DKIM Explained (Polski)

DKIM Explained (Polski)

Spamowanie naszych skrzynek jest preferowaną rozrywką spamerów od czasu utworzenia pierwszej skrzynki pocztowej. Chociaż irytujące, większość z tych wiadomości są po prostu nieszkodliwe próby, aby zainteresować się niektórymi produktami lub usługami. Nauczyliśmy się je ignorować, a dzięki zaawansowanym filtrom spamu w dzisiejszych czasach prawie ich nie zauważamy. Sprawy stają się nieco trudniejsze, gdy bot podszywający się pod twojego najlepszego przyjaciela wysyła Ci e-maile o nowym produkcie, który właśnie znalazła. Mógłbyś się oprzeć temu, o co jej chodzi?,

podpis DKIM, wraz z innymi metodami, takimi jak SPF lub DMARC, jest jedną z najczęstszych metod uwierzytelniania siebie jako nadawcy wiadomości e-mail. Poniżej wyjaśnimy, dlaczego powinieneś go używać i jak to działa. Zaczynajmy!

dlaczego warto korzystać z DKIM?

wyobraź sobie następujący scenariusz. Jesteś odpowiedzialny za sprzedaż swojego błyszczącego nowego produktu i znasz jednego prezesa, który może być naprawdę zainteresowany. Spotkałeś się z Yvonne przypadkowo na spotkaniu technicznym dwa tygodnie temu i krótko wspomniałeś o produkcie, ku jej widocznemu zainteresowaniu (przynajmniej tak myślałeś)., Dała Ci swoją wizytówkę i poprosiła o e-mail z pewnymi szczegółami, po czym pobiegła gdzie indziej.

teraz spędzasz całe popołudnie na tworzeniu maila dla niej, wyjaśniając, jak to sprawi, że jej firma będzie o wiele bardziej wydajna. Po przeczytaniu go co najmniej 10 razy, naciskasz „Wyślij” i zamykasz laptopa. Następnie nerwowo odświeżasz aplikację e-mail w telefonie co pół godziny, ale bez rezultatu. Mija dzień, potem kolejny i kolejny., W końcu, po około półtora tygodnia, wysyłasz szybką wiadomość ” Yvonne, daj mi znać, jeśli chcesz się spotkać, chętnie wpadniesz w każdej chwili.”. Mija kolejny tydzień, a potem kolejny-Brak odpowiedzi. Zaczynasz się zastanawiać, co poszło nie tak.

następnie, na kolejnym meetup trzy miesiące później, można zauważyć Yvonne po drugiej stronie korytarza. Podejdziesz do niej i zaczniesz gadać. W pewnym momencie dyskretnie wspominasz swój produkt i tę rozmowę jakiś czas temu. Zdziwiona Yvonne mówi: „Mark, nigdy się nie odezwałeś. Nie mogliśmy dłużej czekać, więc podpisaliśmy umowę z inną firmą i są całkiem świetne”.,

Co tu naprawdę poszło nie tak? Mark rzeczywiście wysłał e-mail, ale nigdy nie dotarł do skrzynki odbiorczej Yvonne. Ponieważ nie odbił się (otrzymałby powiadomienie o statusie dostawy (DSN), gdyby tak się stało), musiał pominąć skrzynkę odbiorczą. Skończyło się w folderze „spam”, wraz z potencjalnie sporą wypłatą, na którą liczył.

dlaczego tak się stało? Istnieje wiele potencjalnych przyczyn słabej dostępności, ale jak się okazało, Mark zapomniał skonfigurować uwierzytelnianie DKIM dla swojego konta e-mail., W rezultacie serwer Yvonne nie był do końca pewien, czy to naprawdę Mark wysłał do niej e-mail i odrzucił wiadomość, na wszelki wypadek (wpisując ” naprawdę musisz to zobaczyć!”w temacie prawdopodobnie również odegrał swoją rolę).

Co to jest DKIM?

