Что такое DKIM и как DKIM работает?

DKIM - это эффективный способ гарантировать, что ваши электронные письма не будут подделаны на пути их доставки. Методы и протоколы аутентификации на основе домена значительно эффективнее против кибератак на основе электронной почты, которые становятся все более распространенными, особенно с ростом удаленной работы. Электронная почта остается доминирующей формой делового общения, но также является основным вектором для таких атак, как фишинг, что делает надежную проверку крайне важной. Важно отметить, что аутентификация электронной почты не является безотказной, и злоумышленники все равно могут найти способы обойти эти меры. Поэтому всегда следует проявлять осторожность при открытии сообщений электронной почты, особенно тех, которые содержат ссылки или вложения. DKIM - один из таких протоколов, предназначенных для борьбы с этими угрозами.

Она основана на криптографии с открытым ключом и работает путем добавления цифровой подписи к заголовку сообщения, обычно подписывая такие заголовки, как "От", "Кому", "Тема" и "Дата". Когда получатель получает письмо с DKIM, он проверяет цифровую подпись с помощью открытого ключа, опубликованного в DNS отправителя, чтобы убедиться в ее достоверности. Если она действительна, то получатель знает, что сообщение осталось неизменным во время передачи и действительно пришло с заявленного домена.

Что такое ДКИМ?

DKIM расшифровывается как DomainKeys Identified Mail. Это протокол аутентификации электронной почты, который позволяет отправителям предотвратить изменение содержимого электронной почты в процессе доставки. Возникнув в 2004 году в результате слияния DomainKeys (от Yahoo) и Identified Internet Mail (от Cisco), DKIM стал широко распространенной технологией.

Она основана на криптографии с открытым ключом и работает путем добавления цифровой подписи в заголовок сообщения. Когда получатель получает письмо с DKIM, он проверяет цифровую подпись, чтобы убедиться в ее достоверности. Если она действительна, то получатель знает, что сообщение осталось неизменным во время передачи. Ведущие провайдеры, такие как Google, Microsoft и Yahoo, проверяют входящую почту на наличие DKIM-подписей. Например, от новых отправителей, передающих электронную почту пользователям Gmail, Google теперь требует установить как минимум SPF или DKIM. Google проводит выборочную проверку входящих сообщений, и письма, в которых отсутствуют эти методы аутентификации, могут быть отклонены с ошибкой 5.7.26 или помечены как спам.

Что такое заголовок DKIM?

Заголовок DKIM - это часть электронного письма, содержащая криптографическую подпись DKIM. Эта подпись добавляется почтовым сервером отправителя, а именно агентом передачи почты (MTA), который создает уникальную строку символов, называемую хэш-значением, на основе содержимого сообщения и заголовков. В процессе аутентификации поле подписи в заголовке DKIM помогает проверить подлинность исходящих сообщений. Это помогает получателям убедиться в том, что письмо подлинное и пришло от легитимного отправителя.

Что такое ключи DKIM?

DKIM-ключи - это пары криптографических закрытых и открытых ключей, используемые для DKIM-аутентификации.

• Открытый ключ: Открытый ключ DKIM хранится в DNS отправителя (в виде записи TXT) и используется получающими почтовыми серверами для проверки подписей DKIM.
• Личный ключ: Закрытый ключ DKIM хранится в безопасности на почтовом сервере отправителя и используется для создания и добавления цифровой подписи к каждому исходящему сообщению в качестве части заголовка DKIM.

Как работает DKIM?

В процессе DKIM-аутентификации домен отправителя генерирует пару криптографических ключей, и при отправке электронного письма сервер отправки (MTA) добавляет DKIM-подпись в заголовок сообщения, используя закрытый ключ. Эта подпись включает в себя хэш-значение выбранных частей сообщения.

