DKIM Vysvětlil

DKIM Vysvětlil

rozesílání Spamu našich schránek má oblíbenou kratochvílí spamboty od doby, kdy první e-mailové schránky byl vytvořen. Zatímco nepříjemné, většina z těchto zpráv jsou jen neškodné pokusy, aby vám zájem o některé produkty nebo služby. Naučili jsme se je ignorovat a pomocí sofistikovaných spamových filtrů si jich dnes téměř ani nevšimneme. Věci jsou trochu složitější, když vám bot vydávající se za svého nejlepšího přítele e-maily o novém produktu, který právě našla. Mohl byste odolat tomu, abyste viděl,o čem je?,

podpis DKIM spolu s dalšími metodami, jako je SPF nebo DMARC, je jednou z nejčastějších metod ověřování sebe jako odesílatele e-mailové zprávy. Níže vysvětlíme, proč byste ji měli také používat a jak to skutečně funguje. Začneme!

Proč používat DKIM?

Představte si následující scénář. Máte na starosti prodej vašeho lesklého nového produktu a znáte jednoho generálního ředitele, který by mohl mít opravdu zájem. S Yvonne jste se náhodně setkali na technickém setkání před dvěma týdny a krátce jste se o produktu zmínili, k jejímu viditelnému zájmu (alespoň jste si to mysleli)., Dala vám vizitku a požádala o e-mail s dalšími podrobnostmi, po kterém spěchala někam jinam.

nyní trávíte celé odpoledne vytvářením e-mailu pro ni a vysvětlením, jak to učiní její společnost mnohem efektivnější. Po přečtení alespoň 10krát stiskněte tlačítko „Odeslat“ a zavřete notebook. Vy pak nervózně aktualizujete e-mailovou aplikaci v telefonu každých půl hodiny, ale bez výsledku. Uplyne den, pak další a další., Konečně, po zhruba týdnu a půl, pošlete rychlou poznámku “ Yvonne, dejte mi vědět, pokud byste se chtěli setkat, rádi přijedou kdykoliv.”. Další týden uplyne a pak další-žádná odpověď. Začnete přemýšlet, co se stalo.

pak, na dalším setkání o tři měsíce později, spatříte Yvonne přes chodbu. Přiblížíte se k ní a začnete chatovat. V určitém okamžiku diskrétně zmíníte svůj produkt a ten rozhovor před chvílí. Zmatený, Yvonne říká: „Marku, nikdy jsem o tobě neslyšel. Už jsme nemohli čekat, takže jsme podepsali s jinou společností a jsou docela skvělí“.,

Co se tady opravdu pokazilo? Mark skutečně poslal e-mail, ale nikdy nedosáhl doručené pošty Yvonne. Vzhledem k tomu, že se neodrazil (pokud by obdržel oznámení o stavu doručení (DSN)), musel přeskočit doručenou poštu. Skončilo to ve složce „spam“, spolu s potenciálně statnou výplatou, kterou doufal.

proč se to stalo? Existuje mnoho potenciálních důvodů pro špatnou doručitelnost, ale jak se ukázalo, Mark zapomněl nastavit autentizaci DKIM pro svůj e-mailový účet., Jako výsledek, server Yvonne nebyl zcela jistý, jestli to bylo opravdu Mark ji e-mailem a vyhodil zprávu, jen pro případ (uvedení “ opravdu to musíte vidět!“v tématu pravděpodobně také hrála svou roli).

co je DKIM?

DomainKeys Identifikovány Mail (DKIM) je digitální podpis, který je přidán na každý e-mail poslal z dané e-mailové adresy. Není to typický podpis, který očekáváte na spodní straně firemního e-mailu. Ve skutečnosti normálně ani nevidíte DKIM., Je to zdánlivě náhodných znaků, které jsou skryté ve zdrojovém kódu e-mail – místo, kde se lidé obvykle vypadají, ale servery přijímat příchozí e-maily určitě bude. Koneckonců, DKIM je průmyslovým standardem pro autentizaci.

DKIM by umožnil Markovi převzít odpovědnost za e-mailovou zprávu, kterou se chystal poslat Yvonne. S tímto podpisem by řekl: „Hej, jsem Mark, psaní z mé e-mailové adresy [email protected] 21. června 2019 v 3: 52 PST. Do tohoto e-mailu zahrnuji následující zprávu: (…)“., Když je zpráva přijata, e-mailový server Yvonne by tuto zprávu přečetl, na krátkou chvíli (jako opravdu krátký) a pokud vše zní dobře, zobrazí zprávu ve schránce Yvonne. Samozřejmě, přidání podpisu DKIM nezaručuje doručení, ale výrazně zvyšuje šance na pozitivní výsledek.

samozřejmě, Mark nemusí psát takovou zprávu pokaždé, když chce někoho poslat e-mailem. Stává se to automaticky pokaždé, jakmile je DKIM nakonfigurován pro svou doménu.

