DomainKeys Identified Mail, czyli DKIM, to standard techniczny, który pomaga chronić nadawców i odbiorców e-maili przed spamem, fałszerstwem i phishingiem.  Jest to forma uwierzytelniania e-maili , która pozwala organizacji na przyjęcie odpowiedzialności za wiadomość w sposób, który może być zweryfikowany przez odbiorcę.

Specyficznie, używa podejścia zwanego "kryptografią klucza publicznego", aby zweryfikować, że wiadomość e-mail została wysłana z autoryzowanego serwera pocztowego, w celu wykrycia fałszerstw i zapobiegania dostarczaniu szkodliwych e-maili, takich jak spam. Uzupełnia SMTP, podstawowy protokół używany do wysyłania e-maili, ponieważ sam w sobie nie zawiera żadnych mechanizmów uwierzytelniania.

Jak to działa?

Działa poprzez dodawanie podpisu cyfrowego do nagłówków wiadomości e-mail.  Ten podpis może być weryfikowany w odniesieniu do publicznego klucza kryptograficznego w rekordach systemu nazw domen (DNS) organizacji. Ogólnie rzecz biorąc, proces wygląda następująco:

Właściciel domeny publikuje publiczny klucz kryptograficzny jako rekord TXT w specjalnym formacie w ogólnych rekordach DNS danej domeny.

Kiedy wiadomość e-mail jest wysyłana przez serwer pocztowy wychodzący, serwer generuje i dołącza unikalny nagłówek podpisu DKIM do wiadomości.  Ten nagłówek zawiera dwa skróty kryptograficzne, jeden z określonych nagłówków i jeden z treści wiadomości (lub części z niej). Nagłówek zawiera informacje o tym, jak podpis został wygenerowany.

Kiedy serwer pocztowy przychodzący otrzymuje nadchodzący e-mail, podgląda publiczny klucz DKIM nadawcy w DNS. Serwer przychodzący używa tego klucza do odszyfrowania podpisu i porównuje go z świeżo obliczoną wersją. Jeśli dwa wartości są zgodne, wiadomość może być uznana za autentyczną i niezmienioną w trakcie przesyłania.

Co to jest podpis DKIM?

Podpis DKIM to nagłówek dodawany do wiadomości e-mail. Nagłówek zawiera wartości, które pozwalają odbierającemu serwerowi poczty zweryfikować wiadomość e-mail poprzez odszukanie klucza DKIM nadawcy i użycie go do weryfikacji zaszyfrowanego podpisu. Wygląda to mniej więcej tak:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Nagłówek podpisu DKIM zawiera wiele informacji, ponieważ jest przeznaczony do automatyzacji przetwarzania. Jak można zobaczyć w tym przykładzie, nagłówek zawiera listę części tagów=wartość. Ważne tagi to "d=" dla domeny podpisującej, "b=" dla rzeczywistego cyfrowego podpisu i "bh=" dla skrótu, który można zweryfikować poprzez przeliczenie przy użyciu publicznego klucza nadawcy.

Podpisy są z definicji unikalne dla każdej wiadomości, ale te podstawowe elementy będą obecne w każdym nagłówku podpisu DKIM.

Jak ma to związek z SPF, DMARC lub innymi standardami?

DKIM, SPF i DMARC to wszystkie standardy, które umożliwiają różne aspekty uwierzytelniania e-maili. Dotyczą one problemów komplementarnych.

• SPF pozwala nadawcom zdefiniować, które adresy IP mogą wysyłać pocztę dla danej domeny.

• DKIM zapewnia klucz szyfrowania i cyfrowy podpis, który weryfikuje, że wiadomość e-mail nie została sfałszowana ani zmieniona.

• DMARC integruje mechanizmy uwierzytelniania SPF i DKIM w wspólną strukturę i pozwala właścicielom domen zadeklarować, jak chcieliby, aby e-maile z tej domeny były traktowane, jeśli nie przejdą testu autoryzacji.

Czy potrzebuję DKIM?

Jeśli jesteś firmą wysyłającą e-maile komercyjne lub transakcyjne, zdecydowanie musisz wdrożyć jedną lub więcej form uwierzytelniania e-maili w celu zweryfikowania, że e-mail naprawdę pochodzi od Ciebie lub Twojej firmy. Poprawna konfiguracja standardów uwierzytelniania e-maili to jeden z najważniejszych kroków, jakie możesz podjąć, aby poprawić swoją dostarczalność. Jednak sama w sobie ma swoje ograniczenia; SparkPost i inni eksperci od e-maili zalecają także wdrażanie SPF i DMARC w celu zdefiniowania bardziej kompletnej polityki uwierzytelniania e-maili.