Теги DKIM: Обязательные и необязательные теги
DKIM - это сокращение от DomainKeys Identified Mail, протокол аутентификации электронной почты, который работает с помощью зашифрованной цифровой подписи. Это дополнительный протокол, который можно использовать в паре с политикой политикой DMARC.
Протокол DKIM может быть реализован путем установки записи в DNS, состоящей из комбинации тегов DKIM и соответствующих им значений. В этом блоге мы подробно расскажем о необходимых, необязательных, рекомендуемых и нежелательных тегах подписи DKIM с примерами.
Что такое метки DKIM?
Теги DKIM - это инструкции в записи DKIM, указывающие сведения об отправителе для проверки цифровой подписи.
Правильно настроенные теги подписи DKIM позволяют поставщикам услуг электронной почты проверять подлинность ваших сообщений. Такие технологические гиганты, как Google и Yahoo, ввели этот протокол для отправителей электронной почты, чтобы предотвратить спам, фишинга и спуфинга.
Как работают метки подписи DKIM
Сервер получателя использует данные в заголовке письма и официальную информацию о домене DKIM для проверки подлинности сообщений электронной почты. Заголовок подписи DKIM добавляется к исходящему электронному сообщению. Несколько тегов подписи DKIM содержат информацию об отправителе, чтобы сервер получателя знал, куда смотреть для проверки письма.
Эти теги подписи DKIM являются информационным компонентом, который отображает определенные значения, каждое из которых представляет собой подробную информацию о теле письма. Все DomainKeys имеют закрытый ключ, используемый для шифрования цифровых DKIM-подписей. Кроме того, у них есть открытый ключ, опубликованный в DNS домена.
Поэтому при отправке писем с вашего домена закрытый ключ в письмах должен совпадать с открытым ключом. В противном случае сообщение не попадет в почтовые ящики получателей. Это очень быстрый процесс, занимающий не более нескольких секунд. Однако он работает только в том случае, если вы создадите DKIM-запись и добавите правильные DNS-теги DKIM.
Объяснение тегов записей DKIM
Теги DKIM DNS-записей представляют собой отдельные буквы, используемые в качестве команд, за которыми следует знак равенства. Все буквы имеют DKIM-тег, который обозначает определенные значения, представляющие информацию об отправителе. Каждый тег подписи DKIM содержит сведения о местонахождении открытого ключа, используемого для шифрования сообщений.
Типы тегов DKIM
Теги подписи DKIM можно классифицировать на "обязательные теги" и "необязательные теги", и значение каждого из них важно для создания записи DKIM. Есть и другие теги подписи DKIM, которые классифицируются как "не обязательные" или "не рекомендуемые". Вы можете установить их в зависимости от степени полезности или требований каждого домена. При добавлении DKIM-записи в DNS необходимо использовать правильные теги DKIM-аутентификации. Давайте узнаем об этих тегах подробнее.
Обязательные теги DKIM
Теги Required DKIM настолько важны для заголовка подписи DKIM, что без них ваше сообщение не пройдет проверку. Почтовый ящик получателя будет отбрасывать письма без этих тегов.
- v= Это тег версии DKIM, обозначающий используемый стандарт DKIM. Его значение всегда равно 1.
- a= Этот тег DKIM указывает на криптографический алгоритм, используемый для создания подписи. Используется значение rsa-sha256. Если ваш компьютер имеет ограниченные возможности процессора, вы можете использовать rsa-sha1. Однако это не рекомендуется по соображениям безопасности.
- s= Указывает тег селектора DKIM, используемый для поиска открытого ключа в DNS домена. В этом поле можно ввести имя или число.
- d= Тег домена DKIM отображает домен, используемый с селекторной записью для поиска открытых ключей. Его значение совпадает с доменным именем, используемым отправителем.
- b= Тег DKIM body используется для хэш-данных заголовка. Обычно он используется в паре с тегом h= для составления подписи DKIM. Он всегда кодируется в Base64.
- bh= Тэг хэша тела DKIM содержит вычисленный хэш электронной почты. Его значение - это строка символов, обозначающая хэш, определенный алгоритмом.
- h= Этот тег перечисляет заголовки, видимые в алгоритме подписания, для генерации хэша в теге b=. Его значение не может быть ни удалено, ни изменено.
Дополнительные теги DKIM
Помимо тегов подписи DKIM, существует несколько необязательных тегов. Это означает, что если в вашей DKIM-подписи отсутствуют эти теги, то при проверке не возникнет ошибки. Тем не менее, эксперты рекомендуют использовать их, чтобы избежать подделки электронной почты.
