DKIM (DomainKeys Identified Mail)
DKIM digitálně podepisuje e-maily a ověřuje jejich původ i integritu. Zjistěte, jak funguje, proč je důležitý a jak jej správně nastavit.
Co je DKIM (DomainKeys Identified Mail)?
DKIM (DomainKeys Identified Mail) je protokol pro ověřování e-mailu, který ověřuje, zda byla zpráva odeslána z autorizovaného poštovního serveru a zda její obsah zůstal během přenosu beze změny. Funguje tak, že ke každému odchozímu e-mailu připojí digitální podpis, což přijímajícímu serveru umožňuje zprávu ověřit pomocí veřejného klíče publikovaného v DNS odesílatele. Tím zajišťuje autenticitu i integritu a chrání před spoofingem a manipulací se zprávou.
Kryptografickým podepisováním zpráv DKIM pomáhá poskytovatelům pošty a příjemcům potvrdit, že e-maily skutečně pocházejí z uvedené domény. Je základní vrstvou zabezpečení e-mailu a spolu s SPF a DMARC zabraňuje padělaným zprávám a udržuje důvěru mezi odesílateli a příjemci.
Jak DKIM funguje
DKIM používá k ověřování zpráv pár kryptografických klíčů (jeden soukromý a jeden veřejný). Odesílající poštovní server generuje soukromým klíčem digitální podpis pro konkrétní části zprávy (obvykle hlavičky a tělo). Tento podpis se do e-mailu přidá do hlavičky s názvem DKIM-Signature.
Přijímající poštovní server získá veřejný klíč z DNS záznamu v subdoméně definované selektorem (uvedeným v parametrech d= a s= podpisu). Pomocí tohoto veřejného klíče ověří, že zprávu skutečně podepsala daná doména a že její obsah nebyl pozměněn.
Příklad hlavičky s podpisem DKIM:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123...; b=def456...V tomto příkladu:
d=example.comidentifikuje podepisující doménu.s=selector1identifikuje konkrétní veřejný klíč v DNS.bh=představuje hash těla zprávy.b=obsahuje samotný kryptografický podpis.
Když je zpráva přijata, systém ověří podpis pomocí odpovídajícího veřejného klíče umístěného na:
selector1._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQD..."Proč je DKIM důležitý pro zabezpečení e-mailu a doručitelnost
DKIM zajišťuje, že zpráva pochází z uvedené domény a nebyla během doručování prostředníky pozměněna. To pomáhá poskytovatelům pošty budovat reputaci a důvěru odesílatele, zlepšovat umístění do schránky a snižovat počet falešně pozitivních výsledků při filtrování spamu.
Mezi hlavní přínosy DKIM patří:
- zabraňuje manipulaci se zprávou a s hlavičkami,
- ověřuje odpovědnost domény za odeslané zprávy,
- zlepšuje doručitelnost tím, že signalizuje legitimitu poskytovatelům schránek,
- snižuje úspěšnost phishingu a spoofingu domény,
- podporuje sladění DMARC pro silnější ochranu domény.
Protože podpisy DKIM přetrvávají i při přeposílání (na rozdíl od kontrol SPF), poskytují konzistentní ověření napříč složitými toky pošty, jako jsou konferenční seznamy, CRM systémy a odesílatelé třetích stran.
Osvědčené postupy pro konfiguraci DKIM
Správné zavedení DKIM vyžaduje pečlivou správu klíčů a nastavení domény. Mezi běžné osvědčené postupy patří:
- používat pro bezpečné podepisování klíče o délce alespoň 2048 bitů (délka klíče),
- publikovat DKIM záznamy jako DNS TXT záznamy pod
selector._domainkey.example.com, - pravidelně rotovat podepisovací klíče, aby se předešlo kompromitaci (rotace klíčů DKIM),
- zajistit sladění s doménou použitou v hlavičce From (sladění DKIM),
- monitorovat výsledky ověřování a odhalovat selhání nebo chybné konfigurace.
Nesprávně nakonfigurované nebo expirované DKIM klíče mohou způsobit selhání ověření u legitimních zpráv, což vede k problémům s doručováním nebo ke snížení reputace odesílatele. Pravidelné audity pomáhají udržovat konzistentní a důvěryhodné postupy podepisování.
DKIM a DMARCeye
DMARCeye nepřetržitě analyzuje výsledky ověřování DKIM napříč všemi vašimi doménami a subdoménami. Platforma identifikuje chybějící nebo neplatné DKIM záznamy, slabé klíče a selhání sladění, která by mohla ovlivnit soulad s DMARC.
DMARCeye také vizualizuje, které selektory se používají, jak si zprávy vedou napříč různými odesílacími službami a kde selhává ověření podpisu. Zjednodušením správy a monitoringu DKIM pomáhá DMARCeye organizacím udržovat zabezpečené a důvěryhodné ověřování e-mailu, které podporuje vyšší doručitelnost a silnější ochranu domény.
Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.
Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.