1. Home
  2. Knowledge Base
  3. DKIM

DKIM

Wyjaśnienie DKIM (poczta identyfikowana przez DomainKeys): definicja i znaczenie

DKIM, czyli DomainKeys Identified Mail, to cyfrowe rozwiązanie dla organizacji, które pozwala zapewnić wiarygodność komunikacji z pracownikami, klientami lub partnerami. Osiąga się to poprzez dołączenie podpisu cyfrowego do nagłówka wiadomości w celu potwierdzenia, że wiadomość została wysłana przez legalne źródło i nie została zmieniona podczas przesyłania. Podpis jest następnie sprawdzany w systemie DNS (Domain Name System) przez odbierający serwer pocztowy. Nadawca powinien prowadzić zapis z kluczem publicznym w systemie DNS, co umożliwi serwerowi poczty odbierającej potwierdzenie za pomocą klucza autentyczności wiadomości i bezproblemowe dostarczenie jej do skrzynki odbiorczej odbiorcy. W ten sposób proces przesyłania wiadomości e-mail staje się niezawodny i bezpieczny. W ten sposób DKIM staje się solidną ochroną przed fałszowaniem wiadomości e-mail, phishingiem i spamem.

Podpis DKIM: co to znaczy i jak wygląda

Podpis DKIM to kryptograficzny ciąg znaków dołączany do nagłówka wiadomości e-mail. Jest generowany przy użyciu klucza prywatnego nadawcy i weryfikowany przez odbierający serwer pocztowy przy użyciu klucza publicznego nadawcy przechowywanego w rekordzie DNS.

Jego celem jest zapewnienie integralności wiadomości i sprawdzenie, czy nie została ona naruszona podczas transportu. Serwer odbiorcy sprawdza podpis zawierający informacje o nazwie domeny oraz inne dane i dopasowuje go do klucza publicznego. W przypadku dopasowania okazuje się, że jest on ważny, co oznacza, że adres e-mail nie został zmieniony i rzeczywiście został wysłany przez zastrzeżoną domenę.

Jak generowany jest podpis DKIM?

Proces generowania podpisu kryptograficznego składa się z kilku kroków:

  1. Najpierw usługa pocztowa nadawcy tworzy kryptograficzny skrót zawartości wiadomości e-mail, w tym treść wiadomości, nagłówki i załączniki.
  2. Następnie usługa szyfruje skrót za pomocą klucza prywatnego nadawcy w celu utworzenia podpisu DKIM.
  3. Na koniec jest on dołączany do nagłówka wiadomości e-mail jako osobne pole wraz z innymi informacjami związanymi z DKIM.

Jak wygląda podpis DKIM?

Podpis cyfrowy to długi ciąg znaków, który jest zwykle reprezentowany jako ciąg znaków alfanumerycznych i symboli specjalnych. Pojawia się jako odrębne pole w nagłówku wiadomości e-mail i jest ujęte w nawiasy ostrokątne (< >), aby odróżnić je od innych pól nagłówka. Zawiera różne parametry i wartości.

Oto przykładowa struktura modelu podpisu:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

W tym przykładzie:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

JAK TO DZIAŁA

Rekord DKIM: wprowadzenie, komponenty i sprawdzenie

Aby zastosować DKIM, organizacje muszą wygenerować i zarejestrować swój rekord w DNS. Jest to rekord TXT zawierający wszystkie najważniejsze informacje o ustawieniach dla danej domeny, w tym klucz publiczny nadawcy. Za pomocą kontroli rekordu DNS serwer poczty odbierającej może z łatwością zweryfikować autentyczność wiadomości przychodzących.

Oto przykład rekordu DKIM i podział komponentów: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

Proces uwierzytelniania DKIM

Gdy wiadomość e-mail jest wysyłana z włączoną funkcją DKIM, usługa wysyłająca dołącza podpis cyfrowy do nagłówka wiadomości. Podpis zawiera zaszyfrowane wartości części wiadomości, takie jak treść, nagłówki i załączniki. Aby zweryfikować podpis DKIM, odbiorcy mogą wykonać szereg kroków:

  1. Pobierz rekord DKIM nadawcy z DNS.
  2. Wyodrębnij klucz publiczny z rekordu.
  3. Oblicz podpis, mieszając odpowiednie składniki wiadomości e-mail.
  4. Porównaj obliczony podpis z podpisem w nagłówku wiadomości e-mail.
  5. Jeśli podpisy się zgadzają, wiadomość e-mail przejdzie weryfikację DKIM.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

W wyniku pomyślnej weryfikacji podpisu odbiorcy mogą być pewni autentyczności i integralności wiadomości e-mail, zmniejszając ryzyko ataków phishingowych i fałszerstw wiadomości e-mail.