Поддельные письма не присваивают временные значения, в отличие от настоящих корпоративных писем. Поэтому, если ваш почтовый ящик заметит неправильные значения времени для отправителя, он, скорее всего, полностью отклонит письмо.
Необязательные, но рекомендуемые теги DKIM
Рекомендуется использовать эти рекомендуемые теги записей DKIM, поскольку они помогают серверу получателя в процессе проверки.
- g= Он работает как гранулярность вашего открытого ключа, и его значение совпадает с локальной частью тега i=. Вы также можете ввести звездочку (*) в качестве подстановочного знака. Этот тег DKIM блокирует адреса подписания от использования записей селектора. Любое письмо с адресом подписи, не соответствующим этому тегу, не проходит проверку.
- h= Обозначает приемлемый алгоритм хэширования и имеет конкретные значения 'sha1' и 'sha256'. Они необходимы подписывающим и проверяющим лицам.
- k= Это тип ключа. По умолчанию он имеет значение 'rsa', которое должно поддерживаться подписантами и верификаторами.
- n= Администраторы используют этот тег для добавления человекочитаемых заметок.
- t= Это важный тег, поскольку он работает как временная метка подписи, показывающая время отправки письма. Формат этого тега - нумерованные секунды от 00:00:00 1 января 1970 года (UTC).
- x= Этот тег сообщает дату истечения срока действия подписи. Он дополняет тег t=, назначая дату доставки.
- t=y Используется для указания тестовой подписи домена и применяется отправителями, когда DKIM устанавливается впервые. Это рекомендуется, поскольку некоторые провайдеры почтовых ящиков не учитывают подписи DKIM в тестовом режиме. Вы должны удалить этот тег перед полным развертыванием.
- t=s - это замена тега t=y. В нем говорится, что любая DKIM-подпись, использующая тег i=tag, должна иметь то же значение домена, что и основной домен.
Не требуется
Вам не нужны эти теги DKIM-подписи, если вы создаете DKIM-заголовок в первый раз. Они обычно делают вашу DKIM-подпись технически сложной.
- c= - это тег записи DKIM, который работает как алгоритм канонизации и описывает уровень модификации письма в середине пути к другому почтовому провайдеру. Он используется для того, чтобы избежать незначительных модификаций электронных писем в пути. В противном случае это может привести к неудачной проверке. Изменения включают пробелы или обводку строк.
Его значение устанавливается либо в значение1, либо в значение2. Значение1 предназначено для заголовка, а значение2 - для тела сообщения. Они могут быть установлены в значения 'simple' или 'relaxed', чтобы определить толерантность к изменениям в электронном письме.
- i= представляет собой идентификатор пользователя или агента. Его значением является адрес электронной почты, имеющий домен и поддомен вашего сайта, что совпадает с тегом d=.
Не рекомендуется
Эти DNS-теги DKIM не являются необходимыми для любого заголовка DKIM. Они используются только в тех случаях, когда вам нужно контролировать любую из спецификаций, упомянутых ниже;
- l= Тег длины DKIM позволяет частично подписать тело сообщения, обозначенное количеством бит, которые необходимо подписать. Этот тег не рекомендуется использовать, так как он делает ваше сообщение уязвимым для взлома.
- z= Он включает в себя оригинальные заголовки сообщений и используется провайдерами почтовых ящиков для работы с ошибками проверки диагноза.
Заключительные выводы
Внедрение и управление протоколом DKIM может потребовать опыта, времени и усилий, которые зачастую выходят за рамки ваших возможностей. Именно поэтому организации выбирают наше хостинговое решение DKIM. Мы помогаем генерировать записи DKIM, настраивать теги подписи DKIM, управлять селекторами и ключами DKIM на единой платформе!
Кроме того, мы предоставляем экспертную помощь в настройке дополнительных протоколов, таких как DMARC и SPF для усиления защиты от атак по электронной почте.
Чтобы узнать больше и получить индивидуальную стратегию безопасности домена для организаций, проверенную на практике для повышения эффективности доставки, - свяжитесь с нами уже сегодня!
- 5 видов мошенничества с электронной почтой службы социального обеспечения и способы их предотвращения - 3 октября 2024 г.
- PowerDMARC получила значок лидера 2024 G2 Fall в области программного обеспечения DMARC - 27 сентября 2024 г.
- 8 советов по безопасному маркетингу электронной почты для онлайн-бизнеса - 25 сентября 2024 г.