DKIM é a abreviatura de DomainKeys Identified Mail, um protocolo de autenticação de correio eletrónico que funciona através da utilização de uma assinatura digital encriptada. É também um protocolo complementar que pode ser emparelhado com a sua política DMARC.
O protocolo DKIM pode ser implementado definindo um registo no seu DNS, feito a partir de uma combinação de etiquetas DKIM e dos seus valores correspondentes. Neste blogue, vamos aprofundar as explicações detalhadas das etiquetas de assinatura DKIM necessárias, opcionais, recomendadas e desaconselhadas, com exemplos.
O que são etiquetas DKIM?
As etiquetas DKIM são instruções no registo DKIM que especificam detalhes sobre o remetente para verificação da assinatura digital.
As etiquetas de assinatura DKIM corretamente configuradas permitem aos fornecedores de serviços de correio eletrónico autenticar as suas mensagens de correio eletrónico. Gigantes tecnológicos como a Google e a Yahoo impuseram este protocolo aos remetentes de correio eletrónico para evitar o spam, phishing e spoofing.
Como funcionam as etiquetas de assinatura DKIM
O servidor do destinatário utiliza os dados do cabeçalho da mensagem de correio eletrónico e o endereço oficial do domínio DKIM do domínio para verificar a autenticidade das mensagens de correio eletrónico. Um cabeçalho de assinatura DKIM é anexado ao correio eletrónico de saída. Várias etiquetas de assinatura DKIM contêm informações sobre o remetente para que o servidor do destinatário saiba onde procurar para verificar uma mensagem de correio eletrónico.
Estas etiquetas de assinatura DKIM são o componente informativo que apresenta valores específicos, cada um representando detalhes sobre o corpo do correio eletrónico. Todas as DomainKeys têm uma chave privada utilizada para encriptar assinaturas DKIM digitais. Para além disso, têm também uma chave pública publicada no DNS do domínio.
Assim, sempre que forem enviadas mensagens de correio eletrónico a partir do seu domínio, a chave privada nas mensagens de correio eletrónico deve corresponder à chave pública. Caso contrário, a mensagem não chegará às caixas de correio dos destinatários. Este é um processo muito rápido e não consome mais do que alguns segundos. No entanto, só funciona se gerar um registo DKIM e adicionar as etiquetas DNS DKIM correctas.
Explicação das etiquetas de registo DKIM
As etiquetas de registo DNS DKIM são letras simples utilizadas como comandos e seguidas de um sinal de igual. Todas as letras têm uma etiqueta DKIM que designa valores específicos que representam partes de informação sobre o remetente. Cada etiqueta de assinatura DKIM inclui detalhes sobre a localização da chave pública utilizada para encriptar as mensagens.
DKIM Tipos de etiquetas
É possível classificar as etiquetas de assinatura DKIM em "etiquetas obrigatórias" e "etiquetas opcionais" e o valor de cada uma é importante para gerar um registo DKIM. Existem algumas outras etiquetas de assinatura DKIM que são classificadas como "não obrigatórias" ou "não recomendadas". Pode defini-las em função das instâncias da sua utilidade ou dos requisitos de cada domínio. São necessárias as etiquetas de autenticação DKIM correctas ao adicionar um registo DKIM ao seu DNS. Vamos conhecer estas etiquetas em pormenor.
Etiquetas DKIM obrigatórias
As etiquetas DKIM exigidas são tão importantes para o cabeçalho da assinatura DKIM que a sua mensagem não passará no teste de verificação sem elas. A caixa de correio do destinatário rejeitará as mensagens de correio electrónico sem estas etiquetas.
- v= É a etiqueta da versão DKIM que indica a norma DKIM que está a ser utilizada. O seu valor é sempre definido como 1.
- a= Esta etiqueta DKIM indica o algoritmo criptográfico utilizado para criar a assinatura. O valor utilizado é rsa-sha256. Se o seu computador tiver capacidades de CPU reduzidas, pode utilizar rsa-sha1. No entanto, não é recomendado devido a razões de segurança.
- s= Indica a etiqueta de seleção DKIM utilizada para encontrar a chave pública no DNS de um domínio. Introduzirá um nome ou um número neste campo.
- d= A etiqueta de domínio DKIM apresenta o domínio utilizado com o registo seletor para localizar chaves públicas. O seu valor é o mesmo que o nome de domínio utilizado pelo remetente.
- b= A etiqueta DKIM body é utilizada para os dados de hash do cabeçalho. Normalmente é emparelhada com a etiqueta h= para redigir a assinatura DKIM. É sempre codificada em Base64.
- bh= A etiqueta de hash do corpo DKIM tem o hash calculado dos e-mails. O seu valor é uma cadeia de caracteres que indica um hash determinado por um algoritmo.
- h= Esta etiqueta alista os cabeçalhos vistos no algoritmo de assinatura para gerar o hash no b=tag. O seu valor não pode ser removido nem alterado.