Jednakże w przypadku niepowodzenia weryfikacji możliwe scenariusze wiadomości e-mail mogą być następujące:

  • wiadomość może zostać oznaczona jako spam, gdy nie można potwierdzić jej autentyczności;
  • poddane kwarantannie lub zablokowane: często ma to na celu ochronę użytkowników przed potencjalnymi próbami phishingu lub fałszywymi e-mailami;
  • przekierowany do śmieci zamiast do skrzynki odbiorczej odbiorcy;
  • wyświetl ostrzeżenie lub flagę: ostrzega odbiorcę o konieczności zachowania ostrożności i sugeruje, że autentyczność wiadomości jest wątpliwa.

Dokładne konsekwencje niepowodzenia weryfikacji mogą się różnić w zależności od zasad ustalonych przez dostawcę usług e-mail i indywidualnych ustawień odbiorcy. Należy pamiętać, że nieudana weryfikacja DKIM może skutkować pogorszeniem reputacji nadawcy, zmniejszeniem współczynnika dostarczalności i większym prawdopodobieństwem potraktowania wiadomości jako podejrzanej lub potencjalnie szkodliwej.

Połączenie DKIM, SPF i DMARC w celu zwiększenia bezpieczeństwa poczty e-mail

Stosowanie DKIM znacznie zwiększa szanse na uniknięcie potencjalnych działań o złośliwym charakterze w wiadomościach e-mail, przyczynia się do sprawnej i skutecznej komunikacji. Aby zwiększyć bezpieczeństwo poczty e-mail, zastosowano dwa dodatkowe mechanizmy zabezpieczające komunikację online - SPF (Sender Policy Framework) i DMARC (Domain-Based Message Authentication, Reporting & Conformance).

Aby chronić swoją reputację i zapewnić dostarczalność swoich wiadomości e-mail, organizacja może udostępnić rekord SPF w DNS z listą autoryzowanych nazw domen i adresów IP. Sprawdzając ten zapis, serwer odbiorcy zweryfikuje autentyczność źródła wiadomości. Rekord SPF zapewnia dodatkową ochronę danych poprzez potwierdzenie legalności nadawcy.

DMARC to polityka dla wspomnianych powyżej mechanizmów uwierzytelniania, która określa zasady identyfikacji wiadomości e-mail i określa dalsze działania w przypadku podejrzanych wiadomości z możliwymi scenariuszami opisanymi powyżej.

Ogólnie rzecz biorąc, DKIM odgrywa kluczową rolę w zapewnianiu wiarygodności, integralności i bezpieczeństwa komunikacji e-mailowej. Wdrażając DKIM wraz z SPF i DMARC, organizacje mogą znacznie zmniejszyć ryzyko stwarzane przez złośliwe działania, zwiększając ochronę swojego ekosystemu poczty e-mail.

Frequently asked questions

Inne pytania związane z DKIM

Jak wygenerować klucz DKIM?

Łatwym sposobem na osiągnięcie tego jest skorzystanie z różnych narzędzi i usług dostępnych w Internecie. Narzędzia te pomagają generować klucze kryptograficzne — klucz prywatny tworzony do podpisywania wiadomości wychodzących oraz klucz publiczny służący do weryfikacji podpisu przez odbiorcę.

W jaki sposób uwierzytelnianie DKIM zwiększa bezpieczeństwo poczty e-mail?

Bezpieczeństwo Twojej komunikacji online osiąga się poprzez zapewnienie odbiorcom możliwości weryfikacji autentyczności przychodzących wiadomości. Pomaga zapobiegać fałszowaniu wiadomości e-mail, atakom typu phishing i manipulacji, zwiększając w ten sposób zaufanie i zmniejszając ryzyko złośliwych działań.

Jak mogę zweryfikować podpis DKIM wiadomości e-mail?

Aby zweryfikować podpis cyfrowy wiadomości e-mail, musisz pobrać rekord DKIM nadawcy z DNS. Wyodrębnij z niego klucz publiczny i oblicz podpis, korzystając z odpowiednich składników wiadomości. Porównaj obliczony podpis z podpisem zawartym w nagłówku wiadomości. Jeśli podpisy się zgadzają, podpis DKIM jest ważny.

Zobacz też:

Rozważ możliwość prześledzenia trasy, którą przechodzi wiadomość w drodze do odbiorcy. Pomoże Ci to zrozumieć złożone procesy przesyłania wiadomości e-mail i zabezpieczyć się przed niechcianą lub śmieciową pocztą. Dzięki naszemu Analizatorowi nagłówków e-maili ta manipulacja jest prosta, ale dostarcza wielu informacji. Pozwala prześledzić i wyświetlić listę serwerów biorących udział w procesie transmisji wraz z ich adresami IP i nazwami domen oraz zebrać jak najwięcej dodatkowych informacji.