DKIM (DomainKeys Identified Mail) — это стандарт безопасности электронной почты, который помогает определить, были ли сообщения изменены во время передачи между почтовыми серверами отправителя и получателя.
Аутентификация DKIM использует криптографию с открытым ключом: письмо подписывается закрытым ключом ответственной стороны (отправителя) при его отправке с сервера. Затем сервер-получатель использует открытый ключ, опубликованный в домене DKIM, чтобы проверить источник сообщения и убедиться, что те части письма, которые входят в DKIM-подпись, не были изменены после отправки.
Если сервер получателя успешно проверяет подпись с помощью открытого ключа, письмо прошло проверку DKIM и считается подлинным.
Что такое DKIM-запись?
DKIM-запись — это специально оформленная DNS TXT-запись, которая хранит открытый ключ, используемый почтовым сервером получателя для проверки подписи сообщения.
DKIM-запись состоит из имени, версии, типа ключа и самого открытого ключа.
Чаще всего такая запись предоставляется сервисом, через который вы отправляете письма (например, HaskiMail — это мы 👋).
Две ключевые причины, почему DKIM важен
1. DKIM подтверждает вашу легитимность как отправителя
Подделка писем (спуфинг) от имени доверенных доменов — популярная техника, которую используют злоумышленники в спам- и фишинговых кампаниях.
DKIM усложняет подделку писем от доменов, которые используют эту технологию.
Хотя DKIM не является обязательным, письма, подписанные DKIM, выглядят более надёжно для получателей и реже попадают в папку «Спам».
DKIM совместим с существующей инфраструктурой электронной почты и работает вместе с SPF и DMARC, создавая несколько уровней защиты для доменов, которые отправляют письма.
Даже если почтовый сервер не поддерживает DKIM-подписи, он всё равно может получать подписанные письма без проблем.
Это необязательный протокол безопасности, и DKIM пока не является универсальным стандартом.
Тем не менее, мы рекомендуем добавить DKIM-запись в ваш DNS, когда это возможно, чтобы аутентифицировать письма от вашего домена.
Мы используем DKIM для подписи сообщений в HaskiMail, а такие провайдеры, как Mail.ru, Yandex и Gmail, используют его для проверки входящих писем.
Наши тесты показали, что письма, подписанные DKIM, доставляются успешнее, чем те, где такие протоколы не применяются.
2. DKIM помогает выстроить долгосрочную репутацию
Дополнительное преимущество DKIM состоит в том, что интернет-провайдеры (ISP) используют его для формирования репутации домена со временем.
Когда вы отправляете письма и улучшаете показатели доставки (мало спама и возвратов, высокая вовлечённость), ваш домен зарабатывает хорошую репутацию отправителя, что повышает вероятность успешной доставки писем.
Важно понимать не только, что делает DKIM, но и чего он не делает.
Использование DKIM гарантирует, что сообщение не было изменено, но не шифрует содержимое письма.
Многие сервисы рассылки (ESP) используют TLS-шифрование, чтобы защитить письма при передаче между отправителем и получателем.
Однако возможно отправить и незашифрованное сообщение, если сервер получателя откажется от TLS-соединения.
После доставки письма подпись DKIM остаётся в заголовках, но не шифрует контент сообщения.
Часто задаваемые вопросы о DKIM
1. Что такое DKIM (DomainKeys Identified Mail)?
DKIM — это стандарт безопасности электронной почты, использующий криптографию с открытым ключом для подписания и проверки писем, чтобы определить, изменялось ли сообщение при передаче между серверами отправителя и получателя.
Если подпись успешно проверена, сообщение проходит DKIM-проверку и считается подлинным. Это помогает подтвердить вашу легитимность как отправителя и способствует формированию хорошей репутации домена.
2. Что такое DKIM-запись?
DKIM-запись — это DNS TXT-запись, которая хранит открытый ключ, используемый сервером получателя для проверки подписи сообщения.
Запись включает имя, версию, тип ключа и сам ключ.
Обычно DKIM-запись предоставляется сервисом, через который вы отправляете письма.
3. Нужен ли сертификат для работы DKIM?
Нет. DKIM предоставляет владельцам домена простой способ создавать, настраивать и отзывать ключи без сертификатов.
4. Обеспечивает ли DKIM сквозное шифрование сообщений?
Нет. DKIM работает скорее как рукопожатие, подтверждающее, что сообщение не было изменено во время передачи к серверу получателя.
5. Был ли DKIM взломан в 2012 году?
Да и нет. Исследователь Закари Харрис обнаружил уязвимость в коротких DKIM-ключах, которая позволяла факторизовать 512-битные ключи примерно за 24 часа.
Стандарт DKIM требует минимальную длину ключа 1024 бита, поэтому скомпрометированы были короткие ключи, а не сам стандарт DKIM.
В HaskiMail мы используем 1024-битные ключи для подписи всей почты наших клиентов.
6. Можно ли иметь несколько DKIM-записей?
Да. Домен может иметь несколько DKIM-записей в DNS.
Каждый DKIM-ключ имеет свой селектор, который добавляется к подписи DKIM в сообщении.
Это позволяет серверу получателя определить, какой ключ использовать для проверки.