A rotação de chaves DKIM é o processo de atualização das suas chaves DKIM. Deve rodar as suas chaves DKIM periodicamente - o período exato não é importante, mas o processo em si é. Porque é que o deve fazer? A rotação de chaves refere-se à criação de novas chaves e à atualização de registos DNS com essas novas chaves. O objetivo da rotação das chaves DKIM é semelhante ao da alteração periódica das palavras-passe: é uma medida de segurança que ajuda a evitar que os atacantes se façam passar pelo seu domínio e enviem e-mails de spam ou phishing.
Vejamos, em primeiro lugar, porque é que utiliza chaves DKIM.
Takeaways de chaves
- O DKIM verifica a autenticidade do correio eletrónico com um identificador encriptado, impedindo a adulteração.
- A rotação regular das chaves DKIM protege contra atacantes que utilizam chaves roubadas para fraude.
- As chaves DKIM podem ser rodadas manualmente, delegadas a terceiros ou automatizadas por fornecedores de correio eletrónico.
- A não rotação das chaves aumenta o risco de phishing e spam a partir de chaves comprometidas.
- Uma boa estratégia envolve a discussão de horários, a decisão sobre o tamanho das chaves e a implementação do processo de rotação.
Porque usa as teclas DKIM?
DKIM significa DomainKeys Identified Mail (Correio identificado com DomainKeys). É uma forma de adicionar uma camada adicional de segurança ao seu servidor de e-mail para que os seus e-mails não sejam sinalizados como spam e acabem em pastas de spam. A melhor maneira de pensar no DKIM é como um identificador encriptado anexado às suas mensagens para que os destinatários possam verificar que a mensagem foi realmente enviada por si, a pessoa de quem afirma ter vindo. Este identificador, ou chave, é o que lhes permite verificar isso.
Como funciona o DKIM?
O DKIM funciona acrescentando este identificador a cada e-mail que está a ser enviado. Quando alguém recebe um destes e-mails, pode verificar o cabeçalho ou rodapé da mensagem e encontrar uma cadeia de números e letras, que é o identificador encriptado ou a chave DKIM. Antes de um e-mail ser enviado para o seu destinatário, o servidor de e-mail do remetente assina cada e-mail com uma assinatura digital, que é depois validada pelo servidor de e-mail receptor. Este processo prova que o correio electrónico não foi adulterado ou alterado de forma alguma.
Quando envia o seu e-mail, a assinatura é anexada como um cabeçalho no final da mensagem. Os servidores receptores utilizam chaves públicas (fornecidas pelos proprietários do domínio através dos registos DNS) para desencriptar e verificar estas assinaturas.
Porque é que a rotação das chaves DKIM é importante para a segurança do seu domínio
A rotação de chaves DKIM é quando começa a utilizar um novo par de chaves privadas/públicas para assinar e autenticar a sua mensagem - e depois deixa de utilizar o antigo par de chaves privadas/públicas.
Porque é que isto é importante? Bem, se alguém conseguisse aceder à sua chave privada, poderia utilizá-la para enviar e-mails fraudulentos que parecessem ser seus! Para evitar este tipo de atividade maliciosa, a melhor prática é rodar as chaves DKIM a cada poucos meses.
Para compreender melhor a importância da rotação da chave DKIM, vejamos este exemplo:
Digamos que envie uma campanha por correio electrónico para uma venda de férias na sua loja. Utiliza as suas chaves DKIM para assinar os seus emails, mas se enviar emails suficientes utilizando o mesmo par de chaves ao longo do tempo, os maus actores podem eventualmente interceptar e descodificar um deles, uma vez que cada mensagem utiliza o mesmo algoritmo de hash criptográfico. Assim que tiverem a sua chave pública, podem começar a assinar os seus e-mails de phishing com ela sem você sequer saber! É por isso que a rotação periódica da chave DKIM é crucial para a segurança do seu domínio.
Simplifique o DKIM com o PowerDMARC!
Como pode rodar as suas chaves DKIM?
1. Manual DKIM rotação da chave
Pode rodar manualmente as suas chaves DKIM de vez em quando, criando novas chaves para o seu domínio. Para o fazer, siga estes passos:
- Dirija-se ao nosso free Gerador de registos DKIM ferramenta
- Introduza as informações do seu domínio e introduza o seletor DKIM pretendido à sua escolha
- Carregue no botão "Gerar".
