Ротация ключей DKIM Объяснение
Время чтения: 5 мин
Ротация ключей DKIM - это процесс обновления ключей DKIM. Вам следует периодически обновлять DKIM-ключи - точный период не важен, важен сам процесс. Почему вы должны это делать? Под ротацией ключей подразумевается создание новых ключей и обновление записей DNS этими новыми ключами. Цель ротации ключей DKIM схожа с целью периодической смены паролей: это мера безопасности, которая помогает злоумышленникам не выдавать себя за ваш домен и не рассылать спам или фишинговые письма.
Давайте рассмотрим, почему вы используете ключи DKIM в первую очередь.
Ключевые выводы
- DKIM проверяет подлинность электронной почты с помощью зашифрованного идентификатора, предотвращая подделку.
- Регулярная ротация ключей DKIM защищает от злоумышленников, использующих украденные ключи для мошенничества.
- Ключи DKIM можно ротировать вручную, делегировать третьим лицам или автоматизировать с помощью провайдеров электронной почты.
- Отсутствие ротации ключей повышает риск фишинга и спама с использованием скомпрометированных ключей.
- Хорошая стратегия включает в себя обсуждение графиков, принятие решения о размере ключей и развертывание процесса ротации.
Почему вы используете ключи DKIM?
DKIM расшифровывается как DomainKeys Identified Mail. Это способ добавить дополнительный уровень безопасности на ваш почтовый сервер, чтобы ваши письма не были помечены как спам и не попадали в папки со спамом. Лучший способ представить DKIM - это зашифрованный идентификатор, прикрепляемый к вашим сообщениям, чтобы получатели могли убедиться, что сообщение действительно было отправлено вами, т.е. тем человеком, от которого оно якобы пришло. Этот идентификатор, или ключ, позволяет им проверить это.
Как работает DKIM?
DKIM работает путем добавления этого идентификатора к каждому отправляемому электронному письму. Когда кто-то получает одно из таких писем, он может проверить заголовок или нижний колонтитул сообщения и найти строку цифр и букв, которая является зашифрованным идентификатором или ключом DKIM. Перед отправкой письма получателю почтовый сервер отправителя подписывает каждое письмо цифровой подписью, которая затем проверяется сервером получателя. Этот процесс доказывает, что электронное письмо не было подделано или изменено каким-либо образом.
Когда вы отправляете электронное сообщение, подпись прикрепляется в качестве заголовка в конце сообщения. Серверы-получатели используют открытые ключи (предоставляемые владельцами доменов через записи DNS) для расшифровки и проверки этих подписей.
Почему ротация ключей DKIM важна для безопасности вашего домена
Ротация ключей DKIM - это когда вы начинаете использовать новую пару приватный/публичный ключ для подписи и аутентификации сообщений, а затем прекращаете использовать старую пару приватный/публичный ключ.
Почему это так важно? Если кому-то удастся получить доступ к вашему закрытому ключу, он сможет использовать его для отправки мошеннических писем, которые будут выглядеть как письма от вас! Чтобы предотвратить такую злонамеренную деятельность, лучше всего чередовать ключи DKIM каждые несколько месяцев.
Чтобы лучше понять важность ротации ключей DKIM, давайте рассмотрим этот пример:
Допустим, вы рассылаете по электронной почте сообщения о праздничной распродаже в вашем магазине. Для подписи своих писем вы используете ключи DKIM, но если со временем вы разошлете достаточно писем, используя одну и ту же пару ключей, плохие агенты могут в конце концов перехватить и расшифровать одно из них, поскольку в каждом сообщении используется один и тот же алгоритм криптографического хэша. Получив ваш открытый ключ, они могут начать подписывать им свои фишинговые письма без вашего ведома! Вот почему периодическая ротация ключей DKIM имеет решающее значение для безопасности вашего домена.
Упростите DKIM с помощью PowerDMARC!
Как вы можете вращать ключи DKIM?
1. Ручная ротация ключей DKIM
Вы можете вручную менять DKIM-ключи время от времени, создавая новые ключи для вашего домена. Для этого выполните следующие действия:
- Зайдите на наш бесплатный генератор DKIM-записей инструмент
- Введите информацию о вашем домене и введите нужный селектор DKIM по вашему выбору
- Нажмите кнопку "Генерировать".
- Скопируйте новую пару ключей DKIM
- Открытый ключ должен быть опубликован в DNS, заменив предыдущую запись.