Домен отправителя публикует соответствующий открытый ключ в записи DNS. Получив письмо, сервер получателя извлекает DKIM-подпись из заголовка, запрашивает открытый ключ в DNS и использует его для расшифровки хэш-значения подписи. Затем сервер-получатель самостоятельно вычисляет собственное хэш-значение из заголовков и тела полученного письма. Он сравнивает этот пересчитанный хэш с расшифрованным хэшем подписи. Если два хэш-значения совпадают, подпись оказывается действительной, подтверждая, что письмо подлинное, не подвергалось изменениям и было отправлено с указанного домена, что защищает от подделки и фальсификации.

Как узнать, что DKIM работает?

Чтобы убедиться, что DKIM действительно работает для вашего домена, вы можете использовать проверку DKIM для проверки вашей конфигурации. Попробуйте использовать наш бесплатный инструмент проверки DKIM здесь. Кроме того, отслеживайте сводные отчеты DMARC, которые дают представление о результатах проверки подлинности DKIM для писем, претендующих на принадлежность к вашему домену. Проверка журналов DNS-запросов на наличие записей DKIM также может показать, как часто серверы-получатели получают ваш открытый ключ.

Что такое DKIM-запись?

DKIM-запись - это набор инструкций машинного уровня, опубликованных в виде TXT-записи в настройках DNS вашего домена. Она содержит открытый ключ, соответствующий закрытому ключу, используемому для подписи. Эта запись сообщает интернету, что сообщения, утверждающие, что они исходят от вашего домена, могут быть проверены с помощью этого ключа, что позволяет почтовым серверам подтвердить, что сообщение не было изменено по пути к месту назначения и исходит от аутентифицированного источника.

подпись DKIM

A подпись DKIM это криптографическая подпись, добавляемая в заголовок электронного сообщения, которая подтверждает его подлинность и гарантирует, что оно не было подделано во время транспортировки. Она генерируется с помощью закрытого ключа и проверяется с помощью открытого ключа, содержащегося в записи DKIM.

селектор DKIM

Селектор DKIM это уникальный идентификатор, используемый для указания того, какая пара ключей DKIM была использована для подписи сообщения, что позволяет доменам управлять несколькими ключами (например, для разных служб отправки). Это буквенно-цифровое строковое значение, которое задается в теге s= в заголовке DKIM электронной почты. Селектор должен быть различим и отличаться для каждого поставщика электронной почты, которого вы используете.

Например, в имени записи DKIM s1._domainkey.domain.com, s1 это ваш селектор.

Пример записи DKIM

v=DKIM1;
k=rsa; p=MIGfMA0GCSqGSIb3DQEBA...
DKIM-записи также могут содержать тег 't=y', указывающий на то, что домен находится в тестовом режиме; его следует использовать временно при первоначальной настройке и удалить при полном развертывании.

Каковы преимущества DKIM

DKIM необходим компаниям для проверки подлинности исходящих сообщений электронной почты и обеспечения их легитимности. DKIM играет ключевую роль в обходе атак типа "человек посередине" (MITM) и предотвращении необоснованных изменений, вносимых в содержимое электронной почты третьими лицами. Он помогает защитить отношения с клиентами и репутацию бренда, обеспечивая надежность электронной почты.

DKIM предотвращает изменение сообщений

Если вы спросите себя, что делает DKIM для предотвращения мошенничества с электронной почтой, ответьте: цифровая подпись - это защита от сбоев. Если письмо было перехвачено и изменено, проверка подписи не пройдет, потому что пересчитанный хэш не совпадет с расшифрованным хэшем подписи, и письмо будет отклонено или помечено как подозрительное.

Минимизация подделки с помощью домена DKIM

Электронное письмо, отправленное злоумышленником, пытающимся выдать себя за ваш домен, не будет иметь действительной подписи, созданной с помощью вашего закрытого ключа. Оно не пройдет проверку подлинности DKIM, и это еще одно представление о том, от чего DKIM защищает вашу организацию.

Ознакомьтесь с последней статистикой мошенничества с использованием электронной почты здесь.

