DKIM rotação da chave

A rotação de chaves DKIM é o processo de actualização das suas chaves DKIM. Deve rodar as suas chaves periodicamente - o período exacto não é importante, mas o processo em si é. Porque o deve fazer? A rotação de chaves refere-se à criação de novas chaves e à actualização de registos DNS com essas novas chaves. A finalidade da rotação das suas chaves DKIM é semelhante à razão pela qual pode alterar as suas senhas periodicamente: é uma medida de segurança que ajuda a evitar que os atacantes se façam passar pelo seu domínio e enviem e-mails de spam ou phishing.

Vejamos, em primeiro lugar, porque é que utiliza chaves DKIM.

Porque usa as teclas DKIM?

DKIM significa DomainKeys Identified Mail (Correio identificado com DomainKeys). É uma forma de adicionar uma camada adicional de segurança ao seu servidor de e-mail para que os seus e-mails não sejam sinalizados como spam e acabem em pastas de spam. A melhor maneira de pensar no DKIM é como um identificador encriptado anexado às suas mensagens para que os destinatários possam verificar que a mensagem foi realmente enviada por si, a pessoa de quem afirma ter vindo. Este identificador, ou chave, é o que lhes permite verificar isso.

Como funciona o DKIM?

O DKIM funciona acrescentando este identificador a cada e-mail que está a ser enviado. Quando alguém recebe um destes e-mails, pode verificar o cabeçalho ou rodapé da mensagem e encontrar uma cadeia de números e letras, que é o identificador encriptado ou a chave DKIM. Antes de um e-mail ser enviado para o seu destinatário, o servidor de e-mail do remetente assina cada e-mail com uma assinatura digital, que é depois validada pelo servidor de e-mail receptor. Este processo prova que o correio electrónico não foi adulterado ou alterado de forma alguma. 

Quando envia o seu e-mail, a assinatura é anexada como um cabeçalho no final da mensagem. Os servidores receptores utilizam chaves públicas (fornecidas pelos proprietários do domínio através dos registos DNS) para desencriptar e verificar estas assinaturas.

Porque é que a rotação de chaves DKIM é importante para a segurança do seu domínio?

A rotação da chave DKIM é quando se começa a utilizar um novo par de chaves privadas/públicas para assinar e autenticar a sua mensagem - e depois deixar de utilizar o antigo par de chaves privadas/públicas.

Porque é que isto é importante? Bem, se alguém conseguisse ter acesso à sua chave privada, poderia realmente usá-la para enviar e-mails fraudulentos que pareçam ser seus! Para evitar este tipo de actividade maliciosa, é a melhor prática rodar as suas chaves de poucos em poucos meses.

Para compreender melhor a importância da rotação da chave DKIM, vejamos este exemplo: 

Digamos que envie uma campanha por correio electrónico para uma venda de férias na sua loja. Utiliza as suas chaves DKIM para assinar os seus emails, mas se enviar emails suficientes utilizando o mesmo par de chaves ao longo do tempo, os maus actores podem eventualmente interceptar e descodificar um deles, uma vez que cada mensagem utiliza o mesmo algoritmo de hash criptográfico. Assim que tiverem a sua chave pública, podem começar a assinar os seus e-mails de phishing com ela sem você sequer saber! É por isso que a rotação periódica da chave DKIM é crucial para a segurança do seu domínio.

Como pode rodar as suas chaves DKIM?

1. Manual DKIM rotação da chave

Pode rodar manualmente as suas chaves DKIM de vez em quando, criando novas chaves para o seu domínio. Para o fazer, siga estes passos: 

  • Dirija-se ao nosso free Gerador de registos DKIM ferramenta
  • Introduza as informações do seu domínio e introduza o selector DKIM desejado à sua escolha 
  • Carregue no botão "Gerar". 
  • Copie o seu novíssimo par de chaves DKIM 
  • A chave pública deve ser publicada no seu DNS, substituindo o seu registo anterior
  • A chave privada deve ser partilhada com o seu ESP (se estiver a externalizar os seus e-mails) ou carregada no seu servidor de e-mail (se tratar da transferência de e-mails no local) 

2. Subdomínio DKIM delegação chave

Os proprietários de domínios podem externalizar a rotação da chave DKIM, permitindo que um terceiro a trate por eles. Isto é quando o proprietário do domínio delega um subdomínio dedicado a um fornecedor de e-mail e lhes pede para gerarem um par de chaves DKIM em seu nome. Isto permite aos proprietários fugir ao incómodo da rotação de chaves DKIM subcontratando a responsabilidade a um terceiro. 

