1. Home
  2. Knowledge Base
  3. DKIM

DKIM

Vysvetlenie DKIM (DomainKeys Identified Mail): Definícia a význam

DKIM, čo je skratka pre DomainKeys Identified Mail, je digitálne riešenie pre organizácie na zabezpečenie dôveryhodnosti ich komunikácie s ich zamestnancami, zákazníkmi alebo partnermi. Dosahuje sa to pripojením digitálneho podpisu k hlavičke správy, aby sa potvrdilo, že správa bola odoslaná legitímnym zdrojom a nebola zmenená počas prenosu. Podpis je potom overený v DNS (Domain Name System) prijímajúcim poštovým serverom. Odosielateľ by mal uchovávať záznam s verejným kľúčom v DNS, čo umožňuje prijímajúcemu poštovému serveru potvrdiť oprávnenosť správy pomocou kľúča a bez problémov ju doručiť do schránky príjemcu. Týmto spôsobom sa proces prenosu e-mailov stáva spoľahlivým a bezpečným. DKIM sa tak stáva solídnou ochranou proti e-mailovému spoofingu, phishingu a spamu.

Podpis DKIM: Čo to znamená a ako to vyzerá

Podpis DKIM je kryptografický reťazec znakov, ktorý je pripojený k hlavičke e-mailovej správy. Vygeneruje sa pomocou súkromného kľúča odosielateľa a overí ho prijímajúci poštový server pomocou verejného kľúča odosielateľa uloženého v zázname DNS.

Jeho účelom je zabezpečiť integritu správy a overiť, či s ňou počas prepravy nebolo manipulované. Server príjemcu skontroluje podpis obsahujúci informácie o názve domény a ďalšie údaje a porovná ho s verejným kľúčom. V prípade zhody sa preukáže ako platný, čo znamená, že e-mail nebol zmenený a že bol skutočne odoslaný reklamovanou doménou.

Ako sa generuje podpis DKIM?

Proces generovania kryptografického podpisu zahŕňa niekoľko krokov:

  1. Po prvé, poštová služba odosielateľa vytvorí kryptografický hash obsahu e-mailu vrátane tela správy, hlavičiek a príloh.
  2. Potom služba zašifruje hash pomocou súkromného kľúča odosielateľa, aby vytvorila podpis DKIM.
  3. Nakoniec sa pripojí k hlavičke e-mailu ako špecifické pole spolu s ďalšími informáciami súvisiacimi s DKIM.

Ako vyzerá podpis DKIM?

Digitálny podpis je dlhý reťazec znakov, ktorý je zvyčajne reprezentovaný ako séria alfanumerických znakov a špeciálnych symbolov. Zobrazuje sa ako samostatné pole v hlavičke e-mailu a je uzavreté v lomených zátvorkách (< >), aby sa odlíšilo od ostatných polí hlavičky. Obsahuje rôzne parametre a hodnoty.

Tu je vzorová modelová štruktúra podpisu:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

V tomto príklade:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

AKO TO FUNGUJE

Záznam DKIM: Úvod, Komponenty a Kontrola

Na uplatnenie DKIM musia organizácie vygenerovať a zaregistrovať svoj záznam v DNS. Ide o TXT záznam obsahujúci všetky dôležité informácie o nastaveniach pre konkrétnu doménu, vrátane verejného kľúča odosielateľa. Prostredníctvom kontroly DNS záznamov môže prijímajúci poštový server jednoducho overiť pravosť prichádzajúcich správ.

Tu je príklad záznamu DKIM a rozpis komponentov: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

Proces overenia DKIM

Keď je e-mail odoslaný s povoleným DKIM, odosielajúca služba pripojí digitálny podpis k hlavičke správy. Podpis obsahuje zašifrované hodnoty častí správy, ako je telo, hlavičky a prílohy. Na overenie podpisu DKIM môžu príjemcovia vykonať sériu krokov:

  1. Získajte záznam DKIM odosielateľa z DNS.
  2. Extrahujte verejný kľúč zo záznamu.
  3. Vypočítajte podpis hašovaním príslušných komponentov e-mailu.
  4. Porovnajte vypočítaný podpis s podpisom v hlavičke e-mailu.
  5. Ak sa podpisy zhodujú, e-mail prejde overením DKIM.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

Výsledkom úspešného overenia podpisu je, že príjemcovia si môžu byť istí pravosťou a integritou e-mailu, čím sa znížia riziko phishingových útokov a falšovania e-mailov.

