Ротация ключей DKIM

Ротация ключей DKIM - это процесс обновления ваших ключей DKIM. Вы должны периодически обновлять ключи - точный период не важен, важен сам процесс. Почему вы должны это делать? Ротация ключей означает создание новых ключей и обновление записей DNS этими новыми ключами. Цель ротации ключей DKIM схожа с целью периодической смены паролей: это мера безопасности, которая помогает злоумышленникам не выдавать себя за ваш домен и не рассылать спам или фишинговые письма.

Давайте рассмотрим, почему вы используете ключи DKIM в первую очередь.

Почему вы используете ключи DKIM?

DKIM расшифровывается как DomainKeys Identified Mail. Это способ добавить дополнительный уровень безопасности на ваш почтовый сервер, чтобы ваши письма не были помечены как спам и не попадали в папки со спамом. Лучший способ представить DKIM - это зашифрованный идентификатор, прикрепляемый к вашим сообщениям, чтобы получатели могли убедиться, что сообщение действительно было отправлено вами, т.е. тем человеком, от которого оно якобы пришло. Этот идентификатор, или ключ, позволяет им проверить это.

Как работает DKIM?

DKIM работает путем добавления этого идентификатора к каждому отправляемому электронному письму. Когда кто-то получает одно из таких писем, он может проверить заголовок или нижний колонтитул сообщения и найти строку цифр и букв, которая является зашифрованным идентификатором или ключом DKIM. Перед отправкой письма получателю почтовый сервер отправителя подписывает каждое письмо цифровой подписью, которая затем проверяется сервером получателя. Этот процесс доказывает, что электронное письмо не было подделано или изменено каким-либо образом. 

Когда вы отправляете электронное сообщение, подпись прикрепляется в качестве заголовка в конце сообщения. Серверы-получатели используют открытые ключи (предоставляемые владельцами доменов через записи DNS) для расшифровки и проверки этих подписей.

Почему ротация ключей DKIM важна для безопасности вашего домена?

Ротация ключей DKIM - это когда вы начинаете использовать новую пару частных/публичных ключей для подписи и аутентификации ваших сообщений, а затем прекращаете использовать старую пару частных/публичных ключей.

Почему это важно? Если бы кто-то смог получить доступ к вашему закрытому ключу, он мог бы использовать его для отправки мошеннических писем, выдаваемых за ваши! Чтобы предотвратить такую вредоносную деятельность, лучше всего менять ключи каждые несколько месяцев.

Чтобы лучше понять важность ротации ключей DKIM, давайте рассмотрим этот пример: 

Допустим, вы рассылаете по электронной почте сообщения о праздничной распродаже в вашем магазине. Для подписи своих писем вы используете ключи DKIM, но если со временем вы разошлете достаточно писем, используя одну и ту же пару ключей, плохие агенты могут в конце концов перехватить и расшифровать одно из них, поскольку в каждом сообщении используется один и тот же алгоритм криптографического хэша. Получив ваш открытый ключ, они могут начать подписывать им свои фишинговые письма без вашего ведома! Вот почему периодическая ротация ключей DKIM имеет решающее значение для безопасности вашего домена.

Как вы можете вращать ключи DKIM?

1. Ручная ротация ключей DKIM

Вы можете вручную менять DKIM-ключи время от времени, создавая новые ключи для вашего домена. Для этого выполните следующие действия: 

  • Зайдите на наш бесплатный генератор DKIM-записей инструмент
  • Введите информацию о вашем домене и введите нужный селектор DKIM по вашему выбору 
  • Нажмите кнопку "Генерировать". 
  • Скопируйте новую пару ключей DKIM 
  • Открытый ключ должен быть опубликован в DNS, заменив предыдущую запись.
  • Закрытый ключ должен быть либо передан вашему ESP (если вы передаете электронную почту на аутсорсинг), либо загружен на ваш почтовый сервер (если вы обрабатываете электронную почту на месте). 

2. Делегирование DKIM-ключа поддомена

Владельцы доменов могут передать ротацию ключей DKIM на аутсорсинг, позволив третьей стороне сделать это за них. Это происходит, когда владелец домена передает выделенный поддомен поставщику электронной почты и просит его сгенерировать пару ключей DKIM от его имени. Это позволяет владельцам избежать хлопот, связанных с ротацией ключей DKIM, передав эту обязанность третьей стороне. 

Однако это может вызвать проблемы с переопределением политики в записях DMARC. Рекомендуется отслеживать и проверять вращающиеся ключи на контроллерах домена для обеспечения плавного и безошибочного развертывания. 

3. Делегирование ключа DKIM CNAME

CNAME означает каноническое имя и представляет собой запись DNS, которая используется для указания на данные внешнего домена. Делегирование CNAME позволяет владельцам доменов указывать на информацию записи DKIM, которая поддерживается любой внешней третьей стороной. Это похоже на делегирование поддоменов, поскольку от владельца домена требуется только опубликовать несколько записей CNAME в своем DNS, в то время как инфраструктура DKIM и ротация ключей DKIM обрабатываются третьей стороной, на которую указывает запись. 

Например, 

"domain.com" - это домен, с которого должны быть подписаны исходящие электронные письма, а "third-party.com" - это поставщик, который будет осуществлять процесс подписания. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Вышеупомянутая запись CNAME должна быть опубликована в DNS владельца домена. 

Теперь, s1.domain.com.third-party.com уже имеет DKIM запись, опубликованную на его DNS, которая может быть: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Эта информация будет использоваться для подписи электронных писем, исходящих от домена domain.com. 

Заметка: Вам необходимо опубликовать несколько DKIM-записей (рекомендуется: как минимум 3 записи CNAME) с различными селекторами в вашем DNS, чтобы включить ротацию ключей DKIM. Это позволит вашему поставщику переключаться между ключами во время подписания и предоставит ему альтернативные варианты.

4. Автоматическая ротация ключей DKIM

Большинство производителей электронной почты и сторонних поставщиков услуг электронной почты поддерживают автоматическую ротацию ключей DKIM для своих клиентов. Например, если вы используете Office 365 для маршрутизации электронной почты, вы будете рады узнать, что Microsoft поддерживает автоматическую ротацию ключей DKIM для своих пользователей Office 365. 

В нашей базе знаний есть полный документ о том, как включить ротацию ключей DKIM для электронной почты Office 365. 

Преимущества автоматической ротации ключей DKIM

  • Вам не нужно ничего делать со своей стороны, если ваш поставщик позволяет автоматическую ротацию ключей DKIM. Все управляется ими. 
  • Ручные конфигурации подвержены человеческим ошибкам.
  • Автоматический поворот ключей происходит быстро и эффективно, не требуя вмешательства с вашей стороны. 
  • Система управления DKIM полностью передана на аутсорсинг и обслуживается третьей стороной.

Развертывание стратегии ротации ключей DKIM

Мы называем это "3 D ротации ключей DKIM":

  • Обсудить 
  • Решить
  • Развернуть 

Это подводит итог эффективной стратегии ротации ключей DKIM для ваших доменов. Если вы пользуетесь сторонними услугами для своей электронной почты и ваш поставщик обеспечивает ротацию ключей, убедитесь, что вы открыто и прозрачно обсудили, когда и как часто вы хотите ротировать ключи. Вы должны иметь право голоса в отношении сроков, а также размера ключа селектора (хотите ли вы использовать 1024 бита или 2048 бит для большей безопасности). 

После того как фаза обсуждения пройдена, вы и ваш поставщик должны взаимно решить, какой будет ваша стратегия, и, наконец, приступить к ее внедрению.