- Закрытый ключ должен быть либо передан вашему ESP (если вы передаете электронную почту на аутсорсинг), либо загружен на ваш почтовый сервер (если вы обрабатываете электронную почту на месте).
2. Делегирование DKIM-ключа поддомена
Владельцы доменов могут передать ротацию ключей DKIM на аутсорсинг, позволив третьей стороне сделать это за них. Это происходит, когда владелец домена передает выделенный поддомен поставщику электронной почты и просит его сгенерировать пару ключей DKIM от его имени. Это позволяет владельцам избежать хлопот, связанных с ротацией ключей DKIM, передав эту обязанность третьей стороне.
Однако это может привести к проблемам с переопределением политики в записях DMARC. Рекомендуется отслеживать и проверять вращающиеся ключи на контроллерах домена, чтобы обеспечить плавное и безошибочное развертывание.
3. Делегирование ключа DKIM CNAME
CNAME означает каноническое имя и представляет собой запись DNS, которая используется для указания на данные внешнего домена. Делегирование CNAME позволяет владельцам доменов указывать на информацию записи DKIM, которая поддерживается любой внешней третьей стороной. Это похоже на делегирование поддоменов, поскольку от владельца домена требуется только опубликовать несколько записей CNAME в своем DNS, в то время как инфраструктура DKIM и ротация ключей DKIM обрабатываются третьей стороной, на которую указывает запись.
Например,
"domain.com" - это домен, с которого должны быть подписаны исходящие электронные письма, а "third-party.com" - это поставщик, который будет осуществлять процесс подписания.
s1._domainkey.domain.com CNAME s1.domain.com.third-party.com
Вышеупомянутая запись CNAME должна быть опубликована в DNS владельца домена.
Теперь, s1.domain.com.third-party.com уже имеет DKIM запись, опубликованную на его DNS, которая может быть: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."
Эта информация будет использоваться для подписи электронных писем, исходящих от домена domain.com.
Примечание: Вам необходимо опубликовать несколько DKIM-записей (рекомендуется: не менее 3 записей CNAME) с различными селекторами на вашем DNS, чтобы включить ротацию ключей DKIM. Это позволит вашему поставщику переключаться между ключами во время подписания и предоставит ему альтернативные варианты.
4. Автоматическая ротация ключей DKIM
Большинство производителей электронной почты и сторонних поставщиков услуг электронной почты поддерживают автоматическую ротацию ключей DKIM для своих клиентов. Например, если вы используете Office 365 для маршрутизации электронной почты, вы будете рады узнать, что Microsoft поддерживает автоматическую ротацию ключей DKIM для своих пользователей Office 365.
В нашей базе знаний есть подробный документ о том, как включить ротацию ключей DKIM для электронной почты Office 365.
Преимущества автоматической ротации ключей DKIM
- Вам не нужно ничего делать со своей стороны, если ваш поставщик позволяет автоматическую ротацию ключей DKIM. Все управляется ими.
- Ручные конфигурации подвержены человеческим ошибкам.
- Автоматический поворот ключей происходит быстро и эффективно, не требуя вмешательства с вашей стороны.
- Система управления DKIM полностью передана на аутсорсинг и обслуживается третьей стороной.
Развертывание стратегии ротации ключей DKIM
Мы называем это "3 D ротации ключей DKIM":
- Обсудить
- Решить
- Развернуть
Это подводит итог эффективной стратегии ротации ключей DKIM для ваших доменов. Если вы пользуетесь сторонними услугами для своей электронной почты и ваш поставщик обеспечивает ротацию ключей, убедитесь, что вы открыто и прозрачно обсудили, когда и как часто вы хотите ротировать ключи. Вы должны иметь право голоса в отношении сроков, а также размера ключа селектора (хотите ли вы использовать 1024 бита или 2048 бит для большей безопасности).
После того как фаза обсуждения пройдена, вы и ваш поставщик должны взаимно решить, какой будет ваша стратегия, и, наконец, приступить к ее внедрению.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Юнес - руководитель группы операций в PowerDMARC, обладающий экспертными знаниями в области аутентификации и безопасности электронной почты. Юнес имеет сертификат Microsoft Azure Administrator Associate, а также сертификаты CompTIA A+ и многие другие.
Последние сообщения Юнеса Тарады (см. все)
- Атаки на засолку электронной почты: Как скрытый текст обходит защиту - 26 февраля 2025 г.
- Выравнивание SPF: Что это такое и зачем вам это нужно? - 26 февраля 2025 г.
- DMARC против DKIM: ключевые различия и их совместная работа - 16 февраля 2025 г.
