1. Home
  2. Knowledge Base
  3. DKIM

DKIM

DKIM (DomainKeys Identified Mail) explicado: definição e significado

DKIM, que significa DomainKeys Identified Mail, é uma solução digital para as organizações fornecerem confiabilidade em suas comunicações com seus funcionários, clientes ou parceiros. Isto é conseguido anexando uma assinatura digital ao cabeçalho da mensagem para confirmar que a mensagem foi enviada por uma fonte legítima e não foi alterada em trânsito. A assinatura é então validada em DNS (Domain Name System) pelo servidor de email receptor. O remetente deve manter um registro com a chave pública no DNS, o que permite ao servidor de recebimento de e-mail confirmar a legitimidade da mensagem usando a chave e entregá-la perfeitamente na caixa de entrada do destinatário. Dessa forma, o processo de trânsito de e-mails torna-se confiável e seguro. Assim, o DKIM torna-se uma proteção sólida contra falsificação de e-mail, phishing e spam.

Assinatura DKIM: o que significa e como é

Uma assinatura DKIM é uma sequência criptográfica de caracteres anexada ao cabeçalho de uma mensagem de e-mail. Ele é gerado usando a chave privada do remetente e verificado pelo servidor de e-mail receptor usando a chave pública do remetente armazenada no registro DNS.

Sua finalidade é garantir a integridade da mensagem e verificar se ela não foi adulterada durante o trânsito. O servidor do destinatário verifica a assinatura que contém as informações sobre o nome de domínio e outros dados e compara-a com a chave pública. Em caso de correspondência, revela-se válido, o que significa que o email não foi alterado e que foi efetivamente enviado pelo domínio reivindicado.

Como é gerada uma assinatura DKIM?

O processo de geração de uma assinatura criptográfica inclui várias etapas:

  1. Primeiro, o serviço de e-mail do remetente cria um hash criptográfico do conteúdo do e-mail, incluindo o corpo da mensagem, cabeçalhos e anexos.
  2. Em seguida, o serviço criptografa o hash usando a chave privada do remetente para criar uma assinatura DKIM.
  3. Por fim, ele é anexado ao cabeçalho do e-mail como um campo específico, junto com outras informações relacionadas ao DKIM.

Qual é a aparência de uma assinatura DKIM?

Uma assinatura digital é uma longa sequência de caracteres normalmente representada como uma série de caracteres alfanuméricos e símbolos especiais. Ele aparece como um campo distinto no cabeçalho do e-mail e está entre colchetes angulares (< >) para diferenciá-lo de outros campos de cabeçalho. Ele contém vários parâmetros e valores.

Aqui está um exemplo de estrutura de modelo da assinatura:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

Neste exemplo:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

COMO FUNCIONA

Registro DKIM: introdução, componentes e verificação

Para aplicar o DKIM, as organizações precisam gerar e registrar seu registro no DNS. É um registro TXT que contém informações importantes sobre as configurações de um domínio específico, incluindo a chave pública do remetente. Por meio de uma verificação do registro DNS, o servidor de e-mail receptor pode validar facilmente a autenticidade das mensagens recebidas.

Aqui está um exemplo de registro DKIM e o detalhamento dos componentes: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

Processo de autenticação DKIM

Quando um e-mail é enviado com DKIM habilitado, o serviço de envio anexa uma assinatura digital ao cabeçalho da mensagem. A assinatura inclui valores criptografados de partes da mensagem, como corpo, cabeçalhos e anexos. Para verificar a assinatura DKIM, os destinatários podem realizar uma série de etapas:

  1. Recuperar o registro DKIM do remetente do DNS.
  2. Extraia a chave pública do registro.
  3. Calcule a assinatura fazendo hash dos componentes de e-mail relevantes.
  4. Compare a assinatura calculada com aquela no cabeçalho do e-mail.
  5. Se as assinaturas corresponderem, o e-mail passará na verificação DKIM.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

Como resultado da verificação bem-sucedida da assinatura, os destinatários podem ter certeza da autenticidade e integridade do e-mail, mitigando as chances de ataques de phishing e falsificação de e-mail.

