DomainKeys Identified Mail, lub DKIM, to standard techniczny, który pomaga chronić nadawców i odbiorców e-maili przed spamem, podszywaniem się i phishingiem.  Jest to forma uwierzytelniania e-maili która pozwala organizacji zadeklarować odpowiedzialność za wiadomość w sposób, który może być zweryfikowany przez odbiorcę.

Konkretne, korzysta z podejścia zwanego „kryptografią klucza publicznego”, aby zweryfikować, że wiadomość e-mail została wysłana z autoryzowanego serwera pocztowego, w celu wykrycia fałszerstwa i zapobieżenia dostarczaniu szkodliwych wiadomości, takich jak spam. Uzupełnia SMTP, podstawowy protokół używany do wysyłania e-maili, ponieważ nie zawiera sam mechanizmów uwierzytelniania.

Jak to działa?

Działa poprzez dodanie cyfrowego podpisu do nagłówków wiadomości e-mail. Ten podpis może być zweryfikowany względem publicznego klucza kryptograficznego w Systemie Nazw Domen (DNS) organizacji. W ogólnych warunkach proces działa w następujący sposób:

Właściciel domeny publikuje kryptograficzny klucz publiczny jako specjalnie sformatowany rekord TXT w ogólnych rekordach DNS domeny.

Kiedy wiadomość e-mail jest wysyłana przez wychodzący serwer pocztowy, serwer generuje i dołącza unikalny nagłówek podpisu DKIM do wiadomości. Ten nagłówek zawiera dwa kryptograficzne skróty, jeden z określonych nagłówków i jeden z ciała wiadomości (lub jego części). Nagłówek zawiera informacje o tym, jak podpis został wygenerowany.

Gdy przychodzący serwer pocztowy odbiera nadchodzący e-mail, sprawdza publiczny klucz DKIM nadawcy w DNS. Serwer przychodzący używa tego klucza do odszyfrowania podpisu i porównania go z nowo obliczoną wersją. Jeśli dwie wartości się zgadzają, wiadomość można uznać za autentyczną i niezmienioną w trakcie przesyłu.

Co to jest podpis DKIM?

Podpis DKIM to nagłówek dodawany do wiadomości e-mail. Nagłówek zawiera wartości, które pozwalają odbierającemu serwerowi poczty zweryfikować wiadomość e-mail, sprawdzając klucz DKIM nadawcy i używając go do zweryfikowania zaszyfrowanego podpisu. Wygląda to mniej więcej tak:

DKIM-Signature: v=1; 
  a=rsa-sha256; 
  c=relaxed/relaxed; 
  d=sparkpost.com; 
  s=google; 
  h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; 
  bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; 
  b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Nagłówek podpisu DKIM zawiera dużo informacji, ponieważ jest przeznaczony do zautomatyzowanego przetwarzania. Jak można zauważyć w tym przykładzie, nagłówek zawiera listę części tag=wartość. Znaczące tagi obejmują „d=” dla domeny podpisującej, „b=” dla rzeczywistego podpisu cyfrowego i „bh=” dla skrótu, który można zweryfikować przez ponowne obliczenie za pomocą klucza publicznego nadawcy.

Podpisy z definicji są unikalne dla każdej wiadomości, ale te podstawowe elementy będą obecne w każdym nagłówku podpisu DKIM.

Jak się to ma do SPF, DMARC lub innych standardów?

DKIM, SPF i DMARC to standardy umożliwiające różne aspekty uwierzytelniania e-maili. Obejmują one uzupełniające się kwestie.

• SPF pozwala nadawcom zdefiniować, które adresy IP mogą wysyłać pocztę dla określonej domeny.

• DKIM zapewnia klucz szyfrujący i podpis cyfrowy, które weryfikują, że wiadomość e-mail nie została sfałszowana lub zmieniona.

• DMARC unifikuje mechanizmy uwierzytelniania SPF i DKIM w ramach wspólnego systemu i pozwala właścicielom domen określić, jak chcieliby, aby traktowano e-maile z tej domeny w przypadku niepowodzenia testu autoryzacyjnego.

Czy potrzebuję DKIM?

Jeśli jesteś firmą wysyłającą komercyjne lub transakcyjne e-maile, zdecydowanie powinieneś wdrożyć jedną lub więcej form uwierzytelniania e-maili aby zweryfikować, że wiadomość e-mail faktycznie pochodzi od Ciebie lub Twojej firmy. Prawidłowa konfiguracja standardów uwierzytelniania e-maili jest jednym z najważniejszych kroków, jakie możesz podjąć, aby poprawić swoją dostarczalność. Jednakże samoistnie zapewnia tylko pewien zakres; SparkPost i inni eksperci ds. poczty e-mail zalecają również wdrożenie SPF i DMARC w celu określenia bardziej kompletnej polityki uwierzytelniania e-maili.