DKIM Explained

DKIM Explained

spam onze inboxen spammen is de voorkeur tijdverdrijf van spambots sinds de eerste e-mail mailbox werd gemaakt. Terwijl vervelend, de meeste van deze berichten zijn gewoon onschadelijke pogingen om u geïnteresseerd in sommige producten of diensten. We hebben geleerd om ze te negeren en met geavanceerde spamfilters deze dagen we nauwelijks merken ze. Dingen krijgen een beetje lastiger wanneer een bot imiteren van uw beste vriend e-mails u over een nieuw product dat ze net gevonden. Zou je het kunnen weerstaan om te zien waar ze het over heeft?,

DKIM signature, samen met andere methoden zoals SPF of DMARC, is een van de meest voorkomende methoden om uzelf te authenticeren als de afzender van een e-mailbericht. Hieronder leggen we uit waarom je het ook moet gebruiken en hoe het eigenlijk werkt. Laten we beginnen!

waarom DKIM gebruiken?

stel je het volgende scenario voor. Jij bent verantwoordelijk voor de verkoop van je gloednieuwe product en je kent een CEO die echt geïnteresseerd zou kunnen zijn. Je ontmoette Yvonne willekeurig op een Tech meetup twee weken geleden en noemde het product kort, om haar zichtbare interesse (althans dat dacht je)., Ze gaf je haar visitekaartje en vroeg om een e-mail met wat meer details, waarna ze zich ergens anders haastte.

nu besteed je de hele middag aan het maken van een e-mail voor haar, waarin je uitlegt hoe het haar bedrijf veel efficiënter zal maken. Na het minstens 10 keer gelezen te hebben, druk je op ‘Verzenden’ en sluit je de laptop. U, dan, nerveus vernieuwen de e-mail app op uw telefoon om het half uur, maar zonder resultaat. Een dag gaat voorbij, dan nog een en nog een., Tot slot, na ongeveer een week en een half, stuur je een snel bericht ” Yvonne, laat het me weten als je wilt ontmoeten, blij om langs te komen op elk gewenst moment.”. Nog een week gaat voorbij, en dan nog een-geen reactie. Je begint je af te vragen wat er mis ging.

dan, op een andere meetup drie maanden later, zie je Yvonne aan de overkant van de zaal. Je benadert haar en begint te praten. Op een gegeven moment, je discreet vermeld uw product en dat gesprek een tijdje terug. Verbaasd zegt Yvonne: “Mark, ik heb nooit iets van je gehoord. We konden niet langer wachten dus we hebben getekend bij een ander bedrijf en ze zijn vrij geweldig”.,

Wat is hier echt fout gegaan? Mark heeft inderdaad een e-mail gestuurd maar het heeft nooit Yvonne ‘ s inbox bereikt. Omdat het niet stuiteren (hij zou hebben ontvangen van een Delivery Status Notification (DSN) als het deed), moet het overgeslagen de inbox. Het eindigde in een’ spam ‘ map, samen met potentieel forse uitbetaling hij had gehoopt.

Waarom is dit gebeurd? Er zijn vele mogelijke redenen voor slechte leverbaarheid, maar, zoals bleek, Mark vergat het opzetten van DKIM authenticatie voor zijn e-mailaccount., Als gevolg daarvan, Yvonne ’s server was niet helemaal zeker of het echt Mark e-mailen haar en weggegooid het bericht, voor het geval (putting” je echt nodig hebt om dit te zien!”in het onderwerp speelde waarschijnlijk ook zijn rol).

Wat is DKIM?

DomainKeys Identified Mail (DKIM) is een digitale handtekening die wordt toegevoegd aan elke e-mail die vanaf een bepaald e-mailadres wordt verzonden. Het is niet een typische handtekening die je verwacht te zien op de bodem van een zakelijke e-mail. Normaal gezien zie je de DKIM niet eens., Het is een schijnbaar willekeurige set tekens die zijn verborgen in de broncode van een e – mail-een plek waar mensen meestal niet kijken, maar servers accepteren inkomende e-mails zeker zal. DKIM is immers een industriestandaard voor authenticatie.