DomainKeys Identified Mail (DKIM) to podpis cyfrowy dodawany do każdej wiadomości e-mail wysłanej z danego adresu e-mail. Nie jest to typowy podpis, który spodziewasz się zobaczyć na dole firmowej wiadomości e-mail. Normalnie nawet nie widzisz DKIM., Jest to pozornie losowy zestaw znaków, które są ukryte w kodzie źródłowym wiadomości e – mail-miejsce, w którym ludzie zwykle nie szukają, ale serwery akceptujące przychodzące e-maile na pewno będą. W końcu DKIM jest branżowym standardem uwierzytelniania.

DKIM pozwoli Markowi wziąć odpowiedzialność za wiadomość e-mail, którą miał wysłać do Yvonne. Z tym podpisem powiedziałby: „Hej, jestem Mark, pisząc z mojego adresu e-mail [email protected] w dniu 21 czerwca 2019 r.o godzinie 15:52 czasu polskiego. Zamieszczam w tym mailu następującą wiadomość: (…)”., Kiedy wiadomość zostanie odebrana, serwer e-mail Yvonne odczytuje tę wiadomość, zastanawia się przez chwilę (naprawdę krótko) i jeśli wszystko brzmi dobrze, wyświetla wiadomość w skrzynce e-mail Yvonne. Oczywiście dodanie podpisu DKIM nie gwarantuje dostawy, ale znacznie zwiększa szanse na pozytywny wynik.

oczywiście Mark nie musi pisać takiej wiadomości za każdym razem, gdy chce do kogoś wysłać maila. Dzieje się to automatycznie za każdym razem, gdy DKIM jest skonfigurowany dla jego domeny.

jak wygląda nagłówek DKIM?,

oto przykład rekordu pocztowego identyfikowanego przez DomainKeys:

DKIM składa się z różnych elementów, opisanych różnymi tagami i wartościami odpowiadającymi każdemu. Podzielmy znaczenie każdego z użytych powyżej znaczników:

znacznik i jego wartość Znaczenie obowiązkowe/opcjonalne
v=1 wersja. Zawsze równa się „1”.,
obowiązkowe

a=RSA-sha256
algorytm podpisywania (czyli ten używany do tworzenia rekordu DKIM na końcu nadawcy). Zazwyczaj jest to rsa-sha lub RSA-sha256. Istnieją inne algorytmy, ale nie zawsze są one obsługiwane przez klientów. obowiązkowe
d=example.net domena nadawcy wiadomości (gdzie DKIM jest podpisany)
obowiązkowa

S=newyork
Selektor., Obejmuje to instrukcje, którego klucza publicznego użyć do rozwiązania danego DKIM(więcej o tym później).
obowiązkowe

C=relaxed/simple
algorytm kanoniczny, który jest używany zarówno dla nagłówka, jak i ciała.
obowiązkowe

q=DNS/txt
metoda zapytań używana do pobierania klucza publicznego., Domyślnie jest to 'dns/txt' opcjonalne (zalecane)
T=1117574938 znacznik czasu, kiedy wiadomość została podpisana obowiązkowe
x=1118006938 Czas wygaśnięcia tego DKIM (jeśli wiadomość zostanie wysłana po upływie tego czasu, weryfikacja zakończy się niepowodzeniem, nawet jeśli wszystko inne pasuje idealnie) opcjonalne (zalecane)
H=from:to:subject:dat
e:keywords:keywords;
lista nagłówków oddzielonych dwukropkami.,
obowiązkowe

bh=MTIzNDU2Nzg5M
DEyMzQ1Njc4OTAxMj
M0nty3odkwmti=
hashed message body, po canonicalized with the method from 'c' tag and then run through the hash function from 'a'.
obowiązkowe

b=dzdVyOfAKCdLXdJO
c9G2q8LoXSlEniSbav+
yuU4zGeeruD00lszZVo
g4zhrniyzr
i wreszcie, jest to podpis cyfrowy zarówno nagłówków, jak i treści, zahaszowany za pomocą tej samej funkcji.,
obowiązkowe

jak widać, rzeczywisty podpis jest tylko małą częścią DKIM. Wszystko, co jest powyżej, to metadane opisujące sposób obliczania wartości haszowanych.