Etiquetas DKIM opcionais
Para além das etiquetas de assinatura DKIM, existem várias etiquetas opcionais. Isto significa que se a sua assinatura DKIM falhar estas etiquetas, não ocorrerá qualquer erro no momento da verificação. Contudo, os peritos recomendam a sua utilização para evitar a falsificação de correio electrónico.
Os falsificadores não atribuem valores de tempo, ao contrário dos e-mails corporativos genuínos. Portanto, se a sua caixa de entrada detectar valores de tempo incorrectos para um remetente, é mais provável que rejeite completamente o e-mail.
Etiquetas DKIM opcionais mas recomendadas
Recomenda-se a utilização destas etiquetas de registo DKIM recomendadas, uma vez que ajudam o servidor do destinatário no processo de verificação.
- g= Funciona como a granularidade da sua chave pública e o seu valor é o mesmo que a parte local da i=etiqueta. Também pode introduzir um asterisco (*) como wildcard. Esta etiqueta DKIM bloqueia os endereços de assinatura a partir da utilização dos registos do selector. Qualquer correio electrónico com um endereço de assinatura que não corresponda a esta etiqueta falha na verificação.
- h= Indica um algoritmo de hash aceitável e tem valores específicos definidos como "sha1" e "sha256". Os signatários e verificadores precisam destes valores.
- k= É o tipo chave. O seu valor por defeito é definido para 'rsa', que deve ser suportado por signatários e verificadores.
- n= Os administradores usam esta etiqueta para adicionar notas legíveis por humanos.
- t= Esta é uma etiqueta importante uma vez que funciona como um carimbo de tempo de assinatura mostrando a hora a que o e-mail é enviado. O formato desta etiqueta é em segundos numerados a partir das 00:00:00 do dia 1 de Janeiro de 1970 (UTC).
- x= Esta etiqueta indica a data de validade da assinatura. Ela complementa a t=etiqueta atribuindo uma data de entrega.
- t=y É utilizado para especificar uma assinatura de teste de domínio e é utilizado pelos remetentes quando o DKIM é definido pela primeira vez. É sugerida porque alguns fornecedores de caixas de correio ignoram as assinaturas DKIM no modo de teste. Tem de remover a etiqueta antes da implementação completa.
- t=s é a substituição da etiqueta t=y. Diz que qualquer assinatura DKIM que utilize a etiqueta i= deve ter o mesmo valor de domínio que o domínio primário.
Não é necessário
Não precisa destas etiquetas de assinatura DKIM se estiver a criar um cabeçalho DKIM pela primeira vez. Elas tendem a tornar a sua assinatura DKIM técnica e complexa.
- c= é uma etiqueta de registo DKIM que funciona como o algoritmo de canonicalização e descreve os níveis de modificação de um correio electrónico a meio de transporte para outro fornecedor de caixas de correio. É utilizado para evitar pequenas modificações a mensagens de correio electrónico em trânsito. Isto pode de outra forma causar uma verificação falhada. As modificações incluem espaço branco ou invólucros de linha.
O seu valor é definido ou para o valor 1 ou valor 2. O valor1 destina-se ao cabeçalho enquanto que o valor2 se destina ao corpo da mensagem. Estes podem ser definidos para 'simples' ou 'relaxado' para especificar a tolerância a modificações no e-mail.
- i= representa a identidade do utilizador ou do agente. O seu valor é o endereço de correio electrónico que tem um domínio e subdomínio no seu website, que é o mesmo que o d=tag.
Não recomendado
Estas etiquetas DNS DKIM não são necessárias para qualquer cabeçalho DKIM. São utilizadas apenas quando é necessário controlar qualquer uma das especificações mencionadas abaixo;
- l= A etiqueta de comprimento DKIM facilita a assinatura parcial do corpo da mensagem, indicada pelo número de bits a assinar. Esta etiqueta não é recomendada, uma vez que deixa a sua mensagem vulnerável a adulterações.
- z= Alista os cabeçalhos originais das mensagens e é utilizado pelos fornecedores de caixas de correio para operar erros de verificação de diagnóstico.
Conclusões finais
Implementar e gerir o seu protocolo DKIM pode exigir conhecimentos, tempo e esforço, o que muitas vezes está muito para além da sua largura de banda. É por isso que as organizações escolhem a nossa solução DKIM alojada. Ajudamos a gerar registos DKIM, a configurar as suas etiquetas de assinatura DKIM e a gerir os seus selectores e chaves DKIM numa única plataforma!
Além disso, prestamos assistência especializada na configuração de protocolos complementares como DMARC e SPF para reforçar as suas defesas contra ataques baseados em correio eletrónico.
Para saber mais e obter uma estratégia de segurança de domínios personalizada para organizações, testada e comprovada para melhorar a sua capacidade de entrega contacte-nos hoje mesmo!
- Estudo de caso DMARC MSP: Como a Aibl simplificou o gerenciamento de autenticação de e-mail para clientes com o PowerDMARC - 21 de novembro de 2024
- 8 Riscos de Segurança de Contas de E-mail Compartilhadas - 20 de novembro de 2024
- Proteger a sua marca: Porque é que a proteção de domínios é essencial para todos os proprietários de empresas - 18 de novembro de 2024