DKIM zou Mark toestaan om verantwoordelijkheid te nemen voor een e-mailbericht dat hij op het punt stond naar Yvonne te sturen. Met deze handtekening zei hij: “Hé, ik ben Mark, ik schrijf vanaf mijn e-mailadres [email protected] op 21 juni 2019 om 15: 52 PST. Ik ben inclusief in deze e-mail het volgende bericht: (…)”., Wanneer het bericht is ontvangen, zou Yvonne ’s e-mailserver dit bericht lezen, denken voor een kort moment (als, Echt Kort) en als alles goed klinkt, toon het bericht in Yvonne’ s mailbox. Natuurlijk, het toevoegen van DKIM handtekening niet garanderen levering, maar het verhoogt aanzienlijk de kans op een positief resultaat.

natuurlijk hoeft Mark niet elke keer dat hij iemand een e-mail wil sturen zo ‘ n bericht te schrijven. Het gebeurt automatisch elke keer, zodra DKIM is geconfigureerd voor zijn domein.

hoe ziet een DKIM-Header eruit?,

Hier is een voorbeeld van een DomainKeys geïdentificeerd e-mail record:

DKIM bestaat uit verschillende elementen, beschreven met verschillende tags en waarden die overeenkomen met elk. Laten we de Betekenis van elk van de hierboven gebruikte:

Tag en zijn waarde betekenis verplicht/optioneel
V=1 versie. Altijd gelijk aan ‘1’.,
verplicht
a=rsa-sha256 Ondertekeningsalgoritme (dus het algoritme dat wordt gebruikt om een DKIM-record aan het einde van de afzender te maken). Meestal is het rsa-sha of rsa-sha256. Er zijn andere algoritmen, maar ze worden niet altijd ondersteund door ontvangende clients. verplicht
d=example.net Het domein van een afzender van een bericht (waarbij DKIM is ondertekend) verplicht
s=newyork Selector., Dit omvat instructies over welke publieke sleutel moet worden gebruikt om een bepaalde DKIM op te lossen (meer hierover later).
verplicht
c=relaxed / simple Canonicalisatiealgoritme dat wordt gebruikt voor zowel header als body. verplicht
q=dns/txt Query methode die wordt gebruikt om de publieke sleutel op te halen., Standaard is ‘dns/txt’ Optioneel (aanbevolen)
t=1117574938 Een timestamp van het moment waarop de boodschap was ondertekend Verplicht
x=1118006938 Verstrijkt de tijd van deze DKIM (als een e-mail binnenkomt na het verstrijken van de tijd, de verificatie mislukt, zelfs als alles past perfect) Optioneel (aanbevolen)
h=van:aan:betreft:dat
e:trefwoorden:trefwoorden;
Lijst van koppen, gescheiden door dubbele punten.,
verplicht

bh=MTIzNDU2Nzg5M
DEyMzQ1Njc4OTAxMj
M0NTY3ODkwMTI=
de gehashte berichttekst, na te zijn gekanoniseerd met de methode van ‘ C ‘ – tag en vervolgens door de hash-functie van tag ‘a’te lopen. verplicht
b=dzdVyOfAKCdLXdJO
c9G2q8LoXSlEniSbav+
yuU4zGeeruD00lszZVo
G4ZHRNiYzR
en tot slot is dit de digitale handtekening van zowel headers als body, gehashed met dezelfde functie., verplicht

zoals u kunt zien, is de werkelijke handtekening slechts een klein deel van DKIM. Alles wat erboven staat is metadata, die beschrijft hoe de gehashte waarden werden berekend.

