DomainKeys vs. DKIM: в чем разница?
Последнее обновление:
6 Время чтения: 6 минут
Ключевые выводы
- Yahoo ввела DomainKeys в 2004 году для проверки доменной принадлежности отправителя и уменьшения количества поддельных писем.
- DKIM (DomainKeys Identified Mail) был стандартизирован IETF в RFC 4871 (2007), объединив DomainKeys от Yahoo и Identified Internet Mail от Cisco в единый открытый стандарт.
- DKIM позволяет отправителям подписывать канонизированный хэш выбранных заголовков и содержимого тела, обеспечивая целостность сообщения даже при некритичных модификациях (например, изменении пробелов).
- Селекторы в DKIM упрощают ротацию ключей и позволяют использовать несколько ключей для разных служб.
- DKIM подтверждает, что письмо было авторизовано доменом, указанным в подписи, и что его содержимое не было изменено при передаче.
- DKIM способствует проверке соответствия DMARC, помогая владельцам доменов применять политику борьбы с подделками.
DomainKeys и DKIM - две родственные, но разные технологии проверки подлинности электронной почты, предназначенные для защиты от подделки, фишинга и спама. DomainKeys, представленная компанией Yahoo в 2004 году, стала первым шагом к проверке подлинности отправителя с помощью криптографических подписей. Однако его гибкость и распространение были ограничены. DKIM развился из DomainKeys и Identified Internet Mail компании Cisco и стал стандартизированным и широко распространенным решением. Сегодня DKIM служит краеугольным камнем безопасной электронной почты, гарантируя, что сообщения остаются подлинными и неизменными во время передачи, а также поддерживая DMARC для применения политик.
Что такое DomainKeys (DK)?
DomainKeys это ранний протокол аутентификации электронной почты, который был разработан и выпущен компанией Yahoo в 2004 году. Его цель была очень проста, понятна и достойна восхищения: проверить доменную принадлежность отправителя и уменьшить количество спама, фишинга и поддельных писем.
Вот как работает DomainKeys. Она использовала простую схему подписи, которая применяла криптографические подписи ко всему сообщению. Несмотря на то, что это был шаг вперед, ей все еще не хватало гибкости в выборе заголовков, и ее легко было сломать пересылкой или модификацией списка рассылки. Из-за этих ограничений она была в конечном итоге заменена DKIM и устарела.
Недостатки DomainKeys
Вот несколько причин, по которым DomainKeys пришлось в итоге заменить:
- Он был проприетарным: Это был проприетарный стандарт Yahoo, который так и не получил широкой стандартизации в IETF.
- В нем не было механизма селекторов: В нем отсутствовали "селекторы", то есть домен мог использовать только один открытый ключ. Это крайне затрудняло ротацию ключей и управление различными службами отправки электронной почты.
- Подписи были довольно хрупкими: Метод подписи был очень жестким. Подписи почти всегда ломались, если письмо пересылалось или немного изменялось в списке рассылки.
- Она обладала ограниченной гибкостью: Она предоставляла очень мало вариантов алгоритмов подписания и канонизации (т. е. способа обработки письма перед подписанием).
Введение в DKIM (DomainKeys Identified Mail)
DKIMDKIM (DomainKeys Identified Mail) - это протокол аутентификации электронной почты, который позволяет отправителям предотвратить манипуляции с содержимым электронной почты во время доставки. DKIM возник в результате сотрудничества Yahoo и Cisco в 2004-2005 годах и стал стандартом IETF в 2007 году (RFC 4871).
Она работает путем добавления цифровой подписи в заголовок сообщения. Как только получатель получает письмо с DKIM-подписью, он проверяет подпись, чтобы убедиться в ее достоверности. Если она действительна, получатель знает, что сообщение было передано в целости и сохранности и не подвергалось манипуляциям со стороны хакеров.
Вот пример DKIM-подписи:
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:subject:date; bh=abc123...; b=xyz456...
Как работает DKIM
DKIM опирается на пару криптографических ключей: закрытый ключ и открытый ключ. Эти ключи необходимы для того, чтобы убедиться, что письмо подлинное и не было изменено.
При отправке электронного письма почтовый сервер отправителя использует закрытый ключ для создания цифровой подписи. Эта подпись добавляется к письму в заголовке DKIM - специальной части письма, содержащей саму подпись, а также информацию о подписывающем домене, используемом алгоритме и о том, какие заголовки были включены в подпись.