zauważ, że dwa z tagów zostały oznaczone jako opcjonalne – nie są wymagane do poprawnej weryfikacji DKIM, ale dodają dodatkową warstwę bezpieczeństwa., Istnieje kilka innych opcjonalnych znaczników, których możesz użyć:

znacznik Znaczenie zalecane lub nie
” i ” tożsamość użytkownika lub agenta. Wartość tego tagu to adres e-mail, w tym Domena i subdomena zdefiniowana w tagu 'd'.
zalecane

’l'
Długość treści wiadomości (liczba znaków), która została użyta do obliczenia hasha treści., Jeśli znacznik nie jest używany, zakłada się, że użyto całego ciała. Not recommended

’z'
lista oryginalnych nagłówków wiadomości. nie zaleca się

jak działa DKIM?

podpisywanie i odbieranie DKIM odbywa się w trzech krokach.,

  1. nadawca decyduje, co ma zawierać w rekordzie DKIM

jako nadawca możesz ograniczyć się tylko do pewnych części nagłówka („Od”, „Do”, „cc”, „subject” lub innych), ale może również obejmować cały nagłówek i treść w DKIM. Możesz również dodać niektóre lub wszystkie opcjonalne pola, o których wspomnialiśmy powyżej. Chociaż umieściliśmy je na liście, nie zalecamy używania dwóch ostatnich tagów z poprzedniej tabeli. Nie przynoszą wiele wartości, a gdy źle skonfigurowane, mogą prowadzić do fałszywego uwierzytelniania, nawet jeśli reszta rekordu jest w porządku.,

technicznie, im bardziej szczegółowe dane są zawarte, tym bardziej wiarygodne uwierzytelnienie będzie. Ale musisz być z tym ostrożny, ponieważ nawet drobne szczegóły zmienione przez serwer e-mail doprowadzą do nieudanego uwierzytelniania DKIM po stronie odbierającej. Pomyśl na przykład o wiadomościach ” forwarded by…”, które są dodawane do wiadomości e-mail podczas przekazywania ich z klientów poczty e-mail. Jeśli włączysz całe ciało do DKIM, nieuchronnie zawiedzie, ponieważ ciało zostało zmodyfikowane.

nie martw się. Nie musisz decydować o kształcie DKIM za każdym razem, gdy wysyłasz e-mail., Jest to obsługiwane automatycznie przez serwer, który trzeba skonfigurować tylko raz.

2. DKIM jest tworzony i wysyłana jest wiadomość z nim zawarta

gdy serwer wie, co ma zawierać w DKIM i wysyłanie wiadomości e-mail jest inicjowane, rozpoczyna się hashowanie zawartości. Widziałeś już jak znaczniki ' b ' I ' bh ' wyglądały l w naszym przykładzie. Aby podać kolejny przykład, oto jak wyglądałby poprzedni krok, gdyby został zaszyfrowany metodą SHA256:

568291DDA7ECE2594254BC8E7D70DA150968D022021081BB6E3FC40DC9C260D6CE328291830AB02CFB1D8CDEC3C2B35C73F92ADF335BCCF38C6784AC9922A8C1

chociaż może się wydawać złożony, takie skróty są niezwykle łatwe do rozszyfrowania za pomocą różnych narzędzi online (wypróbuj sam!,). Dlatego przed wysłaniem wiadomości e-mail każdy hash jest szyfrowany za pomocą tak zwanego klucza prywatnego. Dla każdego używanego selektora możesz mieć oddzielny klucz prywatny, nawet jeśli wysyłasz wszystkie wiadomości e-mail z tej samej domeny. Może to oznaczać jeden klucz dla e-maili marketingowych, drugi dla e-maili transakcyjnych i trzeci dla e-maili wysyłanych do dostawców. Używanie różnych kluczy prywatnych jest ważne ze względów bezpieczeństwa.

gdy wszystko zostanie skonfigurowane, wysyłany jest e-mail!

