DomainKeys Identified Mail, lub DKIM, to standard techniczny, który pomaga chronić nadawców oraz odbiorców e-maili przed spamem, spoofingiem i phishingiem. Jest to forma uwierzytelniania e-mail, która pozwala organizacji na zgłoszenie odpowiedzialności za wiadomość w sposób, który może być zweryfikowany przez odbiorcę.

Konkretnie, używa podejścia zwanego „kryptografią klucza publicznego” do weryfikacji, że wiadomość e-mail została wysłana z autoryzowanego serwera poczty, w celu wykrycia fałszerstw i zapobieżenia dostarczaniu szkodliwych wiadomości, takich jak spam. Uzupełnia SMTP, podstawowy protokół używany do wysyłania e-maili, ponieważ sam w sobie nie zawiera żadnych mechanizmów uwierzytelniania.

Jak to działa?

Działa poprzez dodanie cyfrowego podpisu do nagłówków wiadomości e-mail. Ten podpis można zweryfikować w porównaniu z publicznym kluczem kryptograficznym w rekordach Domain Name System (DNS) organizacji. Ogólnie rzecz biorąc, proces działa w następujący sposób:

Właściciel domeny publikuje publiczny klucz kryptograficzny jako specjalnie sformatowany rekord TXT w ogólnych rekordach DNS domeny.

Kiedy wiadomość pocztowa jest wysyłana przez wychodzący serwer poczty, serwer generuje i dodaje unikalny nagłówek podpisu DKIM do wiadomości. Ten nagłówek zawiera dwa kryptograficzne hasze, jeden z określonych nagłówków i jeden z treści wiadomości (lub jej części). Nagłówek zawiera informacje o tym, jak podpis został wygenerowany.

Kiedy przychodzący serwer pocztowy otrzymuje e-mail, sprawdza publiczny klucz DKIM nadawcy w DNS. Serwer przychodzący używa tego klucza do odszyfrowania podpisu i porównania go z świeżo obliczoną wersją. Jeśli obie wartości się zgadzają, można udowodnić, że wiadomość jest autentyczna i niezmieniona w czasie przesyłania.

Co to jest podpis DKIM?

Podpis DKIM to nagłówek dodany do wiadomości e-mail. Nagłówek zawiera wartości, które pozwalają odbierającemu serwerowi pocztowemu zweryfikować wiadomość e-mail, sprawdzając klucz DKIM nadawcy i używając go do weryfikacji zaszyfrowanego podpisu. Wygląda to mniej więcej tak:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Nagłówek podpisu DKIM zawiera dużo informacji, gdyż jest przeznaczony do automatycznego przetwarzania. Jak widać w tym przykładzie, nagłówek zawiera listę części tag=watość. Notowalne tagi obejmują „d=” dla domeny podpisującej, „b=” dla rzeczywistego podpisu cyfrowego oraz „bh=” dla hasza, który może być zweryfikowany przez ponowne obliczenie przy użyciu publicznego klucza nadawcy.

Podpisy są z definicji unikalne dla każdej wiadomości, ale te podstawowe elementy będą obecne w każdym nagłówku podpisu DKIM.

Jak to się ma do SPF, DMARC lub innych standardów?

DKIM, SPF, i DMARC to standardy umożliwiające różne aspekty uwierzytelniania e-maili. Zajmują się komplementarnymi kwestiami.

• SPF pozwala nadawcom określić, które adresy IP są dozwolone do wysyłania poczty dla określonej domeny.

• DKIM dostarcza klucz szyfrujący i cyfrowy podpis, który weryfikuje, że wiadomość e-mail nie została sfałszowana ani zmieniona.

• DMARC łączy mechanizmy uwierzytelniania SPF i DKIM w jeden wspólny framework i pozwala właścicielom domen zadeklarować, jak chcieliby, aby e-maile z tej domeny były traktowane, jeśli nie przejdą testu autoryzacyjnego.

Czy potrzebuję DKIM?

Jeśli prowadzisz działalność wysyłającą e-maile komercyjne lub transakcyjne, zdecydowanie musisz wdrożyć jedną lub więcej form uwierzytelniania e-mail aby zweryfikować, że e-mail pochodzi faktycznie od Ciebie lub Twojej firmy. Odpowiednie skonfigurowanie standardów uwierzytelnienia e-maili jest jednym z najważniejszych kroków, które możesz wykonać, aby poprawić swoją dostarczalność. Jednak samo w sobie idzie to tylko do pewnego stopnia; SparkPost i inni eksperci od e-maili zalecają również implementację SPF i DMARC w celu określenia bardziej kompletnej polityki uwierzytelniania e-mail.