1. Home
  2. Knowledge Base
  3. DKIM

DKIM

Объяснение DKIM (DomainKeys Identified Mail): определение и значение

DKIM, что означает «Идентифицированная почта DomainKeys», представляет собой цифровое решение для организаций, позволяющее обеспечить надежность их общения со своими сотрудниками, клиентами или партнерами. Это достигается путем добавления цифровой подписи к заголовку сообщения, подтверждающей, что сообщение было отправлено законным источником и не было изменено при передаче. Затем подпись проверяется в DNS (системе доменных имен) принимающим почтовым сервером. Отправитель должен хранить запись с открытым ключом в DNS, что позволяет почтовому серверу-получателю подтвердить легитимность сообщения с помощью ключа и беспрепятственно доставить его в почтовый ящик получателя. Таким образом, процесс передачи электронной почты становится надежным и безопасным. Таким образом, DKIM становится надежной защитой от подделки электронной почты, фишинга и спама.

Подпись DKIM: что это значит и как выглядит

Подпись DKIM — это криптографическая строка символов, прикрепленная к заголовку сообщения электронной почты. Он генерируется с использованием закрытого ключа отправителя и проверяется принимающим почтовым сервером с использованием открытого ключа отправителя, хранящегося в записи DNS.

Его цель — обеспечить целостность сообщения и убедиться, что оно не было подделано во время передачи. Сервер получателя проверяет подпись, содержащую информацию о доменном имени и другие данные, и сопоставляет ее с открытым ключом. В случае совпадения оно оказывается действительным, что означает, что электронное письмо не было изменено и действительно было отправлено с заявленного домена.

Как создается подпись DKIM?

Процесс генерации криптографической подписи включает в себя несколько этапов:

  1. Сначала почтовая служба отправителя создает криптографический хэш содержимого электронного письма, включая тело сообщения, заголовки и вложения.
  2. Затем служба шифрует хэш, используя закрытый ключ отправителя, для создания подписи DKIM.
  3. Наконец, оно прикрепляется к заголовку электронного письма как отдельное поле вместе с другой информацией, связанной с DKIM.

Как выглядит подпись DKIM?

Цифровая подпись — это длинная строка символов, которая обычно представляет собой последовательность буквенно-цифровых символов и специальных символов. Оно отображается как отдельное поле в заголовке электронного письма и заключено в угловые скобки (< >), чтобы отличать его от других полей заголовка. Он содержит различные параметры и значения.

Вот пример структуры модели подписи:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

В этом примере:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

КАК ЭТО РАБОТАЕТ

Запись DKIM: введение, компоненты и проверка

Чтобы применить DKIM, организациям необходимо создать и зарегистрировать свою запись в DNS. Это запись TXT, содержащая всю важную информацию о настройках конкретного домена, включая открытый ключ отправителя. С помощью проверки записей DNS принимающий почтовый сервер может легко проверить подлинность входящих сообщений.

Вот пример записи DKIM и разбивка компонентов: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

Процесс аутентификации DKIM

Когда электронное письмо отправляется с включенным DKIM, служба отправки прикрепляет цифровую подпись к заголовку сообщения. Подпись включает в себя зашифрованные значения частей сообщения, таких как тело, заголовки и вложения. Чтобы проверить подпись DKIM, получатели могут выполнить ряд шагов:

  1. Получите запись DKIM отправителя из DNS.
  2. Извлеките открытый ключ из записи.
  3. Рассчитайте подпись, хешируя соответствующие компоненты электронной почты.
  4. Сравните рассчитанную подпись с подписью в заголовке письма.
  5. Если подписи совпадают, электронное письмо проходит проверку DKIM.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

В результате успешной проверки подписи получатели могут быть уверены в подлинности и целостности электронного письма, что снижает вероятность фишинговых атак и подделки электронной почты.

Однако в случае неудачной проверки возможные сценарии для электронного письма могут быть следующими:

  • сообщение может быть помечено как спам, если его легитимность не может быть подтверждена;
  • помещены на карантин или заблокированы: это часто делается для защиты пользователей от потенциальных попыток фишинга или поддельных электронных писем;
  • перенаправлено в нежелательную папку вместо почтового ящика получателя;
  • отображение предупреждения или флажка: это предупреждает получателя о необходимости проявлять осторожность и предполагает, что подлинность сообщения сомнительна.

Точные последствия неудачной проверки могут различаться в зависимости от политик, установленных поставщиком услуг электронной почты, и индивидуальных настроек получателя. Важно отметить, что неудачная проверка DKIM может привести к ухудшению репутации отправителя, снижению скорости доставки и повышению вероятности того, что сообщение будет рассматриваться как подозрительное или потенциально вредное.

Сочетание DKIM, SPF и DMARC для повышения безопасности электронной почты

Использование DKIM значительно увеличивает шансы избежать потенциальных действий злонамеренного характера над электронной почтой, способствует беспрепятственному и успешному общению. Для повышения безопасности электронной почты применяются еще два механизма защиты онлайн-общения — SPF (структура политики отправителей) и DMARC (проверка подлинности сообщений, отчетность и соответствие на основе домена).

Чтобы защитить свою репутацию и обеспечить доставляемость своих электронных писем, организация может предоставить запись SPF в DNS со списком авторизованных доменных имен и IP-адресов. Проверив эту запись, сервер получателя проверит подлинность источника сообщения. Запись SPF обеспечивает дополнительную защиту данных, подтверждая легитимность отправителя.

DMARC — это политика для таких механизмов аутентификации, упомянутых выше, которая определяет правила идентификации электронных писем и определяет дальнейшие действия над подозрительными сообщениями с возможными сценариями, описанными выше.

В целом, DKIM играет жизненно важную роль в обеспечении надежности, целостности и безопасности электронной почты. Внедряя DKIM вместе с SPF и DMARC, организации могут значительно снизить риски, связанные с вредоносными действиями, повысив защиту своей экосистемы электронной почты.

Frequently asked questions

Другие вопросы, связанные с DKIM

Как я могу сгенерировать ключ DKIM?

Самый простой способ сделать это — использовать различные инструменты и сервисы, доступные в Интернете. Эти инструменты помогают генерировать криптографические ключи — закрытый ключ, созданный для подписи исходящих сообщений, и открытый ключ для проверки подписи получателя.

Как аутентификация DKIM повышает безопасность электронной почты?

Безопасность вашего онлайн-общения достигается за счет предоставления получателям средств проверки подлинности входящих сообщений. Это помогает предотвратить подделку электронной почты, фишинговые атаки и несанкционированный доступ, тем самым повышая доверие и снижая риск злонамеренных действий.

Как я могу проверить подпись DKIM электронного письма?

Чтобы проверить цифровую подпись электронного письма, вам необходимо получить запись DKIM отправителя из DNS. Извлеките из него открытый ключ и рассчитайте подпись, используя соответствующие компоненты сообщения. Сравните вычисленную подпись с подписью в заголовке сообщения. Если подписи совпадают, подпись DKIM действительна.

Смотрите также:

Рассмотрим возможность отслеживания маршрута, по которому проходит сообщение на пути к получателю. Это поможет вам понять сложные процессы передачи электронной почты и защититься от нежелательной или нежелательной почты. Наш анализатор заголовков электронной почты делает эту манипуляцию простой, но информативной. Это позволяет отслеживать и отображать список серверов, участвующих в процессе передачи, с их IP-адресами и доменными именами, а также собирать как можно больше дополнительной информации.