V prípade zlyhania overenia však možné scenáre pre e-mail môžu byť nasledovné:

  • správa môže byť označená ako spam, keď nie je možné potvrdiť jej legitimitu;
  • umiestnené do karantény alebo zablokované: často sa to robí s cieľom chrániť používateľov pred potenciálnymi pokusmi o neoprávnené získavanie údajov alebo falošnými e-mailami;
  • presmerované na nevyžiadanú poštu namiesto doručenej pošty príjemcu;
  • zobraziť varovanie alebo príznak: toto upozorní príjemcu, aby bol opatrný, a naznačuje, že pravosť správy je sporná.

Presné dôsledky zlyhania overenia sa môžu líšiť v závislosti od pravidiel stanovených poskytovateľom e-mailových služieb a individuálnych nastavení príjemcu. Je dôležité poznamenať, že neúspešné overenie DKIM môže mať za následok zníženú reputáciu odosielateľa, zníženú mieru doručenia a vyššiu pravdepodobnosť, že správa bude považovaná za podozrivú alebo potenciálne škodlivú.

Kombinácia DKIM, SPF a DMARC na zvýšenie bezpečnosti e-mailov

Použitie DKIM výrazne zvyšuje šance vyhnúť sa potenciálnym akciám škodlivého charakteru cez e-maily, prispieva k hladkej a úspešnej komunikácii. Na zvýšenie bezpečnosti e-mailov sa používajú dva ďalšie mechanizmy na zabezpečenie online komunikácie – SPF (Sender Policy Framework) a DMARC (Domain-based Message Authentication, Reporting & Conformance).

Na ochranu svojej povesti a zabezpečenie doručovania svojich e-mailov môže organizácia poskytnúť SPF záznam v DNS so zoznamom autorizovaných názvov domén a IP adries. Kontrolou tohto záznamu server príjemcu overí pravosť zdroja správy. SPF záznam poskytuje dodatočnú ochranu údajov potvrdením legitimity odosielateľa.

DMARC je politika pre vyššie uvedené autentifikačné mechanizmy, ktorá definuje pravidlá identifikácie e-mailov a určuje ďalšie akcie pri podozrivých správach s možnými scenármi popísanými vyššie.

Celkovo hrá DKIM zásadnú úlohu pri zabezpečovaní dôveryhodnosti, integrity a bezpečnosti e-mailovej komunikácie. Implementáciou DKIM spolu s SPF a DMARC môžu organizácie výrazne znížiť riziká, ktoré predstavujú škodlivé aktivity, a zvýšiť tak ochranu ich e-mailového ekosystému.

Frequently asked questions

Ďalšie otázky týkajúce sa DKIM

Ako môžem vygenerovať kľúč DKIM?

Jednoduchý spôsob, ako to urobiť, je použiť rôzne nástroje a služby dostupné online. Tieto nástroje pomáhajú generovať kryptografické kľúče – súkromný kľúč vytvorený na podpisovanie odchádzajúcich správ a verejný kľúč na overenie podpisu príjemcom.

Ako autentifikácia DKIM zvyšuje bezpečnosť e-mailov?

Bezpečnosť vašej online komunikácie je dosiahnutá tým, že príjemcom poskytnete prostriedky na overenie pravosti prichádzajúcich správ. Pomáha predchádzať falšovaniu e-mailov, phishingovým útokom a manipulácii, čím zvyšuje dôveru a znižuje riziko škodlivých aktivít.

Ako môžem overiť DKIM podpis e-mailu?

Ak chcete overiť digitálny podpis e-mailu, musíte získať záznam DKIM odosielateľa z DNS. Extrahujte z neho verejný kľúč a vypočítajte podpis pomocou príslušných komponentov správy. Porovnajte vypočítaný podpis s podpisom v hlavičke správy. Ak sa podpisy zhodujú, podpis DKIM je platný.

Pozri tiež:

Zvážte možnosť sledovania trasy, ktorou správa prechádza na ceste k príjemcovi. Pomôže vám to porozumieť zložitým procesom prenosu e-mailov a chrániť sa pred nechcenou alebo nevyžiadanou poštou. Náš analyzátor hlavičiek e-mailov robí túto manipuláciu jednoduchou, ale informatívnou. Umožňuje sledovať a zobrazovať zoznam serverov zapojených do procesu prenosu s ich IP adresami a názvami domén a zhromažďovať čo najviac dodatočných informácií.