Когда письмо доходит до получателя, его почтовый сервер извлекает открытый ключ из DNS отправителя. Затем сервер использует этот открытый ключ для проверки заголовка DKIM и убеждается, что подпись соответствует сообщению. Если подпись совпадает, письмо подтверждается как подлинное и неизмененное.
Вкратце: заголовок DKIM содержит подпись, закрытый ключ генерирует ее, а открытый ключ проверяет ее, защищая целостность и подлинность электронной почты.
Ключевая инновация: Ключевым новшеством DKIM по сравнению с DomainKeys стало внедрение стандартизированных, гибких криптографических подписей с селекторами и надежной канонизацией для надежной аутентификации на основе домена.
DomainKeys и DKIM: основные различия
Разница в аббревиатуре составляет всего две буквы, но это имеет огромное значение. DKIM появился для того, чтобы исправить ограничения DomainKeys.
1. Стандартизация и принятие
- DomainKeys: Она была собственной разработкой компании Yahoo, и ее распространение было весьма ограниченным; сегодня она полностью устарел.
- DKIM: Это открытый стандарт IETF. Эта нейтральность и техническое превосходство стали основными причинами, по которым его приняли все крупные почтовые провайдеры, включая Google и Microsoft.
2. Гибкость подписи
- DomainKeys: Он подписывал определенные заголовки и все тело сообщения, что часто приводило к поломке подписи, если сообщения изменялись в процессе передачи.
- DKIM: Благодаря хэшированию тела и канонизации DKIM более терпим к незначительным изменениям форматирования, хотя пересылка или изменения в списках рассылки все равно могут нарушить подписи. Он позволяет отправителю выбирать именно какие заголовки подписывать (h= тег). Более того, он подписывает хэш тела сообщения (bh= тег), который более устойчив к незначительным изменениям, таким как пересылка. Также используется канонизация (c= тег), чтобы определить, как обрабатываются изменения в сообщении, например пробельные символы.
3. Управление ключами и селекторы
- DomainKeys: Отсутствовал механизм селектора, что заставляло все сообщения из домена использовать один открытый ключ, что усложняло ротацию и управление ключами.
- DKIM: Представил концепцию "Селекторы". Селектор - это имя, указывающее на конкретный открытый ключ в вашем DNS. Это позволит вам:
- Используйте разные ключи для разных служб, будь то рабочее пространство Google, маркетинговая платформа и т. д.
- Поворачивайте ключи для обеспечения безопасности, не нарушая почтовый поток.
Если вам нужна помощь в создании DKIM-записи, вы можете воспользоваться бесплатный генератор DKIM-записей чтобы убедиться в правильности синтаксиса.
4. Безопасность и целостность
- DomainKeys: Он был нацелен на проверку подлинности отправителя.
- DKIM: Проверка хэша тела (bh=) подтверждает, что содержимое письма не было изменено с момента его подписания.
DomainKeys и DKIM: сравнительная таблица
| Характеристика | DomainKeys (DK) | Доменные ключи идентифицированной почты (DKIM) |
|---|---|---|
| Разработано | Yahoo (собственная разработка) в 2004 году | Совместная работа Yahoo и Cisco, позже стандартизированная IETF. Представлена в 2007 году (RFC 4871), обновлена в RFC 6376 (2011) |
| Назначение | Проверка подлинности домена отправителя для уменьшения количества поддельных писем и спама | Проверка подлинности домена отправителя и обеспечение целостности сообщения |
| Имя поля заголовка | DomainKey-Signature: | DKIM-подпись: |
| Механизм селектора | Не поддерживается | Поддерживается (selector._domainkey.example.com) |
| Управление ключами | Единый ключ для всего домена | Несколько клавиш с помощью селекторов; легкое вращение клавиш |
| Область подписания | Все тело сообщения и некоторые заголовки | Определенные заголовки, выбранные отправителем (h= tag), и хэшированное тело сообщения (bh= tag) |
| Параметры канонизации | Базовый или нет | Простые и расслабленные опции каноникализации для гибкости |
| Хэширование тела | Все тело подписано напрямую | Используется хэш тела (bh=) для повышения устойчивости к незначительным изменениям |
| Домен верификации | На основе домена "От" или "Отправитель" | На основе метки d= в подписи |
| Интеграция с DMARC | Не поддерживается | Полностью поддерживается и используется для проверки выравнивания |
| Усыновление и статус | Ограниченное принятие; устаревшие | Широко распространены и активно используются |
| Основное ограничение | Жесткий процесс подписания, отсутствие селекторов, разрушение подписи | Не защищает видимый заголовок "From" (требуется DMARC). |
Почему DKIM заменил DomainKeys
DKIM пришел на смену DomainKeys, поскольку позволил устранить основные технические недостатки протокола - отсутствие стандартизации, отсутствие селекторного механизма для ротации ключей и хрупкие подписи, которые ломались при незначительных изменениях сообщения. В DKIM появились гибкие подписи заголовков, более сильная криптография и стандартизация IETF, что сделало его более надежным, масштабируемым и широко используемым для аутентификации электронной почты.
