Rotation av DKIM-nycklar

DKIM-nyckelrotation är processen för att uppdatera dina DKIM-nycklar. Du bör rotera dina nycklar med jämna mellanrum - den exakta perioden är inte viktig, men själva processen är det. Varför ska du göra det? Med rotation av nycklar avses att skapa nya nycklar och uppdatera DNS-poster med dessa nya nycklar. Syftet med att rotera dina DKIM-nycklar liknar det du byter ut dina lösenord med jämna mellanrum: det är en säkerhetsåtgärd som hjälper till att förhindra att angripare utger sig för att vara din domän och skickar skräppost eller phishing-e-post.

Låt oss ta en titt på varför du överhuvudtaget använder DKIM-nycklar.

Varför använder du DKIM-nycklar?

DKIM står för DomainKeys Identified Mail. Det är ett sätt att lägga till ytterligare ett säkerhetslager på din e-postserver så att din e-post inte flaggas som skräppost och hamnar i skräppostmappar. Det bästa sättet att tänka på DKIM är att det är en krypterad identifierare som bifogas dina meddelanden så att mottagarna kan kontrollera att meddelandet faktiskt skickades av dig, den person som det påstås komma från. Det är denna identifierare eller nyckel som gör det möjligt för dem att verifiera detta.

Hur fungerar DKIM?

DKIM fungerar genom att lägga till denna identifierare till varje e-postmeddelande som skickas. När någon tar emot ett av dessa e-postmeddelanden kan han eller hon kontrollera rubriken eller sidfoten i meddelandet och hitta en sträng av siffror och bokstäver, som är den krypterade identifieraren eller DKIM-nyckeln. Innan ett e-postmeddelande skickas till mottagaren signerar avsändarens e-postserver varje e-postmeddelande med en digital signatur, som sedan valideras av den mottagande e-postservern. Denna process bevisar att e-postmeddelandet inte har manipulerats eller ändrats på något sätt. 

När du skickar ditt e-postmeddelande bifogas signaturen som en rubrik i slutet av meddelandet. Mottagarservrarna använder offentliga nycklar (som tillhandahålls av domänägare via DNS-poster) för att dekryptera och verifiera dessa signaturer.

Varför är DKIM-nyckelrotation viktigt för domänens säkerhet?

DKIM-nyckelrotation innebär att du börjar använda ett nytt privat/offentligt nyckelpar för att signera och autentisera ditt meddelande och sedan slutar använda det gamla privata/offentliga nyckelparet.

Varför är detta viktigt? Om någon skulle få tillgång till din privata nyckel kan de faktiskt använda den för att skicka falska e-postmeddelanden som ser ut att komma från dig! För att förhindra denna typ av skadlig verksamhet är det bäst att rotera dina nycklar med några månaders mellanrum.

För att bättre förstå vikten av DKIM-nyckelrotation kan vi ta en titt på det här exemplet: 

Låt oss säga att du skickar ut en e-postkampanj för en julförsäljning i din butik. Du använder dina DKIM-nycklar för att signera dina e-postmeddelanden, men om du skickar ut tillräckligt många e-postmeddelanden med samma nyckelpar över tid kan dåliga aktörer så småningom avlyssna och avkoda ett av dem, eftersom varje meddelande använder samma kryptografiska hash-algoritm. När de väl har fått tag på din offentliga nyckel kan de börja signera sina nätfiskemejl med den utan att du vet om det! Därför är regelbunden rotation av DKIM-nyckeln avgörande för säkerheten för din domän.

Hur kan du rotera dina DKIM-nycklar?

1. Manuell DKIM-nyckelrotation

Du kan manuellt rotera dina DKIM-nycklar från tid till annan genom att skapa nya nycklar för din domän. Följ de här stegen för att göra det: 

  • Gå till vår kostnadsfria DKIM-postgenerator verktyg
  • Ange din domäninformation och ange önskad DKIM-väljare 
  • Tryck på knappen "Generera". 
  • Kopiera ditt helt nya par DKIM-nycklar 
  • Den offentliga nyckeln ska publiceras i din DNS och ersätta den tidigare posten.
  • Den privata nyckeln ska antingen delas med din ESP (om du outsourcar din e-post) eller laddas upp på din e-postserver (om du hanterar e-postöverföring på plats). 

