DKIM magyarázata

A postaládáink Spamelése a spamrobotok kedvelt időtöltése volt az első e-mail postafiók létrehozása óta. Bár bosszantó, ezeknek az üzeneteknek a többsége csak ártalmatlan kísérlet arra, hogy érdeklődjön néhány termék vagy szolgáltatás iránt. Megtanultuk figyelmen kívül hagyni őket, és manapság kifinomult spamszűrőkkel alig vesszük észre őket. A dolgok egy kicsit trükkösebbek lesznek, amikor a legjobb barátjának megszemélyesítő bot e-mailt küld neked egy új termékről, amelyet éppen talált. Képes lennél ellenállni, ha látnád, miről beszél?,

a DKIM aláírás más módszerekkel, például az SPF vagy a DMARC, az egyik leggyakoribb módszer az e-mail üzenet küldőjének hitelesítésére. Az alábbiakban elmagyarázzuk, miért kell használni azt is, hogyan működik valójában. Kezdjük!

miért használja a DKIM-et?

képzelje el a következő forgatókönyvet. Te vagy a felelős a fényes új termék értékesítéséért, és ismersz egy vezérigazgatót, akit igazán érdekelhet. Találkozott Yvonne véletlenszerűen egy tech meetup két héttel ezelőtt említette a terméket röviden, neki látható érdeklődés (legalábbis úgy gondolta)., Odaadta a névjegykártyáját, és kért egy e-mailt néhány további részletgel, ami után máshova rohant.

most egész délután egy e-mailt készítesz neki, elmagyarázva, hogyan fogja sokkal hatékonyabbá tenni a vállalatát. Miután legalább 10-szer elolvasta, nyomja meg a “küldés” gombot, majd zárja be a laptopot. Akkor idegesen frissíti az e-mail alkalmazást a telefonján félóránként, de eredmény nélkül. Egy nap telik el, majd egy másik., Végül, miután nagyjából másfél hét, küld egy gyors megjegyzés ” Yvonne, tudassa velem, ha szeretne találkozni, boldog, hogy jöjjön át bármikor.”. Egy hét telik el, majd egy másik-nincs válasz. Elkezdesz azon tűnődni, mi történt rosszul.

ezután egy másik találkozón három hónappal később észreveszi Yvonne-t a folyosón. Odamész hozzá és elkezdesz beszélgetni. Egy bizonyos ponton diszkréten megemlíti a termékét és a beszélgetést egy ideje. Zavarba ejtve Yvonne azt mondja: “Mark, soha nem hallottam rólad. Nem tudtunk tovább várni, ezért egy másik céggel szerződtünk, és nagyon jók”.,

mi itt valóban rosszul ment? Mark valóban küldött egy e-mailt, de soha nem érte el Yvonne postaládáját. Mivel ez nem ugrál (megkapta volna a szállítási állapot értesítést (DSN), ha igen), akkor kihagyta a beérkező leveleket. Végül egy “spam” mappába került, valamint potenciálisan izmos kifizetést remélt.

miért történt ez? Számos lehetséges oka van a rossz teljesíthetőségnek, de, mint kiderült, Mark elfelejtette beállítani a DKIM hitelesítést az e-mail fiókjához., Ennek eredményeként Yvonne szervere nem volt egészen biztos abban, hogy valóban Mark e-mailt küld neki, majd eldobta az üzenetet, csak abban az esetben (üzembe “tényleg meg kell látni ezt!”a témában valószínűleg szintén szerepet játszott).

mi az a DKIM?

a DomainKeys Identified Mail (DKIM) egy digitális aláírás, amely hozzáadódik minden e-mailhez, amelyet egy adott e-mail címről küldtek. Ez nem egy tipikus aláírás, amelyet elvárhat a vállalati e-mail alján. Ami azt illeti, általában nem is látja a DKIM-et., Ez egy látszólag véletlenszerű karakterkészlet, amely el van rejtve egy e – mail forráskódjában-egy olyan hely, ahol az emberek általában nem néznek ki, hanem a bejövő e-maileket elfogadó szerverek. Végül is a DKIM a hitelesítés iparági szabványa.

