As etiquetas DKIM são mecanismos ou comandos utilizados no registo DKIM que denotam partes específicas de informação sobre o protocolo DKIM configurado do remetente. DKIM é a abreviatura de DomainKeys Identified Mail, um protocolo de autenticação de correio electrónico que funciona utilizando uma assinatura digital encriptada. É também crucial para a implementação e bom funcionamento do Política DMARC.
Uma assinatura DKIM corretamente alinhada permite que os fornecedores de serviços de correio eletrónico verifiquem o seu domínio. Gigantes da tecnologia como o Google e o Yahoo utilizam este protocolo para evitar phishing e spoofing.
Como funciona o DKIM?
O servidor do receptor utiliza dados no cabeçalho do correio electrónico e no registo oficial do domínio DKIM para verificar a autenticidade das mensagens de correio electrónico. Um cabeçalho de assinatura DKIM é colocado no topo de uma mensagem de correio electrónico. Existem múltiplas etiquetas DKIM que contêm informação sobre o remetente, de modo a que o servidor do destinatário saiba onde procurar para verificar uma mensagem de correio electrónico.
Estas etiquetas são a componente informativa que exibe valores específicos, cada uma representando detalhes sobre o corpo do e-mail. Todos os DomainKeys têm uma chave privada utilizada para encriptar assinaturas digitais DKIM. Além disso, têm também uma chave pública publicada no DNS do domínio.
Assim, sempre que forem enviados e-mails a partir do seu domínio, a chave privada nos e-mails deve corresponder à chave pública. Caso contrário, a mensagem não chegará às caixas de correio dos destinatários. Este é um processo muito rápido e não consome mais do que alguns segundos. No entanto, só funciona se gerar um registo DKIM e adicionar as etiquetas de autenticação DKIM correctas.
O que é uma etiqueta no registo DKIM?
As etiquetas de registo DKIM são letras únicas utilizadas como comandos e seguidas por um sinal de igualdade. Todas as letras têm uma etiqueta DKIM que designa valores específicos que representam peças de informação sobre o remetente. Cada etiqueta inclui detalhes sobre a localização da chave pública utilizada para encriptar as mensagens.
DKIM Tipos de etiquetas
Pode classificar as etiquetas DKIM por 'etiquetas necessárias' e 'etiquetas opcionais' e o valor de cada uma delas é importante para gerar um registo DKIM. Existem algumas outras etiquetas DKIM que são classificadas como 'não necessárias' ou 'não recomendadas'. Pode defini-las em função das instâncias da sua utilidade ou requisitos de cada domínio. Exige as etiquetas de autenticação DKIM correctas enquanto adiciona um registo DKIM ao seu DNS. Informe-se em pormenor sobre estas etiquetas.
Etiquetas necessárias
As etiquetas DKIM exigidas são tão importantes para o cabeçalho da assinatura DKIM que a sua mensagem não passará no teste de verificação sem elas. A caixa de correio do destinatário rejeitará as mensagens de correio electrónico sem estas etiquetas.
- v= É a etiqueta da versão que denota o padrão DKIM que está a ser utilizado. O seu valor é sempre fixado em 1.
- a= Esta etiqueta DKIM indica o algoritmo criptográfico utilizado para criar a assinatura. O valor utilizado é rsa-sha256. Se o seu computador tiver capacidades de CPU reduzidas, pode utilizar rsa-sha1. No entanto, não é recomendado devido a razões de segurança.
- s= Indica o nome do registo selector utilizado para encontrar a chave pública no DNS de um domínio. Introduzirá um nome ou um número neste campo.
- d= Mostra o domínio utilizado com o registo do selector para localizar chaves públicas. O seu valor é o mesmo que o nome do domínio utilizado pelo remetente.
- b= Esta etiqueta DKIM é utilizada para os dados de hash do cabeçalho. É normalmente emparelhado com a etiqueta h= para redigir a assinatura DKIM. É sempre codificada na Base64.
- bh= Tem o hash computorizado dos e-mails. O seu valor é uma cadeia de caracteres denotando um hash determinado por um algoritmo.
- h= Esta etiqueta alista os cabeçalhos vistos no algoritmo de assinatura para gerar o hash no b=tag. O seu valor não pode ser removido nem alterado.
