1. Home
  2. Knowledge Base
  3. DKIM

DKIM

DKIM (DomainKeys Identified Mail) Forklaret: Definition og betydning

DKIM, som står for DomainKeys Identified Mail, er en digital løsning til organisationer til at give troværdighed i deres kommunikation med deres medarbejdere, kunder eller partnere. Det opnås ved at tilføje en digital signatur til meddelelseshovedet for at bekræfte, at meddelelsen blev sendt af en legitim kilde og ikke er blevet ændret under transit. Signaturen valideres derefter i DNS (Domain Name System) af den modtagende mailserver. Afsenderen skal føre en registrering med den offentlige nøgle i DNS, som gør det muligt for den modtagende mailserver at bekræfte legitimiteten af meddelelsen ved hjælp af nøglen og levere den problemfrit til modtagerens indbakke. På denne måde bliver processen med e-mailoverførsel pålidelig og sikker. Dermed bliver DKIM en solid beskyttelse mod e-mail-spoofing, phishing og spam.

DKIM-signatur: Hvad det betyder, og hvordan det ser ud

En DKIM-signatur er en kryptografisk streng af tegn, der er knyttet til overskriften på en e-mail-meddelelse. Den genereres ved hjælp af afsenderens private nøgle og verificeres af den modtagende mailserver ved hjælp af afsenderens offentlige nøgle, der er gemt i DNS-posten.

Dens formål er at sikre integriteten af meddelelsen og at verificere, at den ikke er blevet manipuleret under transit. Modtagerens server tjekker signaturen, der indeholder oplysningerne om domænenavnet og andre data og matcher den med den offentlige nøgle. I tilfælde af match viser det sig at være gyldigt, hvilket betyder, at e-mailen ikke er blevet ændret, og at den faktisk blev sendt af det påberåbte domæne.

Hvordan genereres en DKIM-signatur?

Processen med at generere en kryptografisk signatur omfatter flere trin:

  1. For det første opretter afsenderens mailtjeneste en kryptografisk hash af e-mail-indhold, herunder meddelelsestekst, overskrifter og vedhæftede filer.
  2. Derefter krypterer tjenesten hashen ved hjælp af afsenderens private nøgle til at oprette en DKIM-signatur.
  3. Endelig er den vedhæftet e-mail-headeren som et specifikt felt sammen med andre DKIM-relaterede oplysninger.

Hvordan ser en DKIM-signatur ud?

En digital signatur er en lang række af tegn, der typisk er repræsenteret som en række alfanumeriske tegn og specielle symboler. Det vises som et særskilt felt i e-mail-headeren og er omgivet af vinkelparenteser (< >) for at adskille det fra andre overskriftsfelter. Den indeholder forskellige parametre og værdier.

Her er et eksempel på en modelstruktur af signaturen:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

I dette eksempel:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

HVORDAN DET VIRKER

DKIM record: Introduktion, Komponenter og Check

For at anvende DKIM skal organisationer generere og registrere sin registrering i DNS. Det er en TXT-record, der indeholder alle vigtige oplysninger om indstillingerne for et bestemt domæne, inklusive afsenderens offentlige nøgle. Ved hjælp af en DNS record check kan den modtagende mailserver nemt validere ægtheden af de indgående beskeder.

Her er et DKIM-rekordeksempel og opdelingen af komponenterne: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

DKIM-godkendelsesproces

Når en e-mail sendes med DKIM aktiveret, vedhæfter afsendertjenesten en digital signatur til meddelelseshovedet. Signaturen inkluderer krypterede værdier af meddelelsesdele, såsom brødtekst, overskrifter og vedhæftede filer. For at bekræfte DKIM-signaturen kan modtagere udføre en række trin:

  1. Hent afsenderens DKIM-record fra DNS.
  2. Udpak den offentlige nøgle fra posten.
  3. Beregn signaturen ved at hashe de relevante e-mail-komponenter.
  4. Sammenlign den beregnede signatur med den i e-mail-headeren.
  5. Hvis signaturerne stemmer overens, passerer e-mailen DKIM-verifikation.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

Som et resultat af en vellykket signaturverifikation kan modtagere være sikre på ægtheden og integriteten af e-mailen, hvilket mindsker chancerne for phishing-angreb og e-mailfalsk.

