1. Home
  2. Knowledge Base
  3. DKIM

DKIM

Пояснення DKIM (DomainKeys Identified Mail): визначення та значення

DKIM, що розшифровується як DomainKeys Identified Mail, — це цифрове рішення для організацій, яке забезпечує достовірність їх зв’язку зі своїми співробітниками, клієнтами чи партнерами. Це досягається шляхом додавання цифрового підпису до заголовка повідомлення, щоб підтвердити, що повідомлення надіслано законним джерелом і не було змінено під час передачі. Потім підпис перевіряється в DNS (система доменних імен) поштовим сервером-одержувачем. Відправник повинен зберігати запис із відкритим ключем у DNS, що дозволяє поштовому серверу-одержувачу підтвердити легітимність повідомлення за допомогою ключа та безперешкодно доставити його до папки «Вхідні» одержувача. Таким чином процес передачі електронної пошти стає надійним і безпечним. Таким чином, DKIM стає надійним захистом від підробки електронної пошти, фішингу та спаму.

Підпис DKIM: що це означає та як виглядає

Підпис DKIM — це криптографічний рядок символів, який додається до заголовка повідомлення електронної пошти. Він генерується за допомогою закритого ключа відправника та перевіряється поштовим сервером-одержувачем за допомогою відкритого ключа відправника, який зберігається в записі DNS.

Його мета — забезпечити цілісність повідомлення та переконатися, що воно не було підроблено під час передачі. Сервер одержувача перевіряє підпис, що містить інформацію про доменне ім'я та інші дані, і зіставляє його з відкритим ключем. У разі збігу воно виявляється дійсним, що означає, що електронний лист не було змінено та його справді надіслано із заявленого домену.

Як генерується підпис DKIM?

Процес створення криптографічного підпису складається з кількох етапів:

  1. По-перше, поштова служба відправника створює криптографічний хеш вмісту електронної пошти, включаючи тіло повідомлення, заголовки та вкладення.
  2. Потім служба шифрує хеш за допомогою закритого ключа відправника для створення підпису DKIM.
  3. Нарешті, він додається до заголовка електронного листа як окреме поле разом з іншою інформацією, пов’язаною з DKIM.

Як виглядає підпис DKIM?

Цифровий підпис — це довгий рядок символів, який зазвичай представлено у вигляді ряду буквено-цифрових символів і спеціальних символів. Воно відображається як окреме поле в заголовку електронної пошти й укладено в кутові дужки (< >), щоб відрізнити його від інших полів заголовка. Він містить різні параметри та значення.

Ось зразок моделі структури підпису:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=example.com; s=selector1;
h=From:To:Subject:Date:MIME-Version:Content-Type;
bh=abcdef1234567890; b=ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210;

У цьому прикладі:

DKIM signature example.
TagTag descriptionPossible values
v version of DKIM being used version 1
a algorithm being used to create hash rsa-sha256
c canonicalization method used
for the message body and headers 		simple (doesn't allow any changes in the email header or body)
or relaxed (allows for minor changes in adjusting whitespaces,
header lines, header fields etc.)
In our example, it's relaxed/relaxed
dassociated domainexample.com
s selector, which is a unique identifier
for the specific DKIM key record
(associated with the domain) 		selector1
h lists the headers included in the
signature calculation 		In our example, it includes From, To, Subject, Date,
MIME-Version, and Content-Type
bh represents the hash value of the email's
relevant components
(body, headers, etc.) 		abcdef1234567890 as an example
b contains the encrypted hash value, generated
using the sender's private key
(the signature itself) 		In our case, it is ZYXWVUTSRQPONMLKJIHGFEDCBA9876543210

ЯК ЦЕ ПРАЦЮЄ

Запис DKIM: вступ, компоненти та перевірка

Щоб застосувати DKIM, організації повинні створити та зареєструвати свій запис у DNS. Це запис TXT, що містить усю важливу інформацію про налаштування певного домену, включаючи відкритий ключ відправника. За допомогою перевірки запису DNS поштовий сервер-одержувач може легко перевірити автентичність вхідних повідомлень.

Ось приклад запису DKIM і розбивка компонентів: 

example.com. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKTB9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJqDDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0cHKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti+jHDjbyXMbDVo9KkSNps/8crTouOmrTqgZ+PbLwIDAQAB"
DKIM record example.
Tag valueInterpretation
v=DKIM1 specifies the version being used,
which is version 1
k=rsa indicates that the encryption algorithm
used for the signature is RSA
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC
BiQKBgQCX5lG3Wgs7kG4zZyfO0QrXYrKT
B9ZM3d7Ua0lr5W6ZG3nS9pOkfGm7dTyJq
DDK0zzc7UTQpjxKuY5HxRCc8D0nIjTF0c
HKfB2EnH0fl2xu/1tORcPl2sqrDF7Hwti
+jHDjbyXMbDVo9KkSNps/8crTouOmrTqg
Z+PbLwIDAQAB 		This is the public key associated with
the signature. It is the part used
by recipients to verify the signature
of the incoming emails.

Процес автентифікації DKIM

Коли електронний лист надсилається з увімкненим DKIM, служба надсилання додає цифровий підпис до заголовка повідомлення. Підпис містить зашифровані значення частин повідомлення, таких як тіло, заголовки та вкладення. Щоб перевірити підпис DKIM, одержувачі можуть виконати ряд кроків:

  1. Отримати запис DKIM відправника з DNS.
  2. Витягніть відкритий ключ із запису.
  3. Обчисліть підпис, хешуючи відповідні компоненти електронної пошти.
  4. Порівняйте розрахований підпис із підписом у заголовку електронного листа.
  5. Якщо підписи збігаються, електронний лист проходить перевірку DKIM.
DKIM signature verification processLayer 1 mail service public key sender's signature verification with public key recipient's email server DNS server ------- VERIFIED authentication failed the message is rejected ------- recipient's email service mail service an email with DKIM signature in its header mail service sender's email service

У результаті успішної перевірки підпису одержувачі можуть бути впевнені в автентичності та цілісності електронного листа, зменшуючи ймовірність фішингових атак і підробки електронної пошти.

Однак у разі помилки підтвердження можливі такі сценарії для електронного листа:

  • повідомлення можна позначити як спам, якщо його дійсність не можна підтвердити;
  • переміщення в карантин або блокування: це часто робиться для захисту користувачів від можливих спроб фішингу або підроблених електронних листів;
  • переспрямовується до спаму замість папки "Вхідні" одержувача;
  • показати попередження або позначку: це попереджає одержувача бути обережним і говорить про те, що автентичність повідомлення сумнівна.

Точні наслідки помилки підтвердження можуть відрізнятися залежно від політики, встановленої постачальником послуг електронної пошти, та індивідуальних налаштувань одержувача. Важливо зауважити, що невдала перевірка DKIM може призвести до погіршення репутації відправника, зниження рівня доставки та більшої ймовірності того, що повідомлення буде вважатися підозрілим або потенційно шкідливим.

Поєднання DKIM, SPF і DMARC для підвищення безпеки електронної пошти

Використання DKIM значно збільшує шанси уникнути потенційних дій зловмисників над електронними листами, сприяє безперебійному та успішному спілкуванню. Щоб підвищити безпеку електронної пошти, застосовано ще два механізми захисту онлайн-зв’язку – SPF (Sender Policy Framework) і DMARC (Domain-based Message Authentication, Reporting & Conformance).

Щоб захистити свою репутацію та забезпечити доставку електронних листів, організація може надати запис SPF у DNS зі списком авторизованих доменних імен та IP-адрес. Перевіряючи цей запис, сервер одержувача перевірить автентичність джерела повідомлення. Запис SPF забезпечує додатковий захист даних, підтверджуючи легітимність відправника.

DMARC — це політика для механізмів автентифікації, згаданих вище, яка визначає правила ідентифікації електронних листів і визначає подальші дії з підозрілими повідомленнями з можливими сценаріями, описаними вище.

Загалом DKIM відіграє важливу роль у забезпеченні надійності, цілісності та безпеки електронної пошти. Впроваджуючи DKIM разом із SPF і DMARC, організації можуть значно знизити ризики, пов’язані з зловмисними діями, покращуючи захист своєї екосистеми електронної пошти.

Frequently asked questions

Інші запитання, пов’язані з DKIM

Як я можу згенерувати ключ DKIM?

Простий спосіб зробити це — скористатися різними інструментами та послугами, доступними в Інтернеті. Ці інструменти допомагають генерувати криптографічні ключі — закритий ключ, створений для підпису вихідних повідомлень, і відкритий ключ для перевірки підпису одержувачем.

Як автентифікація DKIM підвищує безпеку електронної пошти?

Безпека вашого онлайн-спілкування досягається шляхом надання одержувачам засобів для перевірки автентичності вхідних повідомлень. Це допомагає запобігти підробці електронної пошти, фішинговим атакам і втручанню, тим самим підвищуючи довіру та знижуючи ризик зловмисних дій.

Як я можу перевірити підпис електронної пошти DKIM?

Щоб перевірити цифровий підпис електронного листа, потрібно отримати запис DKIM відправника з DNS. Витягніть із нього відкритий ключ і обчисліть підпис за допомогою відповідних компонентів повідомлення. Порівняйте розрахований підпис із підписом у заголовку повідомлення. Якщо підписи збігаються, підпис DKIM дійсний.

Дивись також:

Розгляньте можливість відстеження маршруту, який проходить повідомлення на шляху до одержувача. Це допоможе вам зрозуміти складні процеси передачі електронної пошти та захиститися від небажаної чи небажаної пошти. Наш аналізатор заголовків електронних листів робить цю маніпуляцію простою, але інформативною. Це дозволяє відстежувати та відображати список серверів, які беруть участь у процесі передачі, з їхніми IP-адресами та доменними іменами, а також збирати якомога більше додаткової інформації.