Isto pode, no entanto, causar problemas de sobreposição de políticas com entradas de DMARC. Recomenda-se que as chaves rodadas sejam monitorizadas e revistas por controladores de domínio para assegurar uma implementação suave e sem erros. 

3. DKIM CNAME delegação chave

CNAME significa nome canónico, e são registos DNS que são utilizados para apontar para dados de um domínio externo. A delegação CNAME permite que os proprietários do domínio apontem para DKIM informações de registo que são mantidas por qualquer terceiro externo. Isto é semelhante à delegação de subdomínios, uma vez que o proprietário do domínio só é obrigado a publicar alguns registos CNAME no seu DNS, enquanto que a infra-estrutura DKIM e a rotação da chave DKIM são depois tratadas pelo terceiro para o qual o registo aponta. 

Por exemplo, 

"domain.com" é o domínio a partir do qual os e-mails originários devem ser assinados, e "third-party.com" é o fornecedor que irá tratar do processo de assinatura. 

s1._domainkey.domínio.com CNAME s1.domínio.com.terceiros.com

O registo CNAME acima mencionado precisa de ser publicado no DNS do proprietário do domínio. 

Agora, s1.domain.com.third-party.com já tem um registo DKIM publicado no seu DNS que pode ser: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Esta informação será utilizada para assinar e-mails provenientes de domain.com. 

Nota: Precisa de publicar múltiplos registos DKIM (recomendado: pelo menos 3 registos CNAME) com diferentes selectores no seu DNS para permitir a rotação da chave DKIM. Isto permitirá ao seu fornecedor alternar entre chaves enquanto assina e fornecer-lhes opções alternativas.

4. Rotação automática da chave DKIM

A maioria dos vendedores de correio electrónico e fornecedores de serviços de correio electrónico de terceiros permitem a rotação automática de chaves DKIM para os clientes. Por exemplo, se estiver a utilizar o Office 365 para encaminhar os seus e-mails, ficará satisfeito por saber que a Microsoft suporta a rotação automática de chaves DKIM para os seus utilizadores do Office 365. 

Cobrimos um documento completo sobre como permitir a rotação da chave DKIM para o seu Office 365 e-mails na nossa base de conhecimentos. 

Benefícios de rodar automaticamente as suas chaves DKIM

  • Não tem de fazer nada da sua parte se o seu fornecedor permitir a rotação automática das chaves DKIM. Tudo é gerido por eles. 
  • As configurações manuais são propensas a erros humanos.
  • A rotação automática da chave é rápida e eficaz, não requerendo qualquer interferência da sua parte. 
  • O sistema de gestão do DKIM é completamente subcontratado e tratado por terceiros.

Implementação de uma estratégia de rotação da chave DKIM

Chamamos-lhe o "3 Ds de rotação da chave DKIM”:

  • Discutir 
  • Decida
  • Implementar 

Isto resume uma estratégia eficaz de rotação da chave DKIM para os seus domínios. Quando estiver a utilizar qualquer serviço de terceiros para os seus e-mails e o seu fornecedor estiver a tratar da rotação por si, certifique-se de que tem uma discussão aberta e transparente sobre quando e com que frequência pretende fazer a rotação das suas chaves. Deve ter uma palavra a dizer sobre as linhas de tempo, bem como sobre o tamanho que pretende utilizar para a sua chave selectora (quer pretenda utilizar 1024 bits ou 2048 bits para maior segurança). 

Uma vez passada a fase de discussão, você e o seu fornecedor devem decidir mutuamente qual é a sua estratégia e, finalmente, proceder à implementação da mesma.