DKIM уменьшает количество спама в электронной почте

Чем известен DKIM, так это уменьшением количества спама в электронной почте. Правильная настройка DKIM повышает надежность ваших писем, значительно снижая вероятность того, что ваши законные сообщения попадут в папку спама, что особенно полезно для маркетинговых кампаний по электронной почте.

DKIM повышает доставляемость электронной почты

Более того, если вы настроите DKIM, это улучшит репутацию вашего отправителя как проверенного источника в глазах интернет-провайдеров (ISP), клиентов, партнеров и других принимающих служб. Это способствует лучшей доставляемости электронной почты и помогает получать прибыль, гарантируя, что важные сообщения дойдут до адресатов. Доставляемость электронной почты - способность письма попадать в почтовый ящик получателя, а не помечаться как спам или отскакивать - имеет решающее значение для маркетинга и коммуникаций. Такие ключевые показатели, как количество отказов, количество открытий, количество кликов и жалоб на спам, помогают оценить вовлеченность. Плохая доставляемость может привести к напрасным маркетинговым инвестициям, внесению в списки блокировки, такие как Spamhaus, и негативно сказаться на обслуживании клиентов. Поставщики почтовых ящиков все чаще ориентируются на сигналы вовлеченности пользователей (открытия, клики, ответы, количество жалоб) для фильтрации писем, что подчеркивает необходимость высокой степени доставки. Успешная доставка писем благодаря проверке DKIM способствует увеличению количества кликов и открытий, что потенциально может привести к увеличению конверсии и продаж.

Каковы ограничения DKIM?

DKIM очень важен для аутентификации и целостности сообщений, однако он не идеален. Вот некоторые из его ограничений:

• DKIM не проверяет подлинность отправителя (адреса "From"), видимого конечному пользователю, непосредственно по подписывающему домену во всех случаях (эта проверка соответствия является частью DMARC). Она в первую очередь удостоверяет, что письмо было авторизовано доменом, указанным в подписи DKIM (тег d=), и не было изменено. Таким образом, если кто-то получит несанкционированный доступ к легитимной учетной записи или серверу, он сможет отправлять письма с подписью DKIM с вашего домена.
• DKIM зависит от правильности публикации и получения записей DNS. Если ваши публичные записи DNS настроены неправильно, неверно сконфигурированы или имеют задержки в распространении, это может привести к сбои в проверке подлинности DKIM даже для легитимных писем.
• Сам по себе DKIM не диктует политику в отношении того, что произойдет, если аутентификация не пройдет. Он просто предоставляет результат "прошел/не прошел". По своей сути он не останавливает спам или попытки фишинга - он лишь усложняет подделку. Поэтому сопряжение его с DMARC, который использует результаты DKIM (и/или SPF) для обеспечения политики, крайне важно для комплексной защиты.

Кроме того, внедрение DKIM может быть сопряжено с практическими трудностями, включая техническую сложность, требующую опыта управления ключами и настройки DNS, потенциальные проблемы с доставкой электронной почты при неправильной настройке, сложности с управлением ключами в масштабе и обеспечение совместимости со сторонними службами отправки электронной почты.

Сопряжение DKIM с DMARC

Нет смысла сравнивать DKIM и DMARC, поскольку сочетание DKIM с DMARC (и SPF) идеально подходит для всесторонней защиты и обеспечения бесперебойной доставки почты! Если вы используете оба варианта, DMARC использует результаты аутентификации DKIM (наряду с SPF) и добавляет проверки выравнивания, а также применение политик (например, отклонение или помещение в карантин), что значительно усложняет попадание поддельных писем в почтовый ящик. Это помогает избежать попадания в черные списки спам-фильтров, а значит, ваши легитимные письма будут доставляться более надежно.

Кроме того, совместное использование DKIM и DMARC помогает защитить ваш бренд - спамеры часто пытаются подделать домены, которые, по их мнению, с меньшей вероятностью будут сообщать о них как о спаме. Но если на поддельных доменах действительно настроен DKIM и действует политика DMARC, это значительно усложнит им задачу и защитит репутацию вашего домена.