Porém, em caso de falha na verificação, os cenários possíveis para um email podem ser os seguintes:

  • a mensagem pode ser marcada como spam quando sua legitimidade não puder ser confirmada;
  • colocados em quarentena ou bloqueados: isso geralmente é feito para proteger os usuários contra possíveis tentativas de phishing ou e-mails forjados;
  • redirecionado para lixo eletrônico em vez de para a caixa de entrada do destinatário;
  • exibir aviso ou sinalizador: alerta o destinatário para ter cuidado e sugere que a autenticidade da mensagem é questionável.

As consequências exatas da falha na verificação podem variar com base nas políticas estabelecidas por um provedor de serviços de e-mail e nas configurações individuais do destinatário. É importante observar que uma falha na verificação do DKIM pode resultar na diminuição da reputação do remetente, na redução das taxas de entrega e em uma maior probabilidade de a mensagem ser tratada como suspeita ou potencialmente prejudicial.

Combinação de DKIM, SPF e DMARC para aumentar a segurança de e-mail

O uso do DKIM aumenta significativamente as chances de evitar possíveis ações de caráter malicioso em e-mails e contribui para uma comunicação tranquila e bem-sucedida. Para aumentar a segurança do e-mail, há mais dois mecanismos aplicados para proteger a comunicação on-line: SPF (Sender Policy Framework) e DMARC (Domain-based Message Authentication, Reporting & Conformance).

Para proteger sua reputação e garantir a capacidade de entrega de seus e-mails, uma organização pode fornecer um registro SPF no DNS com a lista de nomes de domínio e endereços IP autorizados. Ao verificar este registro, o servidor do destinatário verificará a autenticidade da fonte da mensagem. Um registro SPF fornece proteção adicional de dados, confirmando a legitimidade do remetente.

DMARC é uma política para os mecanismos de autenticação mencionados acima que define as regras de identificação de e-mails e determina ações adicionais em mensagens suspeitas com os possíveis cenários descritos acima.

No geral, o DKIM desempenha um papel vital na garantia da confiabilidade, integridade e segurança das comunicações por email. Ao implementar o DKIM juntamente com o SPF e o DMARC, as organizações podem reduzir significativamente os riscos representados por atividades maliciosas, melhorando a proteção do seu ecossistema de e-mail.

Frequently asked questions

Outras questões relacionadas ao DKIM

Como posso gerar uma chave DKIM?

Uma maneira fácil de fazer isso é usar várias ferramentas e serviços disponíveis online. Essas ferramentas ajudam a gerar chaves criptográficas – uma chave privada criada para assinar mensagens enviadas e uma chave pública para verificação de assinatura por um destinatário.

Como a autenticação DKIM melhora a segurança do email?

A segurança da sua comunicação online é alcançada fornecendo aos destinatários um meio de verificar a autenticidade das mensagens recebidas. Ajuda a prevenir falsificações de e-mails, ataques de phishing e adulterações, aumentando assim a confiança e reduzindo o risco de atividades maliciosas.

Como posso verificar a assinatura DKIM de um e-mail?

Para verificar a assinatura digital de um email, você precisa recuperar o registro DKIM do remetente do DNS. Extraia a chave pública dele e calcule a assinatura usando os componentes relevantes da mensagem. Compare a assinatura calculada com aquela no cabeçalho da mensagem. Se as assinaturas corresponderem, a assinatura DKIM é válida.

Veja também:

Considere a possibilidade de rastrear a rota pela qual uma mensagem passa até chegar a um destinatário. Isso o ajudará a compreender processos complexos de transmissão de e-mail e a se proteger contra e-mails indesejados ou indesejados. Nosso Analisador de cabeçalhos de e-mail torna essa manipulação simples, mas informativa. Permite rastrear e exibir a lista de servidores envolvidos no processo de transmissão com seus endereços IP e nomes de domínio, e coletar o máximo de informações adicionais possível.