D

DKIM (DomainKeys Identified Mail)

DKIM digitálně podepisuje e-maily a ověřuje jejich původ i integritu. Zjistěte, jak funguje, proč je důležitý a jak jej správně nastavit.


Co je DKIM (DomainKeys Identified Mail)?

DKIM (DomainKeys Identified Mail) je protokol pro ověřování e-mailu, který ověřuje, zda byla zpráva odeslána z autorizovaného poštovního serveru a zda její obsah zůstal během přenosu beze změny. Funguje tak, že ke každému odchozímu e-mailu připojí digitální podpis, což přijímajícímu serveru umožňuje zprávu ověřit pomocí veřejného klíče publikovaného v DNS odesílatele. Tím zajišťuje autenticitu i integritu a chrání před spoofingem a manipulací se zprávou.

Kryptografickým podepisováním zpráv DKIM pomáhá poskytovatelům pošty a příjemcům potvrdit, že e-maily skutečně pocházejí z uvedené domény. Je základní vrstvou zabezpečení e-mailu a spolu s SPF a DMARC zabraňuje padělaným zprávám a udržuje důvěru mezi odesílateli a příjemci.

Jak DKIM funguje

DKIM používá k ověřování zpráv pár kryptografických klíčů (jeden soukromý a jeden veřejný). Odesílající poštovní server generuje soukromým klíčem digitální podpis pro konkrétní části zprávy (obvykle hlavičky a tělo). Tento podpis se do e-mailu přidá do hlavičky s názvem DKIM-Signature.

Přijímající poštovní server získá veřejný klíč z DNS záznamu v subdoméně definované selektorem (uvedeným v parametrech d= a s= podpisu). Pomocí tohoto veřejného klíče ověří, že zprávu skutečně podepsala daná doména a že její obsah nebyl pozměněn.

Příklad hlavičky s podpisem DKIM:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123...; b=def456...
 

V tomto příkladu:

  • d=example.com identifikuje podepisující doménu.
  • s=selector1 identifikuje konkrétní veřejný klíč v DNS.
  • bh= představuje hash těla zprávy.
  • b= obsahuje samotný kryptografický podpis.

Když je zpráva přijata, systém ověří podpis pomocí odpovídajícího veřejného klíče umístěného na:

selector1._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQD..."
 

Proč je DKIM důležitý pro zabezpečení e-mailu a doručitelnost

DKIM zajišťuje, že zpráva pochází z uvedené domény a nebyla během doručování prostředníky pozměněna. To pomáhá poskytovatelům pošty budovat reputaci a důvěru odesílatele, zlepšovat umístění do schránky a snižovat počet falešně pozitivních výsledků při filtrování spamu.

Mezi hlavní přínosy DKIM patří:

  • zabraňuje manipulaci se zprávou a s hlavičkami,
  • ověřuje odpovědnost domény za odeslané zprávy,
  • zlepšuje doručitelnost tím, že signalizuje legitimitu poskytovatelům schránek,
  • snižuje úspěšnost phishingu a spoofingu domény,
  • podporuje sladění DMARC pro silnější ochranu domény.

Protože podpisy DKIM přetrvávají i při přeposílání (na rozdíl od kontrol SPF), poskytují konzistentní ověření napříč složitými toky pošty, jako jsou konferenční seznamy, CRM systémy a odesílatelé třetích stran.

Osvědčené postupy pro konfiguraci DKIM

Správné zavedení DKIM vyžaduje pečlivou správu klíčů a nastavení domény. Mezi běžné osvědčené postupy patří:

  • používat pro bezpečné podepisování klíče o délce alespoň 2048 bitů (délka klíče),
  • publikovat DKIM záznamy jako DNS TXT záznamy pod selector._domainkey.example.com,
  • pravidelně rotovat podepisovací klíče, aby se předešlo kompromitaci (rotace klíčů DKIM),
  • zajistit sladění s doménou použitou v hlavičce From (sladění DKIM),
  • monitorovat výsledky ověřování a odhalovat selhání nebo chybné konfigurace.

Nesprávně nakonfigurované nebo expirované DKIM klíče mohou způsobit selhání ověření u legitimních zpráv, což vede k problémům s doručováním nebo ke snížení reputace odesílatele. Pravidelné audity pomáhají udržovat konzistentní a důvěryhodné postupy podepisování.

DKIM a DMARCeye

DMARCeye nepřetržitě analyzuje výsledky ověřování DKIM napříč všemi vašimi doménami a subdoménami. Platforma identifikuje chybějící nebo neplatné DKIM záznamy, slabé klíče a selhání sladění, která by mohla ovlivnit soulad s DMARC.

DMARCeye také vizualizuje, které selektory se používají, jak si zprávy vedou napříč různými odesílacími službami a kde selhává ověření podpisu. Zjednodušením správy a monitoringu DKIM pomáhá DMARCeye organizacím udržovat zabezpečené a důvěryhodné ověřování e-mailu, které podporuje vyšší doručitelnost a silnější ochranu domény.

Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.


Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.


Similar posts

Získejte upozornění na nové marketingové poznatky

Buďte první, kdo se dozví o nových poznatcích, které vám pomohou vytvořit nebo vylepšit vaši strategii DMARC.