Etiquetas Opcionais
Para além das etiquetas de assinatura DKIM, existem várias etiquetas opcionais. Isto significa que se a sua assinatura DKIM falhar estas etiquetas, não ocorrerá qualquer erro no momento da verificação. Contudo, os peritos recomendam a sua utilização para evitar a falsificação de correio electrónico.
Os falsificadores não atribuem valores de tempo, ao contrário dos e-mails corporativos genuínos. Portanto, se a sua caixa de entrada detectar valores de tempo incorrectos para um remetente, é mais provável que rejeite completamente o e-mail.
Etiquetas recomendadas
É encorajado a utilizar as etiquetas de registo DKIM recomendadas, uma vez que ajudam o servidor do destinatário no processo.
- g= Funciona como a granularidade da sua chave pública e o seu valor é o mesmo que a parte local da i=etiqueta. Também pode introduzir um asterisco (*) como wildcard. Esta etiqueta DKIM bloqueia os endereços de assinatura a partir da utilização dos registos do selector. Qualquer correio electrónico com um endereço de assinatura que não corresponda a esta etiqueta falha na verificação.
- h= Denota um algoritmo de hash aceitável e tem valores específicos definidos para 'sha1' e 'sha256'. Estes são necessários para os signatários e verificadores.
- k= É o tipo chave. O seu valor por defeito é definido para 'rsa', que deve ser suportado por signatários e verificadores.
- n= Os administradores usam esta etiqueta para adicionar notas legíveis por humanos.
- t= Esta é uma etiqueta importante uma vez que funciona como um carimbo de tempo de assinatura mostrando a hora a que o e-mail é enviado. O formato desta etiqueta é em segundos numerados a partir das 00:00:00 do dia 1 de Janeiro de 1970 (UTC).
- x= Esta etiqueta indica a data de validade da assinatura. Ela complementa a t=etiqueta atribuindo uma data de entrega.
- t=y É utilizado para especificar uma assinatura de teste de domínio e é utilizado pelos remetentes quando o DKIM é definido pela primeira vez. É sugerido porque alguns provedores de caixas de correio ignoram as assinaturas DKIM em modo de teste. É necessário remover a etiqueta antes da implementação completa.
- t=s é a substituição da etiqueta t=y. Diz que qualquer assinatura DKIM que utilize a etiqueta i=tag deve ter o mesmo valor de domínio que o domínio primário.
Não é necessário
Não precisa destas etiquetas DKIM se estiver a criar um cabeçalho DKIM pela primeira vez. Elas tendem a tornar a sua assinatura DKIM técnica e complexa.
- c= é uma etiqueta de registo DKIM que funciona como o algoritmo de canonicalização e descreve os níveis de modificação de um correio electrónico a meio de transporte para outro fornecedor de caixas de correio. É utilizado para evitar pequenas modificações a mensagens de correio electrónico em trânsito. Isto pode de outra forma causar uma verificação falhada. As modificações incluem espaço branco ou invólucros de linha.
O seu valor é definido ou para o valor 1 ou valor 2. O valor1 destina-se ao cabeçalho enquanto que o valor2 se destina ao corpo da mensagem. Estes podem ser definidos para 'simples' ou 'relaxado' para especificar a tolerância a modificações no e-mail.
- i= representa a identidade do utilizador ou do agente. O seu valor é o endereço de correio electrónico que tem um domínio e subdomínio no seu website, que é o mesmo que o d=tag.
Não recomendado
Estas etiquetas DKIM não são necessárias para qualquer cabeçalho DKIM. São utilizadas apenas quando se tem de controlar qualquer uma das especificações mencionadas abaixo;
- I= Especifica o número de caracteres da mensagem utilizada para contar o haxixe corporal. Sem este valor, terá de assumir que todo o corpo da mensagem é utilizado.
- z= Alista os cabeçalhos originais das mensagens e é utilizado pelos fornecedores de caixas de correio para operar erros de verificação de diagnóstico.
- A Blockchain pode ajudar a melhorar a segurança do e-mail? - 9 de maio de 2024
- Proxies de centro de dados: Revelando o cavalo de batalha do mundo proxy - 7 de maio de 2024
- Kimsuky explora políticas DMARC "Nenhum" em recentes ataques de phishing - 6 de maio de 2024