jak vypadá hlavička DKIM?,

zde je příklad záznamu pošty identifikovaného DomainKeys:

DKIM se skládá z různých prvků, popsaných různými značkami a hodnotami odpovídajícími každému. Pojďme rozebrat význam každé, která byla použita výše:

Tag a jeho hodnota Význam Povinné/nepovinné
v=1 Verze. Vždy se rovná ‚1‘.,
povinné

a=RSA-sha256
podpisový algoritmus (takže ten slouží k vytvoření záznamu DKIM na konci odesílatele). Obvykle je to buď rsa-sha nebo rsa-sha256. Existují i jiné algoritmy, ale nejsou vždy podporovány přijímáním klientů. Povinně
d=example.net domény odesílatele zprávy (kde DKIM podepsaná) Povinně
s=new yorku Voliče., To zahrnuje pokyny, na které veřejný klíč použít k vyřešení daného DKIM (více o tom později).
povinné

c=uvolněný/jednoduchý
kanonizační algoritmus, který se používá jak pro hlavičku, tak pro tělo. povinné
q=dns/txt metoda dotazu, která se používá k načtení veřejného klíče., Ve výchozím nastavení, to je dns/txt‘ Volitelné (doporučené)
t=1117574938 časové razítko, kdy byla zpráva podepsána Povinně
x=1118006938 čas vypršení tohoto DKIM (pokud e-mail přijde po vypršení času, ověření se nezdaří, i když vše ostatní odpovídá dokonale) Volitelné (doporučeno)
h=odesílatel:příjemce:předmět:dat
e:klíčová slova:klíčová slova;
Seznam mailů, oddělených dvojtečkou., Povinně
zs=MTIzNDU2Nzg5M
DEyMzQ1Njc4OTAxMj
M0NTY3ODkwMTI=
hash těla zprávy, poté, co byl anglické popisky ze s metodou z “ c „tag, a pak spustit prostřednictvím funkce hash z tag „a“. Povinně
b=dzdVyOfAKCdLXdJO
c9G2q8LoXSlEniSbav+
yuU4zGeeruD00lszZVo
G4ZHRNiYzR
A konečně, je to digitální podpis obou záhlaví a tělo, hash s velmi stejné funkce., Povinně

Jak můžete vidět, skutečné podpis je jen malá část z DKIM. Vše, co je nad ním, jsou metadata, popisující, jak byly vypočítány hodnoty hashed.

Všimněte si, jak byly dvě značky označeny jako volitelné-nejsou nutné pro správné ověření DKIM, ale přidat další vrstvu zabezpečení., Existuje několik další nepovinné tagy, které můžete použít:

Tag Význam Doporučené nebo ne
„já“ identity uživatele nebo agent. Hodnota této značky je e-mailová adresa, včetně domény a subdomény definované pod značkou „d“. doporučeno
‚ l ‚ délka těla zprávy (počet znaků), která byla použita k výpočtu hash těla., Pokud se značka nepoužívá, předpokládá se, že bylo použito celé tělo. nedoporučuje se
‚z‘ seznam původních záhlaví zprávy. doporučené

Jak DKIM funguje?

podepisování a přijímání DKIM probíhá ve třech krocích.,

  1. odesílatel rozhodne, co patří do DKIM záznam

Jako odesílatel, můžete omezit sami na jen určité části header (‚Z‘, ‚K‘, ‚cc‘, ‚téma‘ nebo jiné), ale může také jít tak daleko, jak je, včetně celé hlavičky a těla v DKIM. Můžete také zvolit přidání některých nebo všech volitelných polí, které jsme zmínili výše. I když jsme je zahrnuli do seznamu, nedoporučujeme používat poslední dvě značky z předchozí tabulky. Nepřinášejí velkou hodnotu a když jsou nesprávně nakonfigurovány, mohou vést k falešné autentizaci, i když je zbytek záznamu v pořádku.,

technicky jsou zahrnuty konkrétnější podrobnosti, tím spolehlivější bude autentizace. S tím však musíte být opatrní, protože i drobné detaily změněné vaším e-mailovým serverem povedou k neúspěšné autentizaci DKIM na přijímací straně. Přemýšlejte například o zprávách“ předaných…“, které jsou přidány do e-mailů při jejich předávání Od e-mailových klientů. Pokud jste zahrnuli celé své tělo do DKIM, bude to nyní nevyhnutelně selhat, protože tělo bylo právě upraveno.

nebojte se, ačkoli. Nemusíte se rozhodovat o tvaru DKIM pokaždé, když pošlete e-mail., Postará se o to automaticky server, který musíte nakonfigurovat jen jednou.

2. DKIM je vytvořen a zpráva včetně je odeslána

jakmile server ví, co má zahrnout do DKIM a je zahájeno odesílání e-mailů, začne hash obsah. Už jste viděli, jak značky “ b “ a “ bh “ vypadaly v našem příkladu. Aby vám další příklad, zde je návod, jak předchozí krok by měl vypadat, pokud hash s SHA256 metoda:

568291DDA7ECE2594254BC8E7D70DA150968D022021081BB6E3FC40DC9C260D6CE328291830AB02CFB1D8CDEC3C2B35C73F92ADF335BCCF38C6784AC9922A8C1

i když to může zdát složité, tyto hodnoty hash jsou velmi snadné rozluštit různé on-line nástroje (zkuste si to sami!,). Proto je před odesláním e-mailu každý hash šifrován tzv. Pro každý volič, který používáte, můžete mít samostatný soukromý klíč, i když odesíláte všechny e-maily ze stejné domény. To může znamenat jeden klíč pro marketingové e-maily, druhý pro transakční e-maily a třetinu pro e-maily odeslané prodejcům. Použití různých soukromých klíčů je důležité z bezpečnostních důvodů.

jakmile je vše nastaveno, je odeslán e-mail!

3., Zpráva je přijata a server ověřuje podpisy DKIM

, přijímající server obdrží zprávu a musí učinit důležité rozhodnutí – zda povolit e-mail nebo ne. Když vidí, že DKIM je součástí zprávy, okamžitě spustí proces validace.
S ‚domain‘ (‚d‘) a ‚selector‘ („s“) pole viditelné v DKIM, server může načíst veřejný klíč odpovídající této kombinaci spuštěním odpovídající DNS dotazu (tyto údaje jsou veřejně dostupné)., Pak, s nově získaný veřejný klíč a “ b “ a “ h “ šifrované pole, přijímající server vybudovat vlastní hash a porovnává je s těmi, které obdrželi ve zprávě. Pokud existuje shoda – ověření je úspěšné. Pokud tomu tak není, oprávnění DKIM selže. Neznamená to, že zpráva bude vyřazena, ale snižuje její šance na doručení.

jak přidat podpis DKIM do vašich e-mailů?

přidání DKIM vyžaduje změnu některých podrobností o vašich záznamech DNS. Mnoho e-mailových klientů to podrobně popisuje,takže se na to nebudeme soustředit., Podívejte se na následující odkazy pro podrobnosti specifické pro většinu populárních služeb:

  • MailChimp
  • SendGrid
  • Sendinblue
  • Mailjet
  • AWeber
  • Gmail
  • Vyhlídky & Office365

Pokud váš e-mailový klient nenabízí žádnou pomoc na implementaci DKIM nebo jste nastavení vlastní infrastruktury, podívejte se na oficiální dokumenty z DKIM.

jak testovat, zda byl DKIM správně nakonfigurován?

jakmile je DKIM přidán, ujistěte se, že jej ověřujete pomocí online analyzátoru DKIM. Použijte například mxtoolbox nebo Mail-tester.,com, ten druhý lze použít ke kontrole záznamů SPF současně.

můžete také poslat testovací e-mail na svůj účet Gmail nebo Yahoo a ověřit si, zda zpráva přišla s podpisem DKIM.

jakmile zpráva dorazí, rozbalte záhlaví ikonou trojúhelníku pod jménem odesílatele. Pokud se doména odesílatele zobrazí jak pro „e-mail-by“, tak pro „signed-by“, byla zpráva úspěšně ověřena pomocí DKIM.,

můžete také kliknout na tři tečky v pravém horním rohu a „Show Original“. Zde uvidíte výsledek ověření DKIM. Pokud je dodáván se slovem „PASS“ a adresou domény, vše funguje dobře. Pokud odešlete e-mail z Gmailu a nenastavíte autorizaci DKIM, Gmail vám přiřadí výchozí adresu přidáním něčeho jako „.20150623.gappssmtp.com“ na adresu domény., Taková zpráva je také ověřena, ale není tak účinná, jak by to bylo s vaším individuálním nastavením pošty identifikovaným DomainKeys.

Chcete-li ověřit záznam DKIM na Yahoo, klikněte na „zobrazit úplnou záhlaví“ a vyhledejte stopu DKIM. Pokud najdete dkim=pass (ok), jste prošli testem!

Další úvahy

Tento finišuje náš průvodce DKIM, ale nemělo by to být konec své úsilí pro zlepšení doručitelnosti. Podívejte se na našeho průvodce dodávkou, kde uvádíme spoustu dalších nápadů., Ujistěte se, že se také ověřujete pomocí SPF a DMARC, aby byla vaše doména ještě důvěryhodnější. Trvá to jen trochu času a úsilí, ale odměna může být obrovská.

Pokud se vám tento článek líbil, sdílejte a šířte slovo. Budeme to opravdu ocenit.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *