1. Home
  2. Knowledge Base
  3. DKIM

DKIM

Обяснение на DKIM (домейн ключове, идентифицирани поща): определение и значение

DKIM, което означава DomainKeys Identified Mail, е дигитално решение за организации, за да осигурят надеждност на своите комуникации с членове на персонала, клиенти или партньори. Това се постига чрез добавяне на цифров подпис към заглавката на съобщението, за да се потвърди, че съобщението е изпратено от легитимен източник и не е било променено при пренасяне. След това подписът се валидира в DNS (система за имена на домейни) от получаващия пощенски сървър. Подателят трябва да поддържа запис с публичния ключ в DNS, което позволява на получаващия пощенски сървър да потвърди легитимността на съобщението с помощта на ключа и да го достави безпроблемно до входящата кутия на получателя. По този начин процесът на транзит на имейл става надежден и сигурен. Така DKIM се превръща в солидна защита срещу имейл спуфинг, фишинг и спам.

Подпис DKIM: какво означава и как изглежда

DKIM подписът е криптографски низ от знаци, който е прикачен към заглавката на имейл съобщение. Той се генерира с помощта на частния ключ на изпращача и се проверява от получаващия пощенски сървър с помощта на публичния ключ на подателя, съхранен в DNS записа.

Неговата цел е да гарантира целостта на съобщението и да провери дали то не е било манипулирано по време на транзит. Сървърът на получателя проверява подписа, съдържащ информацията за името на домейна и други данни, и го съпоставя с публичния ключ. В случай на съвпадение, то се оказва валидно, което означава, че имейлът не е бил променен и че наистина е бил изпратен от заявения домейн.

Как се генерира DKIM подпис?

Процесът на генериране на криптографски подпис включва няколко стъпки:

  1. Първо, пощенската услуга на подателя създава криптографски хеш на съдържанието на имейла, включително тялото на съобщението, заглавките и прикачените файлове.
  2. След това услугата криптира хеша, като използва личния ключ на подателя, за да създаде DKIM подпис.
  3. И накрая, той се прикачва към заглавката на имейла като конкретно поле, заедно с друга информация, свързана с DKIM.

Как изглежда един DKIM подпис?

Цифровият подпис е дълъг низ от знаци, който обикновено се представя като поредица от буквено-цифрови знаци и специални символи. Показва се като отделно поле в заглавката на имейла и е затворено в ъглови скоби (< >), за да се разграничи от другите полета на заглавката. Той съдържа различни параметри и стойности.

Ето примерна моделна структура на подписа:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

В този пример:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

КАК РАБОТИ

DKIM запис: Въведение, компоненти и проверка

За да приложат DKIM, организациите трябва да генерират и регистрират своя запис в DNS. Това е TXT запис, съдържащ изключително важна информация за настройките за определен домейн, включително публичния ключ на подателя. Чрез проверка на DNS запис, получаващият пощенски сървър може лесно да потвърди автентичността на входящите съобщения.

Ето пример за DKIM запис и разбивка на компонентите: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

Процес на удостоверяване на DKIM

Когато се изпрати имейл с активиран DKIM, услугата за изпращане прикачва цифров подпис към заглавката на съобщението. Подписът включва криптирани стойности на частите на съобщението, като тяло, заглавки и прикачени файлове. За да проверят DKIM подписа, получателите могат да изпълнят поредица от стъпки:

  1. Извлечете DKIM записа на подателя от DNS.
  2. Извлечете публичния ключ от записа.
  3. Изчислете подписа чрез хеширане на съответните имейл компоненти.
  4. Сравнете изчисления подпис с този в заглавката на имейла.
  5. Ако подписите съвпадат, имейлът преминава DKIM проверка.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

В резултат на успешна проверка на подписа, получателите могат да бъдат сигурни в автентичността и целостта на имейла, намалявайки шансовете за фишинг атаки и фалшифициране на имейл.

Въпреки това, в случай на неуспешна проверка, възможните сценарии за имейл могат да бъдат както следва:

  • съобщението може да бъде маркирано като спам, когато легитимността му не може да бъде потвърдена;
  • поставени под карантина или блокирани: това често се прави, за да се предпазят потребителите от потенциални опити за фишинг или фалшиви имейли;
  • пренасочен към нежелана поща вместо входящата кутия на получателя;
  • показване на предупреждение или флаг: това предупреждава получателя да бъде внимателен и предполага, че автентичността на съобщението е съмнителна.

Точните последствия от неуспешна проверка могат да варират в зависимост от политиките, установени от доставчик на имейл услуги и индивидуалните настройки на получателя. Важно е да се отбележи, че неуспешната проверка на DKIM може да доведе до влошаване на репутацията на подателя, намалени нива на доставка и по-голяма вероятност съобщението да бъде третирано като подозрително или потенциално вредно.

Комбинация от DKIM, SPF и DMARC за подобряване на сигурността на имейла

Използването на DKIM значително увеличава шансовете за избягване на потенциални действия от злонамерен характер върху имейли, допринася за гладка и успешна комуникация. За подобряване на сигурността на имейлите има още два механизма, прилагани за защита на онлайн комуникацията - SPF (Sender Policy Framework) и DMARC (Domain-based Message Authentication, Reporting & Conformance).

За да защити своята репутация и да осигури доставката на своите имейли, организацията може да предостави SPF запис в DNS със списъка с оторизирани имена на домейни и IP адреси. Чрез проверка на този запис сървърът на получателя ще провери автентичността на източника на съобщението. SPF запис осигурява допълнителна защита на данните, като потвърждава легитимността на подателя.

DMARC е политика за такива механизми за удостоверяване, както е споменато по-горе, която дефинира правилата за идентифициране на имейли и определя по-нататъшни действия при подозрителни съобщения с възможни сценарии, описани по-горе.

Като цяло DKIM играе жизненоважна роля за гарантиране на надеждността, целостта и сигурността на имейл комуникациите. Чрез внедряване на DKIM заедно със SPF и DMARC, организациите могат значително да намалят рисковете, породени от злонамерени дейности, като подобрят защитата на своята имейл екосистема.

Frequently asked questions

Други въпроси, свързани с DKIM

Как мога да генерирам DKIM ключ?

Лесен начин да направите това е да използвате различни инструменти и услуги, достъпни онлайн. Тези инструменти помагат за генериране на криптографски ключове — частен ключ, създаден за подписване на изходящи съобщения, и публичен ключ за проверка на подписа от получателя.

Как DKIM удостоверяването подобрява сигурността на имейлите?

Сигурността на вашата онлайн комуникация се постига чрез предоставяне на получателите на средство за проверка на автентичността на входящите съобщения. Той помага за предотвратяване на фалшифициране на имейли, фишинг атаки и подправяне, като по този начин повишава доверието и намалява риска от злонамерени дейности.

Как мога да проверя DKIM подписа на имейл?

За да проверите цифровия подпис на имейл, трябва да извлечете DKIM записа на подателя от DNS. Извлечете публичния ключ от него и изчислете подписа, като използвате съответните компоненти на съобщението. Сравнете изчисления подпис с този в заглавката на съобщението. Ако подписите съвпадат, DKIM подписът е валиден.

Вижте също:

Обмислете възможността за проследяване на маршрута, през който преминава едно съобщение по пътя си към получателя. Това ще ви помогне да разберете сложните процеси на предаване на имейл и да се предпазите от нежелана или нежелана поща. Нашият анализатор на заглавки на имейл прави тази манипулация проста, но информативна. Тя позволява да се проследи и покаже списъкът на сървърите, участващи в процеса на предаване, с техните IP адреси и имена на домейни и да се събере възможно най-много допълнителна информация.