DKIM密钥轮换的解释
作者:
阅读时间 5 分钟
DKIM 密钥轮换是更新 DKIM 密钥的过程。您应该定期轮换您的 DKIM 密钥--具体时间并不重要,重要的是轮换过程本身。为什么要这样做?密钥轮换是指创建新密钥并用这些新密钥更新 DNS 记录。轮换 DKIM 密钥的目的与您定期更改密码的原因类似:这是一种安全措施,有助于防止攻击者冒充您的域名发送垃圾邮件或网络钓鱼邮件。
让我们来看看为什么你首先要使用DKIM密钥。
主要收获
- DKIM 通过加密标识符验证电子邮件的真实性,防止篡改。
- 定期轮换 DKIM 密钥可防止攻击者利用窃取的密钥进行欺诈。
- DKIM 密钥可以手动轮换、委托第三方轮换或由电子邮件提供商自动轮换。
- 不轮换密钥会增加网络钓鱼和垃圾邮件的风险。
- 好的策略包括讨论时间表、决定密钥大小和部署轮换流程。
为什么要使用DKIM密钥?
DKIMDKIM是DomainKeys Identified Mail的缩写。它是一种为你的电子邮件服务器添加额外安全层的方法,这样你的电子邮件就不会被标记为垃圾邮件并最终进入垃圾邮件文件夹。思考DKIM的最佳方式是将一个加密的标识符附在你的邮件上,这样收件人就可以验证该邮件确实是由你发出的,也就是它声称来自的那个人。这个标识符,或钥匙,是让他们验证的东西。
DKIM是如何工作的?
DKIM的工作原理是在每封正在发送的电子邮件中添加这个标识符。当有人收到这些邮件时,他们可以检查邮件的页眉或页脚,发现一串数字和字母,这就是加密的标识符或DKIM密钥。在电子邮件被发送到其收件人之前,发件人的电子邮件服务器用数字签名签署每封电子邮件,然后由接收电子邮件的服务器进行验证。这个过程证明了电子邮件没有被篡改或以任何方式改变。
当你发送你的电子邮件时,签名是作为一个头附在邮件的最后。收件人服务器使用公钥(由域名所有者通过DNS记录提供)来解密和验证这些签名。
为什么旋转 DKIM 密钥对您的域名安全很重要?
轮换 DKIM 密钥是指开始使用新的一对私钥/公钥来签署和验证信息,然后停止使用旧的一对私钥/公钥。
为什么这很重要?因为,如果有人获得了您的私人密钥,他们实际上就可以用它来发送看似来自您的欺诈性电子邮件!为了防止这种恶意活动,最好的做法是每隔几个月轮换一次 DKIM 密钥。
为了更好地理解DKIM密钥旋转的重要性,让我们看看这个例子。
比方说,你为你的商店的假日促销活动发送了一封电子邮件。你使用你的DKIM密钥来签署你的电子邮件,但如果你长期使用相同的密钥对发送足够多的电子邮件,坏的行为者最终可能会拦截并解码其中的一个,因为每个消息都使用相同的加密哈希算法。一旦他们得到了你的公钥,他们就可以开始用它来签署他们的钓鱼邮件,而你甚至不知道这就是为什么定期轮换DKIM密钥对你的域名安全至关重要。
使用 PowerDMARC 简化 DKIM!
你如何轮换你的DKIM密钥?
1.手动旋转DKIM密钥
你可以通过为你的域名创建新的密钥,不时地手动旋转你的DKIM密钥。要做到这一点,请遵循以下步骤。
- 请到我们的免费 DKIM记录生成器工具
- 输入您的域名信息,然后输入所需的DKIM 选择器
- 点击 "生成 "按钮
- 复制你全新的一对DKIM密钥
- 公钥将被公布在你的DNS上,取代你以前的记录。
- 私钥要与你的ESP共享(如果你是外包的电子邮件)或上载到你的电子邮件服务器上(如果你在内部处理电子邮件传输)。
2.子域DKIM密钥授权
域名所有者可以通过让第三方为他们处理DKIM密钥旋转而将其外包。这是指域名所有者将一个专门的子域委托给一个电子邮件供应商,并要求他们代表他们生成一个DKIM密钥对。这使得域名所有者可以通过将责任外包给第三方来规避DKIM密钥旋转的麻烦。
但是,这可能会导致 DMARC 条目的策略覆盖问题。建议由域控制器监控和审查已轮换的密钥,以确保顺利无误地部署。
3.DKIM CNAME密钥授权
CNAME是canonical name的缩写,是用于指向外部域数据的DNS记录。CNAME委托允许域名所有者指向由任何外部第三方维护的DKIM记录信息。这类似于子域委托,因为域名所有者只需要在他们的DNS上发布一些CNAME记录,而DKIM基础设施和DKIM密钥旋转则由记录所指向的第三方处理。
比如说。
"domain.com "是要签名的原发电子邮件的域名,"third-party.com "是将处理签名过程的供应商。
s1._domainkey.domain.com CNAME s1.domain.com.third-party.com
上述CNAME 记录需要在域名所有者的 DNS 中发布。
现在,s1.domain.com.third-party.com已经在其DNS上发布了一条DKIM记录,可以是。 s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."
这些信息将被用来签署来自domain.com的电子邮件。
注释: 您需要发布 多个 DKIM 记录(建议:至少 3 条 CNAME 记录),并在 DNS 上发布不同的选择器,以启用 DKIM 密钥轮换。这将允许供应商在签名时切换密钥,并为他们提供其他选择。
4.自动轮换DKIM密钥
大多数电子邮件供应商和第三方电子邮件服务提供商都为客户实现了DKIM密钥的自动旋转。例如,如果你使用Office 365来路由你的电子邮件,你会很高兴地知道,微软支持为他们的Office 365用户自动旋转DKIM密钥。
我们在知识库中提供了关于如何为 Office 365 电子邮件启用 DKIM 密钥轮换的完整文档。
自动轮换你的DKIM密钥的好处
- 如果你的供应商允许DKIM密钥的自动轮换,你不需要做任何事情。一切都是由他们管理的。
- 手动配置容易出现人为错误。
- 自动旋转钥匙是快速而有效的,不需要你的干扰。
- DKIM管理系统是完全外包的,由第三方处理。
部署DKIM密钥轮换策略
我们称其为"DKIM密钥旋转的3个D":
- 讨论
- 决定
- 部署
这就是为你的域名制定的有效的DKIM密钥轮换策略的总结。当你为你的电子邮件使用任何第三方服务,并且你的供应商为你处理轮换时,确保你有一个公开和透明的讨论,说明你想何时和多长时间轮换一次你的密钥。你应该对时间表以及你想用于选择密钥的大小有发言权(无论你想使用1024位还是2048位以获得更多的安全)。
一旦讨论阶段过去,你和你的供应商必须共同决定你的战略是什么,并最终进行部署。
域名和电子邮件安全专家PowerDMARC
Yunes 是 PowerDMARC 的运营团队负责人,拥有电子邮件验证和安全方面的专业知识。Yunes 是微软认证的 Azure 管理员助理,并获得了 CompTIA A+ 等认证。
Yunes Tarada 的最新帖子(查看全部)
- 电子邮件加盐攻击:隐藏文本如何绕过安全性- 2025 年 2 月 26 日
- SPF 扁平化:它是什么,为什么需要它?- 2025 年 2 月 26 日
- DMARC 与 DKIM:主要区别及如何协同工作- 2025 年 2 月 16 日