3., Wiadomość jest odbierana, a serwer waliduje sygnatury DKIM

w ciągu kilku sekund, wiadomość jest odbierana przez serwer odbierający i musi podjąć ważną decyzję – czy zezwolić na e-mail, czy nie. Gdy widzi, że DKIM jest dołączony do wiadomości, natychmiast rozpoczyna proces walidacji.
z polami „domain” („d) i „selector” („s”) widocznymi w DKIM, serwer może pobrać klucz publiczny odpowiadający tej kombinacji, uruchamiając odpowiednie zapytanie DNS (takie dane są publicznie dostępne)., Następnie, z nowo nabytym kluczem publicznym oraz zaszyfrowanymi polami ” b ” I „h”, serwer odbierający buduje własne skróty i porównuje je z tymi otrzymanymi w wiadomości. Jeśli istnieje dopasowanie – uwierzytelnienie zakończy się sukcesem. Jeśli nie, autoryzacja DKIM nie powiedzie się. Nie oznacza to, że wiadomość zostanie odrzucona, ale zmniejsza jej szanse na jej dostarczenie.

Jak dodać podpis DKIM do maili?

dodanie DKIM wymaga zmiany niektórych szczegółów rekordów DNS. Wielu klientów poczty e-mail ma to omówione szczegółowo, więc nie będziemy się na tym skupiać., Sprawdź poniższe linki, aby uzyskać szczegóły dotyczące najpopularniejszych dostawców:

  • MailChimp
  • SendGrid
  • Sendinblue
  • Mailjet
  • AWeber
  • Gmail
  • Outlook & Office365

Jeśli twój klient poczty e-mail nie oferuje żadnej pomocy przy wdrażaniu DKIM lub konfigurujesz własną infrastrukturę, sprawdź oficjalne dokumenty DKIM.

Jak sprawdzić, czy DKIM został poprawnie skonfigurowany?

Po dodaniu DKIM upewnij się, że walidujesz go za pomocą analizatora DKIM online. Użyj, na przykład, MXToolbox lub Mail-tester.,com, ten ostatni może być używany do jednoczesnego sprawdzania rekordów SPF.

Możesz również wysłać testową wiadomość e-mail na swoje konto Gmail lub Yahoo i sprawdzić, czy wiadomość dotarła z podpisem DKIM.

po otrzymaniu wiadomości rozwiń nagłówek o ikonę trójkąta pod nazwą nadawcy. Jeśli domena nadawcy pojawia się zarówno dla „mailed-by”, jak i „signed-by”, wiadomość została pomyślnie zweryfikowana za pomocą DKIM.,

Możesz również kliknąć trzy kropki w prawym górnym rogu i „Pokaż oryginał”. Tutaj zobaczysz wynik uwierzytelniania DKIM. Jeśli chodzi o słowo „PASS” i adres domeny, wszystko działa dobrze. Jeśli wyślesz wiadomość e-mail z Gmaila i nie skonfigurujesz autoryzacji DKIM, Gmail przypisze Ci domyślną wiadomość, dodając coś w stylu „.20150623.gappssmtp.com” do adresu domeny., Taka wiadomość jest również uwierzytelniana, ale nie tak skuteczna, jak w przypadku indywidualnej konfiguracji poczty rozpoznanej przez DomainKeys.

aby zweryfikować rekord DKIM w Yahoo, kliknij „View Full Header” i wyszukaj ślad DKIM. Jeśli znajdziesz dkim=pass (ok), zdałeś test!

inne względy

To kończy nasz przewodnik po DKIM, ale nie powinien to być koniec twoich wysiłków na rzecz poprawy dostarczania poczty e-mail. Zapoznaj się z naszym przewodnikiem deliveryability, w którym wymieniamy mnóstwo innych pomysłów., Upewnij się również, że uwierzytelniasz się za pomocą SPF oraz DMARC, aby Twoja domena była jeszcze bardziej wiarygodna. To zajmuje tylko trochę czasu i wysiłku, ale wypłata może być ogromna.

Jeśli podobał Ci się ten artykuł, podziel się nim i rozpowszechnij. Będziemy wdzięczni.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *