DKIM doména (d=)
Parametr d= v DKIM podpisu určuje doménu odpovědnou za zprávu. Zjistěte, jak funguje a jakou roli hraje ve sladění DMARC.
Co je DKIM doména (d=)?
DKIM doména, kterou v DKIM podpisu představuje parametr d=, určuje doménu, jež přebírá odpovědnost za e-mailovou zprávu. Tato doména se objevuje v hlavičce DKIM-Signature a přijímající poštovní servery ji používají k ověření pravosti zprávy. Jde o jedno z nejdůležitějších polí v DKIM, protože definuje subjekt, který ručí za integritu zprávy.
Když poštovní server odesílatele podepíše zprávu pomocí DomainKeys Identified Mail (DKIM), podpis obsahuje hodnotu d=, selektor (s=) a kryptografický hash zprávy. Přijímající server získá veřejný klíč pro danou doménu z DNS, přičemž ke správnému záznamu jej dovede selektor, a ověří podpis. Pokud ověření uspěje, příjemce může věřit, že zpráva nebyla po podepsání změněna a že pochází z uvedené domény.
Jak parametr DKIM domény (d=) funguje
Každá odchozí zpráva obsahuje hlavičku DKIM-Signature, například takto:
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:to:subject; bh=base64hash; b=signaturedataZde d=example.com ověřovateli sděluje, že za podpis odpovídá doména example.com. Přijímající server vyhledá veřejný klíč v DNS na adrese:
selector1._domainkey.example.comPokud se veřejný klíč získaný z DNS shoduje se soukromým klíčem, kterým byla zpráva podepsána, kontrola DKIM projde. Hodnota d= může představovat hlavní doménu organizace nebo subdoménu vyhrazenou pro konkrétní poštovní tok či poskytovatele.
Role DKIM domény v ověřování
DKIM doména je klíčová pro to, jak příjemci určují sladění domény podle DMARC. Když DMARC vyhodnocuje zprávu, kontroluje, zda se doména v DKIM podpisu (d=) shoduje s viditelnou doménou From nebo je její subdoménou. Pokud se sladí a DKIM podpis je platný, zpráva projde sladěním DKIM podle DMARC.
Mezi běžné postupy při zavádění patří:
- Použití jediné podepisovací domény (například d=example.com) pro veškerou odchozí poštu
- Použití delegovaných subdomén (například d=mail.example.com) pro konkrétní dodavatele nebo systémy
- Zajištění, aby každá podepisovací doména zveřejnila v DNS platný veřejný klíč DKIM
- Sledování výsledků DKIM v reportech DMARC a ověřování konzistentního sladění
Bez správného nastavení mohou neshodné domény způsobit, že DKIM projde, ale DMARC selže. Pokud například váš DKIM podpis používá d=vendor.com, zatímco vaše doména From je example.com, zpráva se podle politiky DMARC nemusí sladit.
DKIM doména (d=) a DMARCeye
DMARCeye analyzuje DKIM domény napříč veškerým ověřeným provozem a odhaluje, které systémy a dodavatelé podepisují zprávy vaším jménem. Namapováním každé hodnoty d= na její organizační doménu DMARCeye ukazuje stav sladění, platnost klíčů i všechny neshodné nebo nedůvěryhodné podepisovatele.
Platforma také průběžně sleduje úspěšnost podpisů a upozorňuje vás na chybějící nebo expirované klíče DKIM. S touto viditelností mohou organizace zajistit konzistentní ověřování napříč všemi odesílateli, udržet sladění s politikou a chránit integritu značky před pokusy o spoofing.
Vyzkoušejte DMARCeye zdarma a zabezpečte svou e-mailovou doménu.
Chcete-li se dozvědět více o DMARC a souvisejících pojmech, prozkoumejte Slovník pojmů DMARCeye.