merk op hoe twee van de tags als optioneel werden gemarkeerd-ze zijn niet nodig om DKIM correct te controleren, maar voegen een extra beveiligingslaag toe., Er zijn verschillende andere optionele tags die u kunt gebruiken:

Tag betekenis aanbevolen of niet
br>’I’
identiteit van een gebruiker of agent. De waarde van deze tag is een e-mailadres, inclusief een domein en subdomein zoals gedefinieerd onder ‘d’ tag.

aanbevolen
‘l’ Lengte van de berichttekst (aantal tekens) die werd gebruikt om de hoofdteksthash te berekenen., Als de tag niet wordt gebruikt, wordt aangenomen dat het hele lichaam werd gebruikt. niet aanbevolen
‘z’ lijst van de oorspronkelijke berichtkoppen. Niet aanbevolen

Hoe werkt DKIM?

het ondertekenen en ontvangen van DKIM gebeurt in drie stappen.,

  1. de afzender beslist wat in een DKIM-record moet worden opgenomen

als afzender kunt u zich beperken tot slechts bepaalde delen van een header (‘van’, ‘To’, ‘cc’, ‘subject’ of anderen), maar u kunt ook zover gaan dat u de volledige header en body in DKIM opneemt. U kunt er ook voor kiezen om enkele of alle Optionele velden toe te voegen die we hierboven hebben genoemd. Hoewel we ze in de lijst hebben opgenomen, raden we niet aan om de laatste twee tags uit de vorige tabel te gebruiken. Ze brengen niet veel waarde en wanneer verkeerd geconfigureerd, kunnen ze leiden tot valse authenticatie, zelfs als de rest van het record is prima.,

technisch gezien zal de meer specifieke details worden opgenomen, hoe betrouwbaarder authenticatie zal zijn. Maar je moet ook voorzichtig zijn met dit als zelfs de kleine details veranderd door uw e-mailserver zal leiden tot een mislukte DKIM authenticatie aan de ontvangende kant. Denk bijvoorbeeld aan” doorgestuurd door… ” – berichten die worden toegevoegd aan e-mails wanneer ze worden doorgestuurd vanuit e-mailclients. Als u uw hele lichaam in DKIM opgenomen, zal het nu onvermijdelijk mislukken als het lichaam werd gewoon gewijzigd.

maak je echter geen zorgen. U hoeft niet te beslissen over de vorm van een DKIM elke keer dat u een e-mail te sturen., Het wordt automatisch verzorgd door een server die u slechts één keer moet configureren.

2. De DKIM wordt aangemaakt en een bericht dat het bevat wordt verzonden

zodra de server weet wat in de DKIM moet worden opgenomen en het versturen van e-mail wordt gestart, begint het de inhoud te hashen. Je zag al hoe’ b ‘en’ bh ‘ tags eruit zagen in ons voorbeeld. Om je een ander voorbeeld te geven, hier is hoe de vorige stap eruit zou zien als gehasht met de SHA256 methode:

568291DDA7ECE2594254BC8E7D70DA150968D022021081BB6E3FC40DC9C260D6CE328291830AB02CFB1D8CDEC3C2B35C73F92ADF335BCCF38C6784AC9922A8C1

hoewel het complex lijkt, zijn dergelijke hashes zeer eenvoudig te ontcijferen met verschillende online tools (probeer het zelf!,). Daarom wordt elke hash, voordat een e-mail wordt verzonden, versleuteld met een zogenaamde private key. Voor elke selector die u gebruikt, kunt u een aparte persoonlijke sleutel hebben, zelfs als u alle e-mails van hetzelfde domein verzendt. Dit kan betekenen een sleutel voor marketing e-mails, een andere voor transactionele degenen en een derde voor e-mails verzonden naar leveranciers. Om veiligheidsredenen is het belangrijk om verschillende privésleutels te gebruiken.

zodra alles is ingesteld, wordt er een e-mail verzonden!

3., Er wordt een bericht ontvangen en de server valideert de DKIM-handtekeningen

binnen enkele seconden wordt een bericht ontvangen door de ontvangende server en het moet een belangrijke beslissing nemen – of de e-mail wel of niet wordt toegelaten. Wanneer het ziet dat een DKIM is opgenomen in het bericht, Het start onmiddellijk het validatieproces.
als de velden’ domain ‘(‘d) en’selector’ (‘s’) zichtbaar zijn in DKIM, kan de server de publieke sleutel ophalen die overeenkomt met deze combinatie door een geschikte DNS-query uit te voeren (dergelijke gegevens zijn openbaar beschikbaar)., Vervolgens bouwt de ontvangende server met de nieuw verworven publieke sleutel en de versleutelde velden ‘b’ en ‘h’ zijn eigen hashes en vergelijkt deze met de hashes die in een bericht zijn ontvangen. Als er een overeenkomst is-de authenticatie is succesvol. Zo niet, dan faalt de DKIM-autorisatie. Het betekent niet dat het bericht zal worden weggegooid, maar het verlaagt de kans om te worden geleverd.

hoe DKIM-handtekening toevoegen aan uw e-mails?

Het toevoegen van DKIM vereist het wijzigen van enkele details van uw DNS-records. Veel e-mailclients hebben het in detail behandeld, dus we zullen ons hier niet op richten., Check de volgende links voor de details specifiek voor de meest populaire aanbieders:

  • MailChimp
  • SendGrid
  • Sendinblue
  • Mailjet
  • AWeber
  • Gmail
  • Outlook & Office365

Als uw e-mailclient niet bieden u alle hulp van de uitvoering van DKIM of je het opzetten van uw eigen infrastructuur, check out de officiële documenten van DKIM.

hoe te testen of DKIM correct is geconfigureerd?

zodra DKIM is toegevoegd, zorg ervoor dat u het valideert met een online DKIM analyzer. Gebruik bijvoorbeeld MXToolbox of Mail-tester.,com, de laatste kan worden gebruikt om SPF records tegelijkertijd te controleren.

u kunt ook een test-e-mail naar uw Gmail-of Yahoo-account sturen en uzelf controleren of er een bericht met uw DKIM-handtekening is geleverd.

zodra het bericht binnenkomt, vouwt u de header uit met het driehoekspictogram onder de naam van de afzender. Als het domein van de afzender verschijnt voor zowel ‘gemaild-by’ als ‘signed-by’, is het bericht met succes geverifieerd met DKIM.,

u kunt ook op de drie punten in de rechterbovenhoek en op”Toon origineel” klikken. Hier ziet u het resultaat van DKIM authenticatie. Als het wordt geleverd met het woord ‘PASS’ en uw domeinadres, Alles werkt prima. Als u een e-mail van Gmail verzendt en geen DKIM-autorisatie instelt, zal Gmail een standaardtoewijzing voor u toewijzen door iets als “.20150623.gappssmtp.com” aan uw domeinadres toe te voegen., Een dergelijk bericht is ook geverifieerd, maar niet zo effectief als het zou zijn met uw individuele DomainKeys geà dentificeerd Mail setup.

om de DKIM record op Yahoo te verifiëren, klikt u op” View Full Header ” en zoekt u naar het spoor van DKIM. Als u dkim=pass (ok) vindt, bent u geslaagd voor de test!

andere overwegingen

Dit is de samenvatting van onze gids voor DKIM, maar het zou geen einde moeten zijn aan uw inspanningen om de e-mailleverbaarheid te verbeteren. Bekijk onze gids voor deliverability waar we een lijst van tal van andere ideeën., Zorg ervoor dat u zich ook authenticeert met SPF en DMARC om uw domein nog geloofwaardiger te maken. Het kost maar een klein beetje tijd en moeite, maar de uitbetaling kan enorm zijn.

Als u dit artikel leuk vond, deel en verspreid het woord. We zullen het echt waarderen.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *