DKIM, což je zkratka pro DomainKeys Identified Mail, je digitální řešení pro organizace, které zajišťuje důvěryhodnost jejich komunikace s jejich zaměstnanci, zákazníky nebo partnery. Toho je dosaženo připojením digitálního podpisu k hlavičce zprávy pro potvrzení, že zpráva byla odeslána legitimním zdrojem a nebyla při přenosu změněna. Podpis je poté ověřen v DNS (Domain Name System) přijímajícím poštovním serverem. Odesílatel by měl vést záznam s veřejným klíčem v DNS, což umožňuje přijímajícímu poštovnímu serveru potvrdit legitimitu zprávy pomocí klíče a bez problémů ji doručit do doručené pošty příjemce. Tímto způsobem se proces přenosu e-mailů stává spolehlivým a bezpečným. DKIM se tak stává solidní ochranou proti e-mailovému spoofingu, phishingu a spamu.
Podpis DKIM je kryptografický řetězec znaků, který je připojen k záhlaví e-mailové zprávy. Je generován pomocí soukromého klíče odesílatele a je ověřen přijímajícím poštovním serverem pomocí veřejného klíče odesílatele uloženého v DNS záznamu.
Jeho účelem je zajistit integritu zprávy a ověřit, že s ní nebylo během přepravy manipulováno. Server příjemce zkontroluje podpis obsahující informace o názvu domény a další data a porovná jej s veřejným klíčem. V případě shody se prokáže jako platný, což znamená, že e-mail nebyl změněn a že byl skutečně odeslán reklamovanou doménou.
Proces generování kryptografického podpisu zahrnuje několik kroků:
Digitální podpis je dlouhý řetězec znaků, který je typicky reprezentován jako série alfanumerických znaků a speciálních symbolů. Zobrazuje se jako samostatné pole v záhlaví e-mailu a je uzavřeno v lomených závorkách (< >), aby se odlišilo od ostatních polí záhlaví. Obsahuje různé parametry a hodnoty.
Zde je vzorová modelová struktura podpisu:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;V tomto příkladu:
JAK TO FUNGUJE
Aby organizace mohla použít DKIM, musí vygenerovat a zaregistrovat svůj záznam v DNS. Jedná se o TXT záznam obsahující všechny důležité informace o nastavení pro konkrétní doménu, včetně veřejného klíče odesílatele. Pomocí kontroly DNS záznamů může přijímající poštovní server snadno ověřit pravost příchozích zpráv.
Zde je příklad záznamu DKIM a rozpis komponent:
example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"Když je e-mail odeslán s povoleným DKIM, odesílající služba připojí k záhlaví zprávy digitální podpis. Podpis obsahuje zašifrované hodnoty částí zprávy, jako je tělo, záhlaví a přílohy. K ověření podpisu DKIM mohou příjemci provést řadu kroků:
V důsledku úspěšného ověření podpisu si mohou být příjemci jisti autenticitou a integritou e-mailu, čímž se snižují šance na phishingové útoky a padělání e-mailů.
V případě selhání ověření však mohou být možné scénáře pro e-mail následující:
Přesné důsledky selhání ověření se mohou lišit v závislosti na zásadách stanovených poskytovatelem e-mailových služeb a na individuálním nastavení příjemce. Je důležité si uvědomit, že neúspěšné ověření DKIM může mít za následek zhoršení reputace odesílatele, sníženou míru doručení a vyšší pravděpodobnost, že bude zpráva považována za podezřelou nebo potenciálně škodlivou.
Použití DKIM výrazně zvyšuje šance vyhnout se potenciálním akcím škodlivého charakteru přes e-maily, přispívá k hladké a úspěšné komunikaci. Pro zvýšení zabezpečení e-mailu se používají další dva mechanismy zajišťující online komunikaci – SPF (Sender Policy Framework) a DMARC (Domain-based Message Authentication, Reporting & Conformance).
K ochraně své pověsti a zajištění doručitelnosti svých e-mailů může organizace poskytnout SPF záznam v DNS se seznamem autorizovaných doménových jmen a IP adres. Zaškrtnutím tohoto záznamu server příjemce ověří pravost zdroje zprávy. SPF záznam poskytuje dodatečnou ochranu dat potvrzením legitimity odesílatele.
DMARC je politika pro takové autentizační mechanismy, jak je uvedeno výše, která definuje pravidla identifikace e-mailů a určuje další akce s podezřelými zprávami s možnými scénáři popsanými výše.
Celkově hraje DKIM zásadní roli při zajišťování důvěryhodnosti, integrity a bezpečnosti e-mailové komunikace. Implementací DKIM spolu s SPF a DMARC mohou organizace výrazně snížit rizika, která představují škodlivé aktivity, a zlepšit tak ochranu svého e-mailového ekosystému.
Frequently asked questions
Snadný způsob, jak toho dosáhnout, je použít různé nástroje a služby dostupné online. Tyto nástroje pomáhají generovat kryptografické klíče – soukromý klíč vytvořený pro podepisování odchozích zpráv a veřejný klíč pro ověření podpisu příjemcem.
Zabezpečení vaší online komunikace je dosaženo tím, že příjemcům poskytnete prostředky k ověření pravosti příchozích zpráv. Pomáhá předcházet padělání e-mailů, phishingovým útokům a manipulaci, čímž zvyšuje důvěru a snižuje riziko škodlivých aktivit.
Chcete-li ověřit digitální podpis e-mailu, musíte načíst záznam DKIM odesílatele z DNS. Extrahujte z něj veřejný klíč a vypočítejte podpis pomocí příslušných komponent zprávy. Porovnejte vypočítaný podpis s podpisem v záhlaví zprávy. Pokud se podpisy shodují, podpis DKIM je platný.
Zvažte možnost sledování trasy, kterou zpráva prochází na své cestě k příjemci. To vám pomůže porozumět složitým procesům přenosu e-mailů a chránit je před nevyžádanou nebo nevyžádanou poštou. Náš E-mail Headers Analyzer dělá tuto manipulaci jednoduchou, ale informativní. Umožňuje sledovat a zobrazovat seznam serverů zapojených do procesu přenosu s jejich IP adresami a názvy domén a shromažďovat co nejvíce dalších informací.