a DKIM lehetővé tenné Mark számára, hogy felelősséget vállaljon egy e-mail üzenetért, amelyet Yvonne-nak küldött. Ezzel az aláírással azt mondaná: “Hé, Mark vagyok, az e-mail címemről írok [email protected] 2019.június 21-én 3:52-kor PST. Ebben az e-mailben a következő üzenetet veszem fel: (…)”., Amikor az üzenet megérkezik, Yvonne e-mail szervere elolvassa ezt az üzenetet, gondolkodjon egy rövid pillanatra (például nagyon rövidre), és ha minden jól hangzik, jelenítse meg az üzenetet Yvonne postafiókjában. Természetesen a DKIM aláírás hozzáadása nem garantálja a kézbesítést, de jelentősen növeli a pozitív eredmény esélyét.

természetesen Marknak nem kell ilyen üzenetet írnia minden egyes alkalommal, amikor e-mailt akar küldeni valakinek. Ez történik automatikusan minden egyes alkalommal, ha DKIM van beállítva az ő domain.

hogyan néz ki egy DKIM fejléc?,

íme egy példa a DomainKeys azonosított Mail rekord:

DKIM alkotja különböző elemek, leírt különböző címkék és értékek megfelelő minden. Bontsuk le a fent használt mindegyik jelentését:

jelentése

végül ez mind a fejlécek, mind a test digitális aláírása, ugyanazzal a funkcióval.,

címke és értéke		kötelező/opcionális
V=1	verzió. Mindig egyenlő “1”.,	kötelező
a=RSA-sha256	aláírási algoritmus (tehát a DKIM rekord létrehozásához használt a feladó végén). Általában ez vagy rsa-sha vagy rsa-sha256. Vannak más algoritmusok is, de nem mindig támogatják az ügyfelek fogadását.	kötelező
d=example.net	egy üzenet feladójának tartománya (ahol a DKIM aláírásra kerül)	kötelező
s = newyork	választó., Ez magában foglalja az utasításokat, amelyek nyilvános kulcsot használni, hogy megoldja egy adott DKIM (többet róla később).	kötelező
C=nyugodt/egyszerű	kanonikalizációs algoritmus, amelyet mind a fejléc, mind a test esetében használnak.	kötelező
q = dns/txt	lekérdezési módszer, amelyet a nyilvános kulcs letöltésére használnak., Alapértelmezés szerint ez a dns/txt’	nem Kötelező (ajánlott)
t=1117574938	Egy időbélyeget is, amikor az üzenet aláírt	Kötelező
x=1118006938	Lejár az idő ezt a DKIM (ha e-mail érkezik, miután a lejárati idő, az ellenőrzés sikertelen lesz, még akkor is, ha minden más tökéletesen egyezik)	nem Kötelező (ajánlott)
h=küldi:címzett:tárgy:dat e:kulcsszavak:a kulcsszavakat;	Lista, fejlécek, kettősponttal elválasztva.,	Kötelező
bh=MTIzNDU2Nzg5M DEyMzQ1Njc4OTAxMj M0NTY3ODkwMTI=	A kivonatolt üzenet test, miután canonicalized a módszer a ” c ” címkét, majd fuss át a hash függvény a címke ‘egy’.	kötelező
b=dzdVyOfAKCdLXdJO c9g2q8loxslenisbav+ yu4zgeerud00lszzvo g4zhrniyzr	kötelező

mint látható, a tényleges aláírás csak egy kis része a DKIM-nek. Minden, ami fölött van, metaadatok, leírva, hogy a kivonatolt értékeket hogyan számították ki.

vegye figyelembe, hogy a két címke választható volt-nem szükségesek a DKIM megfelelő ellenőrzéséhez, hanem adjon hozzá egy extra biztonsági réteget., Számos további opcionális címke is használható:

Tag			td>
‘i’	egy felhasználó vagy ügynök személyazonossága. Ennek a címkének az értéke egy e-mail cím, beleértve a ” d ” címke alatt meghatározott tartományt és aldomaint.	ajánlott
‘l’	a test hashjának kiszámításához használt üzenettest hossza (karakterek száma)., Ha a címkét nem használják, feltételezzük, hogy az egész testet használták.	nem ajánlott
‘z’	Az üzenet eredeti fejléceinek listája.	nem ajánlott

hogyan működik a DKIM?

a DKIM aláírása és fogadása három lépésben történik.,

1. a feladó dönti el, hogy mit vegyen fel a DKIM rekordba

feladóként korlátozhatja magát a fejléc csak bizonyos részeire (“From”, “To”, “cc”, “subject” vagy mások), de olyan messzire is eljuthat, mint a DKIM teljes fejlécét és testét. Azt is választhatja, hogy hozzáad-e néhány vagy az összes opcionális mezőt, amelyeket fent említettünk. Bár felvettük őket a listába, nem javasoljuk az előző táblázat utolsó két címkéjének használatát. Nem hoznak sok értéket, és ha rosszul konfigurálják, hamis hitelesítéshez vezethetnek, még akkor is, ha a rekord többi része rendben van.,

technikailag a pontosabb részletek szerepelnek, annál megbízhatóbb hitelesítés lesz. De ezzel is óvatosnak kell lennie, mivel még az e-mail szerver által megváltoztatott apró részletek is sikertelen DKIM-hitelesítést eredményeznek a fogadó oldalon. Gondolj például a” továbbított … ” üzenetekre, amelyeket hozzáadnak az e-mailekhez, amikor továbbítják őket az e-mail kliensektől. Ha az egész testét bevonta a DKIM – be, akkor elkerülhetetlenül kudarcot vall, mivel a testet csak módosították.

ne aggódj, bár. Nem kell minden egyes e-mail küldésekor döntenie a DKIM alakjáról., Automatikusan gondoskodik egy szerverről, amelyet csak egyszer kell konfigurálnia.

2. A DKIM jön létre, és egy üzenetet, beleértve azt küldött

miután a szerver tudja, hogy mit kell tartalmaznia a DKIM, e-mail küldés kezdeményezett, elkezdi hashing a tartalmat. Már láttad, hogy a ” b “és a” bh ” címkék hogyan néztek ki l-ben a példánkban. Ha további példát szeretne adni, így néz ki az előző lépés, ha az SHA256 módszerrel szaggatott:

568291DDA7ECE2594254BC8E7D70DA150968D022021081BB6E3FC40DC9C260D6CE328291830AB02CFB1D8CDEC3C2B35C73F92ADF335BCCF38C6784AC9922A8C1

bár összetettnek tűnhet, az ilyen hashokat rendkívül könnyű megfejteni különböző online eszközökkel (próbáld ki magad!,). Ezért az e-mail elküldése előtt minden hash titkosítva van egy úgynevezett privát kulccsal. Minden használt választóhoz külön privát kulcs is lehet, még akkor is, ha az összes e-mailt ugyanabból a tartományból küldi. Ez jelentheti az egyik kulcsot a marketing e-mailekhez, a másik pedig a tranzakciós e-mailekhez, a harmadik pedig a szállítóknak küldött e-mailekhez. A különböző privát kulcsok használata biztonsági okokból fontos.

miután minden be van állítva, e-mailt küldünk!

3., Üzenet érkezik, és a kiszolgáló másodperceken belül ellenőrzi a DKIM aláírásokat

, egy üzenet érkezik a fogadó szerverhez, és fontos döntést kell hoznia – hogy engedélyezi-e az e-mailt vagy sem. Amikor látja, hogy egy DKIM szerepel az üzenetben, azonnal elindítja az érvényesítési folyamatot.
a DKIM-ben látható “domain” (“D) és “selector” (“s”) mezőkkel a kiszolgáló egy megfelelő DNS-lekérdezés futtatásával lekérheti az ehhez a kombinációhoz tartozó nyilvános kulcsot (ezek az adatok nyilvánosan elérhetők)., Ezután az újonnan beszerzett nyilvános kulcs és a ” b ” és ” h ” titkosított mezők segítségével a fogadó szerver saját hash-okat készít, és összehasonlítja azokat az üzenetekben kapott mezőkkel. Ha van egyezés – a hitelesítés sikeres. Ha nem, a DKIM engedély sikertelen. Ez nem jelenti azt, hogy az üzenetet eldobják, de csökkenti annak esélyét, hogy átadják.

hogyan lehet hozzáadni a DKIM aláírást az e-mailekhez?

a DKIM hozzáadása megköveteli a DNS-rekordok néhány részletének megváltoztatását. Sok e-mail kliensnek részletesen le kell fednie, így itt nem fogunk rá összpontosítani., Ellenőrizze a következő linkeket a legnépszerűbb szolgáltatókra vonatkozó részletekért:

• MailChimp
• SendGrid
• Sendinblue
• Mailjet
• AWeber
• Gmail
• Outlook & Office365

Ha az e-mail kliens nem nyújt segítséget a DKIM végrehajtásában, vagy saját infrastruktúrát állít be, nézze meg a DKIM hivatalos dokumentumait.

hogyan lehet ellenőrizni, hogy a DKIM megfelelően van-e konfigurálva?

a DKIM hozzáadása után ellenőrizze, hogy érvényesítette-e azt egy online DKIM analizátorral. Használja például az MXToolbox vagy a Mail-tester alkalmazást.,com, az utóbbi felhasználható az SPF rekordok egyidejű ellenőrzésére.

teszt e-mailt is küldhet a Gmail vagy a Yahoo fiókjába, és ellenőrizheti, hogy a DKIM aláírásával érkezett-e üzenet.

Az üzenet megérkezése után bontsa ki a fejlécet a feladó neve alatti háromszög ikonnal. Ha a feladó domainje megjelenik mind a “postázott”, mind az “aláírott” esetén, akkor az üzenetet sikeresen ellenőrizték a DKIM segítségével.,

A jobb felső sarokban található három pontra és az “eredeti megjelenítése”gombra is kattinthat. Itt láthatja a DKIM hitelesítés eredményét. Ha a “PASS” szóval és a domain címmel jön, minden jól működik. Ha e-mailt küld a Gmailből, és nem állít be DKIM-engedélyt, akkor a Gmail hozzá fog rendelni egy alapértelmezettet az Ön számára, ha hozzáad valami hasonlót “.20150623.gappssmtp.com” a domain címéhez., Egy ilyen üzenet is hitelesített, de nem olyan hatékony, mint lenne az egyes DomainKeys azonosított Mail beállítás.

a DKIM rekord Yahoo-n történő ellenőrzéséhez kattintson a “teljes fejléc megtekintése” elemre, majd keresse meg a DKIM nyomát. Ha megtalálja dkim=pass (ok), akkor teljesítette a tesztet!

egyéb megfontolások

Ez lezárja a DKIM útmutatóját, de ennek nem szabad véget vetnie az e-mail kézbesíthetőségének javítására irányuló erőfeszítéseinek. Nézze meg a szállíthatóság útmutatóját, ahol rengeteg más ötletet sorolunk fel., Győződjön meg róla, hogy hitelesíti az SPF-et, valamint a DMARC-t is, hogy a domain még hitelesebb legyen. Csak egy kis időt és erőfeszítést igényel, de a kifizetés hatalmas lehet.