Прелесть их совместной работы заключается в том, что они прекрасно взаимодействуют друг с другом, обеспечивая многоуровневую защиту от попыток подмены, а также предоставляя отправителям контроль и видимость (через отчеты DMARC) того, как их почта обрабатывается и аутентифицируется в Интернете.

Включить DKIM с помощью PowerDMARC

PowerDMARC позволяет владельцам доменов легко настраивать DKIM наряду с SPF и DMARC, предоставляя практические функции мониторинга и отчетности. Это помогает им постоянно отслеживать результаты аутентификации и ошибки, обеспечивая надежность доставки и активно борясь с кибератаками.

Наша платформа проста в использовании для предприятий любого размера и может работать с несколькими доменами и большими объемами почтового трафика. Мы предлагаем эффективное решение DKIM в сочетании с несколькими другими важнейшими протоколами аутентификации электронной почты для 360-градусной защиты от почтового мошенничества.

Получите свои DKIM и DMARC в считанные минуты с помощью PowerDMARC!

Часто задаваемые вопросы о DKIM

Как настроить DKIM?

Чтобы настроить DKIM, вам нужно сгенерировать закрытый ключ и соответствующую пару открытых ключей, часто с помощью такого инструмента, как генератор DKIM-записей или через поставщика услуг электронной почты. Рекомендуется использовать DKIM-ключи длиной не менее 1024 бит, а 2048-битные ключи предпочтительнее для большей безопасности. Регулярно обновляйте ключи DKIM и используйте уникальные ключи для разных служб отправки или клиентов. Убедитесь, что срок действия цифровой подписи, если она установлена, превышает срок ротации ключа, и не забывайте отзывать старые ключи. Затем настройте почтовый сервер (серверы) на подписание исходящих писем закрытым ключом и опубликуйте открытый ключ в качестве TXT-записи DNS под определенным именем селектора для вашего домена (например, selector._domainkey.yourdomain.com).

Как проверить свою DKIM-запись?

Чтобы проверить свою DKIM-запись, вы можете воспользоваться нашим бесплатным программа проверки DKIM инструмент. Просто введите имя вашего домена и конкретный селектор DKIM, который вы хотите проверить (если он известен), и программа запросит DNS и сообщит, правильно ли отформатирована, опубликована и доступна DKIM-запись, или если обнаружены какие-либо проблемы.

В чем разница между SPF и DKIM?

Хотя оба протокола аутентификации электронной почты используются в DMARC, SPF (Sender Policy Framework) фокусируется на авторизации IP-адресов, которым разрешено отправлять почту *для* домена, проверяя путь сообщения. DKIM фокусируется на проверке *целостности содержимого* электронной почты и подтверждает, что сообщение было авторизовано владельцем домена с помощью криптографической подписи, проверяя происхождение сообщения и гарантируя, что оно не было изменено. Подписи DKIM выдерживают пересылку, в то время как SPF часто ломается во время пересылки.

Могу ли я использовать один и тот же ключ DKIM для нескольких доменов?

Нет, вы не можете использовать одну и ту же пару ключей DKIM для нескольких разных доменов. Для каждого домена требуется своя уникальная пара ключей DKIM (закрытый ключ для подписи, открытый ключ, опубликованный в DNS этого домена). Это гарантирует, что подписи DKIM будут специфичны для каждого домена, и обеспечивает безопасность и целостность проверки подлинности электронной почты для каждого отдельного домена. Однако при необходимости вы можете использовать одну и ту же пару ключей для разных селекторов *в пределах* одного домена, хотя обычно используются отдельные ключи для каждого сервиса отправки.

Подробнее

Использует ли Office 365 DKIM?

Да, Microsoft 365 (ранее Office 365) поддерживает и использует DKIM. По умолчанию Microsoft 365 использует общую конфигурацию DKIM для начальных доменов, но настоятельно рекомендуется настроить пользовательскую подпись DKIM для собственного домена (доменов), создав необходимые записи CNAME в DNS в соответствии с инструкциями Microsoft, что позволит им управлять ключами и процессом подписи.

Могу ли я использовать DMARC без DKIM?

Технически да, вы можете реализовать DMARC, используя только SPF для аутентификации. Однако это крайне *не* рекомендуется. DMARC полагается на передачу и согласование либо SPF, либо DKIM (или обоих). Использование только SPF делает вашу аутентификацию хрупкой, поскольку SPF часто не работает во время непрямых почтовых потоков (например, при пересылке). Реализация обоих SPF и DKIM обеспечивает избыточность и гораздо более надежную аутентификацию, необходимую для эффективной работы DMARC.

Нужен ли мне DMARC, если у меня внедрен DKIM?

Хотя DKIM обеспечивает важную проверку целостности сообщения и аутентификацию, он не указывает принимающим серверам, что *делать*, если проверка не удалась, и не проверяет, совпадает ли домен подписи с видимым для пользователя доменом "From". A политика DMARC добавляет этот важный уровень: она проверяет соответствие между доменом подписи DKIM (d=) и доменом "From", указывает, помещать ли сообщения в карантин или отклонять, если они не прошли проверку подлинности и соответствия, и предоставляет отчет о результатах проверки подлинности. Сочетание DKIM (и SPF) с DMARC позволяет значительно повысить безопасность электронной почты, защиту бренда и эффективность доставки.

Что такое проблемы с почтой, идентифицированной по доменным ключам?

К распространенным проблемам DKIM относятся: неправильный синтаксис записи DNS или ее публикация; использование неправильного селектора; компрометация закрытого ключа или его несоответствие открытому ключу; проблемы с ротацией ключей (просроченные ключи); модификация сообщений промежуточными серверами (например, рассылками), нарушающая подпись; несоответствие домена подписи DKIM и домена заголовка From: (что влияет на DMARC); отсутствие поддержки DKIM или неправильная конфигурация сторонних служб отправки. Каждая из этих проблем может привести к сбоям в проверке подлинности DKIM и негативно повлиять на доставляемость электронной почты.

Сколько времени требуется для создания DKIM-записи?

Генерация ключей и настройка почтового сервера может занять от нескольких минут до нескольких часов в зависимости от системы. Публикация записи открытого ключа DKIM в DNS обычно происходит быстро, но для полного распространения изменений в DNS по интернету может потребоваться от нескольких минут до 48-72 часов, в зависимости от DNS-провайдера и настроек TTL. После настройки рекомендуется проводить постоянный мониторинг (в идеале через отчеты DMARC), чтобы убедиться, что DKIM продолжает работать правильно.

Что происходит, когда DKIM не работает?

Когда проверка DKIM не проходит для электронного письма, это указывает на то, что либо сообщение было подделано при передаче, либо оно не было должным образом подписано заявленным доменом отправителя. Серверы-получатели могут отнестись к этому письму с подозрением, потенциально пометив его как спам или нежелательную почту. Если для домена опубликована политика DMARC, и сбой также приводит к сбою DMARC (из-за отсутствия прохождения/согласования SPF), письмо может быть помещено в карантин или полностью отклонено в соответствии с политикой(p=quarantine или p=reject). Реализация SPF обеспечивает резервный механизм аутентификации.

Нужны ли мне SPF и DKIM?

Хотя SPF и DKIM - это независимые протоколы, которые в определенной степени могут самостоятельно проверять подлинность электронной почты, использование *обоих* протоколов является лучшей практикой в отрасли и настоятельно рекомендуется для надежной проверки подлинности электронной почты. Они затрагивают разные аспекты (IP-адрес отправителя и целостность/принадлежность сообщения). Реализация SPF, DKIM и DMARC вместе создает мощную структуру, которая значительно повышает защиту от подделки, фишинговых атак, улучшает доставляемость и защищает репутацию вашего домена.