DomainKeys Identified Mail, czyli DKIM, to standard techniczny, który pomaga chronić nadawców i odbiorców e-maili przed spamem, podszywaniem się i phishingiem. Jest to forma uwierzytelniania e-maili , która pozwala organizacji przyjąć odpowiedzialność za wiadomość w sposób, który może być zweryfikowany przez odbiorcę.

W szczególności wykorzystuje podejście zwane „kryptografią klucza publicznego” do weryfikacji, że wiadomość e-mail została wysłana z autoryzowanego serwera pocztowego, aby wykryć fałszerstwa i zapobiec dostarczaniu szkodliwych wiadomości e-mail, takich jak spam. Uzupełnia SMTP, podstawowy protokół używany do wysyłania e-maili, ponieważ sam w sobie nie zawiera żadnych mechanizmów uwierzytelniania.

Jak to działa?

Działa poprzez dodanie cyfrowego podpisu do nagłówków wiadomości e-mail. Ten podpis można zweryfikować w odniesieniu do publicznego klucza kryptograficznego w systemie DNS organizacji. W ogólnych słowach, proces działa w ten sposób:

Właściciel domeny publikuje kryptograficzny klucz publiczny jako specjalnie sformatowany rekord TXT w ogólnych rekordach DNS domeny.

Kiedy wiadomość pocztowa jest wysyłana przez wychodzący serwer pocztowy, serwer generuje i dołącza unikalny nagłówek podpisu DKIM do wiadomości. Ten nagłówek zawiera dwa kryptograficzne hasze, jeden z określonych nagłówków i jeden z treści wiadomości (lub jej części). Nagłówek zawiera informacje o tym, jak podpis został wygenerowany.

Kiedy przychodzący serwer pocztowy odbiera przychodzącą wiadomość e-mail, wyszukuje publiczny klucz DKIM nadawcy w DNS. Serwer przychodzący używa tego klucza do odszyfrowania podpisu i porównania go ze świeżo obliczoną wersją. Jeśli obie wartości się zgadzają, wiadomość może być uznana za autentyczną i niezmienioną podczas przesyłania.

Co to jest podpis DKIM?

Podpis DKIM to nagłówek dodawany do wiadomości e-mail. Zawiera on wartości umożliwiające serwerowi pocztowemu weryfikację wiadomości e-mail poprzez wyszukanie klucza DKIM nadawcy i użycie go do weryfikacji zaszyfrowanego podpisu. Wygląda to mniej więcej tak:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Nagłówek podpisu DKIM zawiera wiele informacji, ponieważ jest przeznaczony do automatycznego przetwarzania. Jak widać w tym przykładzie, nagłówek zawiera listę części w formacie tag=wartość. Warte uwagi tagi obejmują „d=” dla domeny podpisującej, „b=” dla właściwego cyfrowego podpisu, i „bh=” dla hasza, który może zostać zweryfikowany przez ponowne obliczenie przy użyciu publicznego klucza nadawcy.

Podpisy są z definicji unikalne dla każdej wiadomości, ale te podstawowe elementy będą obecne w każdym nagłówku podpisu DKIM.

W jaki sposób jest powiązany z SPF, DMARC czy innymi standardami?

DKIM, SPF i DMARC to wszystkie standardy, które umożliwiają różne aspekty uwierzytelniania e-maili. Rozwiązują one komplementarne kwestie.

• SPF pozwala nadawcom określić, które adresy IP mogą wysyłać pocztę dla określonej domeny.

• DKIM dostarcza klucz szyfrujący i cyfrowy podpis, który weryfikuje, że wiadomość e-mail nie została sfabrykowana ani zmieniona.

• DMARC łączy mechanizmy uwierzytelniania SPF i DKIM we wspólne ramy i pozwala właścicielom domen zadeklarować, jak chcieliby, aby pocztą z tej domeny była obsługiwali, jeśli nie przejdzie testu autoryzacji.

Czy potrzebuję DKIM?

Jeżeli jesteś firmą wysyłającą e-maile handlowe lub transakcyjne, zdecydowanie musisz wdrożyć jedną lub więcej form uwierzytelniania e-maili w celu weryfikacji, że wiadomość e-mail faktycznie pochodzi od Ciebie lub Twojej firmy. Poprawna konfiguracja standardów uwierzytelniania poczty elektronicznej jest jednym z najważniejszych kroków, jakie można podjąć, aby poprawić dostarczalność. Jednakże sama obecność tego nie jest wystarczająca; SparkPost i inni eksperci ds. e-maili zalecają również wdrożenie SPF i DMARC w celu zdefiniowania kompletnej polityki uwierzytelniania e-maili.