Безопасность электронной почты – Часть 4: DKIM (DomainKeys Identified Mail)
Все, что вам нужно знать о DomainKeys Identified Mail (DKIM)
Последний пост было приличным техническим взглядом на структуру SPF (Sender Policy Framework), которая может помочь установить доверие как для отправителей, так и для получателей электронной почты. SPF, конечно, немного проще, чем сегодняшняя тема DomainKeys Identified Mail (DKIM), но обе они связаны, и их возможности объединяются, формируя такую вещь, как Voltron™, чтобы создать супер-протокол с возможностью победить Ктулху и беспредел в электронной почте.
В следующий раз мы доберемся до этого супер оружия, но сейчас нам еще нужно походить, прежде чем начать летать. Как мы рассказывали на прошлой неделе, SPF указывает действительные IP-адреса, которым разрешено отправлять электронную почту для данного домена. Однако что-то вроде AmazonSES может отправлять целое множество писем. Таким образом, указание, скажем, десятков и десятков допустимых IP-адресов от AmazonSES может оказаться недостаточным для определения, кто может что отправлять. Многие люди используют AmazonSES, поэтому возможность подделывать электронные письма, исходящие от AmazonSES, сразу же убьет SPF. Мы хотим перенести вас на следующий уровень. Вжух! И перед вами DKIM (DomainKey Identified Mail).
Что такое DKIM, о котором вы говорите? Расскажите подробнее…
Общая концепция DKIM – установить доверие. У вас когда-нибудь было дежавю?
Функционально DKIM не очень сложен. Концептуально тоже. Общая концепция DKIM состоит в том, чтобы обновить запись DNS домена электронной почты, включив в нее цифровую подпись, а также «селектор». Они добавляются к имени домена в записи DNS, чтобы помочь с поиском.
Если электронное письмо создано и отправлено с соответствующего почтового сервера/сервера, оно будет использовать тот же открытый ключ DKIM (в данном случае «подпись»), чтобы подписать электронное письмо (или определенные его части). Подпись DKIM также содержит селектор для поиска соответствующей записи DNS для домена электронной почты. Затем почтовый сервер получателя или любой промежуточный сервер, например, обменник, может использовать селектор для проверки подписи электронной почты и сравнения с тем, что указано в DNS. Если все совпадает, то DKIM подтверждается, и все счастливы. Кроме спуферов.
В некотором смысле, это еще одна форма для проверки происхождения электронных писем. Кроме того, DKIM по своей природе использует контрольную сумму, чтобы гарантировать, что содержимое письма не было изменено при передаче. Таким образом, можно убедиться, что письма пришли к вам в таком же виде, в каком и были отправлены.
В то время как SPF использует простую концепцию «Откуда вы?», у DKIM она немного более сложная – «Кто вы на самом деле?» для дальнейшей идентификации. Обе они важны и используются вместе для установления доверия/проверки, и для DMARC (тема следующей недели).
Как создать DKIM?
На самом деле это довольно просто. Большинство почтовых служб (Office.com, Rackspace, AltMail и т. Д.) имеют раздел для DKIM (он может быть указан как «Проверка подлинности отправителя» или что-то в этом роде). Чаще всего они просто проводят вас через весь процесс.
Сайт сгенерирует собственный уникальный открытый ключ вашего почтового домена, который вы сможете скопировать для обновления соответствующей записи DNS. Зачастую провайдер предоставляет опции для генерации нового ключа и отключения старых.
В зависимости от службы DNS идея состоит в том, чтобы создать запись TXT, а затем скопировать содержимое, предоставленное поставщиком услуг электронной почты. Запись должна выглядеть примерно так:
v=DKIM1; k=rsa; p= HeYxdz0GCSqGSIb3DQEBAQUAA4GNADCBc/s77MZPKk2hAcP5CfxsgZJiQKBg QClfSa9MKd6KtasdpZv2sGhKcNFEGzhkk1yrEHonXNBJPAtXawYbALk8+jpse4 A3cOubP5v9WVE1cAIuBJ2JSNPbljfuFLc0I+5v9WVE1cVRXDum+BLxy
После отправки отправитель и получатель не заметят никакой разницы в отправке и получении электронных писем. Вы можете проверить, что ключ был добавлен в письма, посмотрев на их заголовки, но функционально все волшебство происходит вне поля зрения конечных пользователей.
Опять же, все довольно просто, когда речь идет о DKIM с точки зрения конечного пользователя. Действительно интересная часть заключается в том, что настройка, проверка и сбои регистрируются (через почтовую программу) и анализируются для DMARC – сервис сводной отчетности, который составляет рейтинг, чтобы предоставить конечным пользователям взгляд на то, как они справляются с соблюдением правил и установлением доверия.
Заходите на следующей неделе, когда мы углубимся в DMARC и закончим эту серию статей.
До скорого, берегите себя и изучайте эту тему!