Domena DKIM (d=)
Domena DKIM (d=) wskazuje, kto bierze odpowiedzialność za wiadomość. Poznaj jej rolę w podpisie DKIM i wyrównaniu w ramach DMARC.
Czym jest domena DKIM (d=)?
Domena DKIM, reprezentowana przez znacznik d= w podpisie DKIM, wskazuje domenę, która bierze odpowiedzialność za wiadomość e-mail. Ta domena pojawia się w nagłówku DKIM-Signature i jest używana przez serwery odbiorcy do weryfikacji autentyczności wiadomości. To jedno z najważniejszych pól w DKIM, ponieważ określa podmiot ręczący za integralność wiadomości.
Gdy serwer pocztowy nadawcy podpisuje wiadomość za pomocą DomainKeys Identified Mail (DKIM), podpis zawiera wartość d=, selektor (s=) oraz kryptograficzny skrót wiadomości. Serwer odbiorcy pobiera klucz publiczny dla tej domeny z DNS, używając selektora do zlokalizowania właściwego rekordu, i weryfikuje podpis. Jeśli weryfikacja się powiedzie, odbiorca może ufać, że wiadomość nie została zmieniona po podpisaniu i że pochodzi z podanej domeny.
Jak działa znacznik domeny DKIM (d=)
Każda wychodząca wiadomość zawiera nagłówek DKIM-Signature podobny do poniższego:
DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:to:subject; bh=base64hash; b=signaturedataTutaj d=example.com mówi weryfikatorowi, że za podpis odpowiada domena example.com. Serwer odbiorcy wyszukuje klucz publiczny w DNS pod adresem:
selector1._domainkey.example.comJeśli klucz publiczny pobrany z DNS pasuje do klucza prywatnego, którym podpisano wiadomość, kontrola DKIM przechodzi pomyślnie. Wartość d= może reprezentować główną domenę organizacji albo subdomenę przeznaczoną dla konkretnego strumienia pocztowego lub dostawcy.
Rola domeny DKIM w uwierzytelnianiu
Domena DKIM ma kluczowe znaczenie dla tego, jak odbiorcy ustalają wyrównanie domen w ramach DMARC. Podczas oceny wiadomości DMARC sprawdza, czy domena w podpisie DKIM (d=) zgadza się z widoczną domeną w nagłówku From lub jest jej subdomeną. Jeśli są wyrównane, a podpis DKIM jest prawidłowy, wiadomość przechodzi wyrównanie DKIM w ramach DMARC.
Typowe praktyki wdrożeniowe obejmują:
- Używanie jednej domeny podpisującej (np. d=example.com) dla całej poczty wychodzącej
- Używanie delegowanych subdomen (np. d=mail.example.com) dla konkretnych dostawców lub systemów
- Zapewnienie, że każda domena podpisująca publikuje prawidłowy klucz publiczny DKIM w DNS
- Monitorowanie wyników DKIM w raportach DMARC w celu potwierdzenia spójnego wyrównania
Bez właściwej konfiguracji niezgodne domeny mogą sprawić, że DKIM przejdzie pomyślnie, a DMARC zawiedzie. Na przykład jeśli Twój podpis DKIM używa d=vendor.com, a domena w nagłówku From to example.com, wiadomość może nie być wyrównana zgodnie z polityką DMARC.
Domena DKIM (d=) a DMARCeye
DMARCeye analizuje domeny DKIM w całym uwierzytelnionym ruchu, aby pokazać, które systemy i dostawcy podpisują wiadomości w Twoim imieniu. Mapując każdą wartość d= na jej domenę organizacyjną, DMARCeye pokazuje status wyrównania, ważność klucza oraz wszelkich niezgodnych lub niezaufanych sygnatariuszy.
Platforma śledzi także wskaźniki skuteczności podpisów w czasie i ostrzega o brakujących lub wygasłych kluczach DKIM. Dzięki tej widoczności organizacje mogą zapewnić spójne uwierzytelnianie wszystkich nadawców, utrzymać wyrównanie zgodne z polityką i chronić integralność marki przed próbami spoofingu.
Sprawdź swoją konfigurację DKIM:
Wypróbuj DMARCeye za darmo i zabezpiecz swoją domenę e-mail.
Aby dowiedzieć się więcej o DMARC i powiązanych pojęciach, zajrzyj do Słownika pojęć DMARCeye.