundancję i znacznie solidniejsze pokrycie uwierzytelniania potrzebne do skutecznego działania DMARC.

Czy potrzebuję DMARC, jeśli mam wdrożony DKIM?

Chociaż DKIM zapewnia kluczową weryfikację integralności wiadomości i uwierzytelnianie, nie mówi serwerom odbierającym, co *zrobić*, jeśli kontrola się nie powiedzie, ani nie sprawdza, czy domena podpisująca jest zgodna z widoczną dla użytkownika domeną "From". A Polityka DMARC dodaje tę istotną warstwę: sprawdza zgodność między domeną podpisującą DKIM (d=) a domeną "Od", określa, czy poddać kwarantannie lub odrzucić wiadomości, które nie przejdą uwierzytelnienia i wyrównania, oraz zapewnia raportowanie wyników uwierzytelniania. Połączenie DKIM (i SPF) z DMARC zapewnia znacznie lepsze bezpieczeństwo poczty elektronicznej, ochronę marki i dostarczalność.

Czym są problemy z pocztą identyfikowaną przez klucze domeny?

Typowe problemy DKIM obejmują: nieprawidłową składnię lub publikację rekordów DNS; użycie niewłaściwego selektora; kompromis klucza prywatnego lub niezgodność z kluczem publicznym; problemy z rotacją kluczy (wygasłe klucze); modyfikacje wiadomości przez serwery pośredniczące (takie jak listy mailingowe) łamiące podpis; niezgodność między domeną podpisującą DKIM a domeną nagłówka From: (co wpływa na DMARC); oraz brak wsparcia DKIM lub błędna konfiguracja przez zewnętrzne usługi wysyłania. Każdy z tych problemów może skutkować błędami uwierzytelniania DKIM i negatywnie wpływać na dostarczalność wiadomości e-mail.

Jak długo trwa konfiguracja rekordu DKIM?

Generowanie kluczy i konfiguracja serwera pocztowego może zająć od kilku minut do kilku godzin, w zależności od systemu. Opublikowanie rekordu klucza publicznego DKIM w DNS jest zwykle szybkie, ale może zająć od kilku minut do 48-72 godzin, aby zmiany DNS w pełni rozprzestrzeniły się w Internecie, w zależności od dostawcy DNS i ustawień TTL. Po zakończeniu konfiguracji zalecane jest ciągłe monitorowanie (najlepiej za pomocą raportów DMARC), aby upewnić się, że DKIM nadal działa poprawnie.

Co się stanie, gdy DKIM zawiedzie?

Gdy DKIM nie powiedzie się dla wiadomości e-mail, oznacza to, że wiadomość została zmodyfikowana podczas przesyłania lub nie została poprawnie podpisana przez domenę wysyłającą. Serwery odbiorcze mogą traktować wiadomości e-mail z podejrzliwością, potencjalnie oznaczając je jako spam lub śmieci. Jeśli polityka DMARC została opublikowana dla domeny, a niepowodzenie prowadzi również do niepowodzenia DMARC (z powodu braku przechodzącego/zgodnego SPF), wiadomość e-mail może zostać poddana kwarantannie lub całkowicie odrzucona na podstawie polityki(p=kwarantanna lub p=odrzucenie). Wdrożenie SPF zapewnia awaryjny mechanizm uwierzytelniania.

Czy potrzebuję SPF i DKIM?

Podczas gdy SPF i DKIM są niezależnymi protokołami, które mogą w pewnym stopniu samodzielnie uwierzytelniać wiadomości e-mail, korzystanie z *obu* jest najlepszą praktyką w branży i zdecydowanie zalecane dla solidnego uwierzytelniania wiadomości e-mail. Dotyczą one różnych aspektów (IP nadawcy vs. integralność/pochodzenie wiadomości). Wdrożenie SPF, DKIM i DMARC razem tworzy potężną strukturę, która znacznie zwiększa ochronę przed spoofingiem, atakami phishingowymi, poprawia dostarczalność i chroni reputację domeny.