- Copie o seu novíssimo par de chaves DKIM
- A chave pública deve ser publicada no seu DNS, substituindo o seu registo anterior
- A chave privada deve ser partilhada com o seu ESP (se estiver a externalizar os seus e-mails) ou carregada no seu servidor de e-mail (se tratar da transferência de e-mails no local)
2. Subdomínio DKIM delegação chave
Os proprietários de domínios podem externalizar a rotação da chave DKIM, permitindo que um terceiro a trate por eles. Isto é quando o proprietário do domínio delega um subdomínio dedicado a um fornecedor de e-mail e lhes pede para gerarem um par de chaves DKIM em seu nome. Isto permite aos proprietários fugir ao incómodo da rotação de chaves DKIM subcontratando a responsabilidade a um terceiro.
No entanto, isto pode causar problemas de sobreposição de políticas com entradas DMARC. Recomenda-se que as chaves rotativas sejam monitorizadas e revistas pelos controladores de domínio para garantir uma implementação sem problemas e sem erros.
3. DKIM CNAME delegação chave
CNAME significa nome canónico, e são registos DNS que são utilizados para apontar para dados de um domínio externo. A delegação CNAME permite que os proprietários do domínio apontem para DKIM informações de registo que são mantidas por qualquer terceiro externo. Isto é semelhante à delegação de subdomínios, uma vez que o proprietário do domínio só é obrigado a publicar alguns registos CNAME no seu DNS, enquanto que a infra-estrutura DKIM e a rotação da chave DKIM são depois tratadas pelo terceiro para o qual o registo aponta.
Por exemplo,
"domain.com" é o domínio a partir do qual os e-mails originários devem ser assinados, e "third-party.com" é o fornecedor que irá tratar do processo de assinatura.
s1._domainkey.domínio.com CNAME s1.domínio.com.terceiros.com
O registo CNAME acima mencionado tem de ser publicado no DNS do proprietário do domínio.
Agora, s1.domain.com.third-party.com já tem um registo DKIM publicado no seu DNS que pode ser: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."
Esta informação será utilizada para assinar e-mails provenientes de domain.com.
Nota: É necessário publicar vários registos DKIM (recomendado: pelo menos 3 registos CNAME) com diferentes selectores no seu DNS para permitir a rotação de chaves DKIM. Isto permitirá ao seu fornecedor alternar entre chaves durante a assinatura e fornecer-lhes opções alternativas.
4. Rotação automática da chave DKIM
A maioria dos vendedores de correio electrónico e fornecedores de serviços de correio electrónico de terceiros permitem a rotação automática de chaves DKIM para os clientes. Por exemplo, se estiver a utilizar o Office 365 para encaminhar os seus e-mails, ficará satisfeito por saber que a Microsoft suporta a rotação automática de chaves DKIM para os seus utilizadores do Office 365.
Cobrimos um documento completo sobre como ativar a rotação de chaves DKIM para os seus e-mails do Office 365 na nossa base de dados de conhecimento.
Benefícios de rodar automaticamente as suas chaves DKIM
- Não tem de fazer nada da sua parte se o seu fornecedor permitir a rotação automática das chaves DKIM. Tudo é gerido por eles.
- As configurações manuais são propensas a erros humanos.
- A rotação automática da chave é rápida e eficaz, não requerendo qualquer interferência da sua parte.
- O sistema de gestão do DKIM é completamente subcontratado e tratado por terceiros.
Implementação de uma estratégia de rotação da chave DKIM
Chamamos-lhe o "3 Ds de rotação da chave DKIM”:
- Discutir
- Decida
- Implementar
Isto resume uma estratégia eficaz de rotação da chave DKIM para os seus domínios. Quando estiver a utilizar qualquer serviço de terceiros para os seus e-mails e o seu fornecedor estiver a tratar da rotação por si, certifique-se de que tem uma discussão aberta e transparente sobre quando e com que frequência pretende fazer a rotação das suas chaves. Deve ter uma palavra a dizer sobre as linhas de tempo, bem como sobre o tamanho que pretende utilizar para a sua chave selectora (quer pretenda utilizar 1024 bits ou 2048 bits para maior segurança).
Uma vez passada a fase de discussão, você e o seu fornecedor devem decidir mutuamente qual é a sua estratégia e, finalmente, proceder à implementação da mesma.
- Yahoo Japan recomenda a adoção de DMARC para os utilizadores em 2025 - 17 de janeiro de 2025
- Botnet MikroTik explora erros de configuração de SPF para espalhar malware - 17 de janeiro de 2025
- DMARC Correio Não Autenticado é Proibido [SOLVED] - January 14, 2025