2. Delegering av DKIM-nycklar för underdomäner

Domänägare kan lägga ut DKIM-nyckelrotationen på entreprenad genom att låta en tredje part sköta detta åt dem. Detta sker när domänägaren delegerar en dedikerad underdomän till en e-postleverantör och ber dem generera ett DKIM-nyckelpar för deras räkning. Detta gör det möjligt för ägarna att slippa besväret med DKIM-nyckelrotationen genom att lägga ut ansvaret på en tredje part. 

Detta kan dock leda till problem med att åsidosätta principer för DMARC-poster. Det rekommenderas att roterade nycklar övervakas och granskas av domänkontrollanter för att säkerställa en smidig och felfri distribution. 

3. Delegering av DKIM CNAME-nyckeln

CNAME står för canonical name (kanoniskt namn) och är DNS-poster som används för att peka på data i en extern domän. CNAME-delegering gör det möjligt för domänägare att peka på DKIM-information som upprätthålls av en extern tredje part. Detta liknar delegering av underdomäner eftersom domänägaren bara behöver publicera några CNAME-poster i sin DNS, medan DKIM-infrastrukturen och rotationen av DKIM-nycklar sköts av den tredje part som posten pekar på. 

Till exempel, 

"domain.com" är den domän från vilken e-postmeddelanden ska signeras och "third-party.com" är den leverantör som ska hantera signeringsprocessen. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

CNAME-posten ovan måste publiceras i domänägarens DNS. 

Nu har s1.domain.com.third-party.com redan en DKIM-post publicerad i sin DNS som kan användas: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Den här informationen kommer att användas för att signera e-postmeddelanden som kommer från domain.com. 

Obs: Du måste publicera flera DKIM-poster (rekommenderat: minst 3 CNAME-poster) med olika selektorer på din DNS för att möjliggöra DKIM-nyckelrotation. Detta gör det möjligt för din leverantör att växla mellan nycklar under signeringen och ger dem alternativa alternativ.

4. Automatisk rotation av DKIM-nyckeln

De flesta e-postleverantörer och tredjepartsleverantörer av e-posttjänster möjliggör automatisk DKIM-nyckelrotation för kunder. Om du till exempel använder Office 365 för att dirigera din e-post kommer du att bli glad att få veta att Microsoft stöder automatisk DKIM-nyckelrotation för sina Office 365-användare. 

I vår kunskapsbas finns ett fullständigt dokument om hur du aktiverar DKIM-nyckelrotation för din Office 365-mejl. 

Fördelar med att automatiskt rotera dina DKIM-nycklar

  • Du behöver inte göra någonting om din leverantör tillåter automatisk rotation av DKIM-nycklar. Allt hanteras av dem. 
  • Manuella konfigurationer är känsliga för mänskliga fel.
  • Den automatiska nyckelrotationen är snabb och effektiv och kräver ingen inblandning från din sida. 
  • DKIM-hanteringssystemet är helt utlokaliserat och hanteras av en tredje part.

Implementering av en strategi för rotation av DKIM-nycklar

Vi kallar det för "3 D:n av DKIM-nyckelrotation":

  • Diskutera 
  • Bestäm dig för
  • Distribuera 

Detta sammanfattar en effektiv DKIM-nyckelrotationsstrategi för dina domäner. När du använder en tjänst från tredje part för din e-post och leverantören hanterar rotationen åt dig, se till att ni har en öppen och tydlig diskussion om när och hur ofta ni vill rotera era nycklar. Du bör ha inflytande över tidtabellerna och vilken storlek du vill använda för din valnyckel (om du vill använda 1024 bitar eller 2048 bitar för ökad säkerhet). 

När diskussionsfasen är över måste du och din leverantör gemensamt besluta om vilken strategi ni ska ha och slutligen fortsätta att implementera den.