Men i tilfælde af bekræftelsesfejl kan de mulige scenarier for en e-mail være som følger:

  • meddelelsen kan markeres som spam, når dens legitimitet ikke kan bekræftes;
  • i karantæne eller blokeret: dette gøres ofte for at beskytte brugere mod potentielle phishing-forsøg eller forfalskede e-mails;
  • omdirigeret til uønsket i stedet for modtagerens indbakke;
  • vis advarsel eller flag: dette advarer modtageren om at udvise forsigtighed og antyder, at meddelelsens ægthed er tvivlsom.

De nøjagtige konsekvenser af bekræftelsesfejl kan variere baseret på de politikker, der er fastsat af en e-mail-tjenesteudbyder og modtagerens individuelle indstillinger. Det er vigtigt at bemærke, at en mislykket DKIM-verifikation kan resultere i et forringet omdømme for afsenderen, reducerede leveringsrater og en større sandsynlighed for, at meddelelsen behandles som mistænkelig eller potentielt skadelig.

Kombination af DKIM, SPF og DMARC for at forbedre e-mailsikkerheden

Brugen af DKIM øger markant chancerne for at undgå potentielle handlinger af ondsindet karakter over e-mails, bidrager til smidig og vellykket kommunikation. For at forbedre e-mail-sikkerheden er der anvendt yderligere to mekanismer til at beskytte onlinekommunikation - SPF (Sender Policy Framework) og DMARC (Domænebaseret meddelelsesgodkendelse, rapportering og overensstemmelse).

For at beskytte sit omdømme og sikre leveringsdygtigheden af sine e-mails kan en organisation levere en SPF-record i DNS med listen over autoriserede domænenavne og IP-adresser. Ved at kontrollere denne post vil modtagerens server bekræfte ægtheden af meddelelseskilden. En SPF-post giver yderligere databeskyttelse ved at bekræfte afsenderens legitimitet.

DMARC er en politik for sådanne godkendelsesmekanismer som nævnt ovenfor, som definerer reglerne for e-mail-identifikation og bestemmer yderligere handlinger på mistænkelige meddelelser med mulige scenarier beskrevet ovenfor.

Samlet set spiller DKIM en afgørende rolle i at sikre troværdigheden, integriteten og sikkerheden af e-mail-kommunikation. Ved at implementere DKIM sammen med SPF og DMARC kan organisationer reducere de risici, der udgøres af ondsindede aktiviteter betydeligt, hvilket forbedrer beskyttelsen af deres e-mail-økosystem.

Frequently asked questions

Andre spørgsmål relateret til DKIM

Hvordan kan jeg generere en DKIM-nøgle?

En nem måde at gøre dette på er at bruge forskellige værktøjer og tjenester, der er tilgængelige online. Disse værktøjer hjælper med at generere kryptografiske nøgler - en privat nøgle oprettet til at signere udgående meddelelser og en offentlig nøgle til signaturbekræftelse af en modtager.

Hvordan forbedrer DKIM-godkendelse e-mailsikkerhed?

Sikkerheden af din online kommunikation opnås ved at give modtagerne et middel til at verificere ægtheden af indgående beskeder. Det hjælper med at forhindre forfalskning af e-mail, phishing-angreb og manipulation og øger derved tilliden og reducerer risikoen for ondsindede aktiviteter.

Hvordan kan jeg bekræfte DKIM-signaturen på en e-mail?

For at verificere den digitale signatur på en e-mail skal du hente afsenderens DKIM-post fra DNS. Udtræk den offentlige nøgle fra den, og beregn signaturen ved hjælp af de relevante meddelelseskomponenter. Sammenlign den beregnede signatur med den i meddelelseshovedet. Hvis signaturerne stemmer overens, er DKIM-signaturen gyldig.

Se også:

Overvej muligheden for at spore den rute, som en besked passerer på vej til en modtager. Dette vil hjælpe dig med at forstå komplekse processer for e-mail-transmission og beskytte dig mod uønsket eller junk-mail. Vores Email Headers Analyzer gør denne manipulation enkel, men informativ. Det gør det muligt at spore og vise listen over servere, der er involveret i transmissionsprocessen med deres IP-adresser og domænenavne, og indsamle så meget yderligere information som muligt.