Преимущества внедрения DKIM для бизнеса
DKIM имеет множество преимуществ:
Предотвращение спуфинга и фишинга
Хотя сам по себе DKIM не может остановить спуфинг и фишинговые атаки, он работает вместе с DMARC, чтобы повысить безопасность домена и предотвратить появление подделок.
Защита бренда
Когда мошенники используют ваш домен для рассылки вредоносных писем, страдает репутация вашего бренда. Получатели ассоциируют ваше имя со спамом и мошенничеством, что приводит к потере доверия. DKIM сохраняет целостность вашего бренда в почтовом ящике.
Доставляемость электронной почты
Крупнейшие поставщики входящих сообщений, такие как Google и Microsoft ожидают и требуют подтверждения подлинности. Письма, прошедшие DKIM, считаются более надежными.
Целостность сообщений
Подпись DKIM гарантирует, что содержимое письма не было изменено после его отправки. Это помогает убедиться, что сообщение, которое читает ваш получатель, является именно тем, которое вы отправили.
Почему одного DKIM недостаточно
DKIM - мощный инструмент, но у него есть одно существенное ограничение при самостоятельном использовании: он не предотвращает подделку заголовка "From".
DKIM проверяет, что письмо было подписано доменом, указанным в d= в подписи. Однако это не требует, чтобы домен совпадал с видимый "От" адреса, который видит пользователь. Фишер может отправить письмо "от" имени генерального директора, но подписать его своим собственным вредоносным доменом. Письмо пройдет проверку DKIM, но это все равно будет поддельная атака.
Именно здесь DMARC приходит на помощь.
DMARC устраняет разрыв между аутентификацией и идентификацией. Он гарантирует, что домен, аутентифицированный DKIM или SPF, совпадает с доменом, видимым получателю в заголовке "From".
Подведение итогов
Доменные ключи проложили путь, но DKIM и сегодня остается стандартом для доверенной аутентификации электронной почты. В паре с DMARC он обеспечивает защиту от подделки и фишинга.
Если вы настроите что-то не так, даже законные письма могут быть заблокированы. Чтобы избежать таких проблем и других сложностей с DKIM, PowerDMARC Hosted DKIM сервис может помочь. Это облачный сервис, который берет на себя все аспекты процесса управления DKIM. С централизованной панели управления вы можете добавлять, редактировать и управлять несколькими селекторами и ключами для всех ваших доменов, не прибегая к изменениям на уровне DNS.
Начните бесплатную пробную версию сегодня, чтобы повысить эффективность доставки, улучшить аутентификацию и защитить свой домен от подмены!
Часто задаваемые вопросы
- Используется ли DomainKeys и сегодня?
Больше нет. Он был устаревшим и заменен современным протоколом DKIM.
- Как PowerDMARC может помочь в управлении DKIM?
PowerDMARC предлагает хостинговое решение DKIM, которое обеспечивает автоматическое развертывание DKIM, селектор и управление ключами.
Эксперт по безопасности доменов и электронной почты в PowerDMARC
Аона - менеджер по маркетингу в PowerDMARC, имеет более чем 5-летний опыт написания статей на темы кибербезопасности, специализируясь на безопасности доменов и электронной почты. Ахона получила диплом о высшем образовании по специальности "Журналистика и коммуникации", а с 2019 года начала работать в сфере безопасности.
Последние сообщения Ахона Рудра (см. все)
