DomainKeys Identified Mail, lub DKIM, to standard techniczny, który pomaga chronić nadawców i odbiorców e-maili przed spamem, podszywaniem się i phishingiem.  Jest to forma uwierzytelniania e-maili , która pozwala organizacji na zażądanie odpowiedzialności za wiadomość w sposób, który może zostać potwierdzony przez odbiorcę.

W szczególności używa podejścia zwanego „kryptografią kluczy publicznych” do weryfikacji, że wiadomość e-mail została wysłana z autoryzowanego serwera pocztowego w celu wykrywania fałszerstw i zapobiegania dostarczaniu szkodliwych wiadomości e-mail, takich jak spam. Jest to uzupełnienie SMTP, podstawowego protokołu stosowanego do wysyłania e-maili, ponieważ samo w sobie nie zawiera żadnych mechanizmów uwierzytelniania.

Jak to działa?

Działa to poprzez dodanie cyfrowego podpisu do nagłówków wiadomości e-mail. Ten podpis można zweryfikować względem publicznego klucza kryptograficznego w rekordach DNS organizacji. Ogólnie rzecz biorąc, proces działa w ten sposób:

Właściciel domeny publikuje kryptograficzny klucz publiczny jako specjalnie formatowany rekord TXT w ogólnych rekordach DNS domeny.

Kiedy wiadomość pocztowa jest wysyłana przez zewnętrzny serwer pocztowy, serwer generuje i dołącza unikalny nagłówek podpisu DKIM do wiadomości. Ten nagłówek zawiera dwa kryptograficzne hasze, jeden z określonych nagłówków i jeden z treści wiadomości (lub jej części). Nagłówek zawiera informacje o tym, jak wygenerowano podpis.

Kiedy wewnętrzny serwer pocztowy odbiera przychodzący e-mail, wyszukuje publiczny klucz DKIM nadawcy w DNS. Serwer wewnętrzny używa tego klucza do odszyfrowania podpisu i porównania go z nowo obliczoną wersją. Jeśli dwie wartości się zgadzają, można udowodnić, że wiadomość jest autentyczna i niezmieniona w transporcie.

Czym jest podpis DKIM?

Podpis DKIM jest nagłówkiem dodawanym do wiadomości e-mail. Nagłówek zawiera wartości, które pozwalają serwerowi pocztowemu odbierającemu zweryfikować wiadomość e-mail, szukając klucza DKIM nadawcy i używając go do weryfikacji zaszyfrowanego podpisu. Wygląda to tak:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Nagłówek podpisu DKIM zawiera wiele informacji, ponieważ jest przeznaczony do automatycznego przetwarzania. Jak można zauważyć w tym przykładzie, nagłówek zawiera listę części tag=wartość. Znaczące tagi obejmują „d=” dla domeny podpisującej, „b=” dla rzeczywistego podpisu cyfrowego i „bh=” dla hasha, który można zweryfikować poprzez ponowne obliczenie przy użyciu publicznego klucza nadawcy.

Podpisy z definicji są unikalne dla poszczególnych wiadomości, ale te podstawowe elementy będą obecne w każdym nagłówku podpisu DKIM.

Jak jest to związane z SPF, DMARC, czy innymi standardami?

DKIM, SPF, i DMARC to standardy, które umożliwiają różne aspekty uwierzytelniania e-maili. Rozwiązują komplementarne kwestie.

• SPF pozwala nadawcom zdefiniować, które adresy IP są dozwolone do wysyłania poczty dla określonej domeny.

• DKIM zapewnia klucz szyfrowania i podpis cyfrowy, które weryfikują, że wiadomość e-mail nie została sfałszowana ani zmieniona.

• DMARC łączy mechanizmy uwierzytelniania SPF i DKIM we wspólne ramy i pozwala właścicielom domeny deklarować, jak chcieliby, aby e-mail z tej domeny był obsługiwany, jeśli nie przejdzie testu autoryzacji.

Czy potrzebuję DKIM?

Jeśli prowadzisz działalność gospodarczą wysyłającą e-maile komercyjne lub transakcyjne, zdecydowanie potrzebujesz zaimplementować jedną lub więcej form uwierzytelniania e-maili aby potwierdzić, że e-mail rzeczywiście pochodzi od Ciebie lub Twojej firmy. Prawidłowe skonfigurowanie standardów uwierzytelniania e-maili jest jednym z najważniejszych kroków, jakie możesz podjąć, aby poprawić swoją dostarczalność. Jednak samo w sobie idzie to tylko tak daleko; SparkPost i inni eksperci e-mail zalecają także wdrożenie SPF i DMARC, aby zdefiniować bardziej kompletną politykę uwierzytelniania e-maili.