DKIM
O que é DKIM?
DKIMNorma de autenticação de e-mail (RFC 6376) que permite ao domínio remetente assinar criptograficamente as mensagens, para que os destinatários verifiquem que cabeçalhos e corpo não foram alterados.
O DKIM (DomainKeys Identified Mail) está especificado no RFC 6376. O MTA remetente calcula uma assinatura RSA ou Ed25519 sobre cabeçalhos selecionados (tipicamente From, Subject, Date) e o corpo, e adiciona o cabeçalho DKIM-Signature indicando o domínio assinante (d=) e o seletor (s=). Os recetores obtêm a chave pública em selector._domainkey.d.example.com (TXT) e validam a assinatura. O DKIM sobrevive à maioria dos encaminhamentos e fornece o identificador criptográfico que o DMARC alinha com o From:. A higiene das chaves é crítica: RSA 2048 bits ou Ed25519, rotação de seletores, retirada de chaves antigas e proteção das privadas em HSM/KMS, sob pena de permitir falsificação de e-mails.
● Exemplos
- 01
Um servidor de saída assina e-mails de marketing com o seletor s1 e d=example.com, permitindo alinhamento DMARC.
- 02
Rotação de uma chave DKIM publicando um novo seletor antes de remover o antigo para evitar falhas de validação.
● Perguntas frequentes
O que é DKIM?
Norma de autenticação de e-mail (RFC 6376) que permite ao domínio remetente assinar criptograficamente as mensagens, para que os destinatários verifiquem que cabeçalhos e corpo não foram alterados. Pertence à categoria Segurança de rede da cibersegurança.
O que significa DKIM?
Norma de autenticação de e-mail (RFC 6376) que permite ao domínio remetente assinar criptograficamente as mensagens, para que os destinatários verifiquem que cabeçalhos e corpo não foram alterados.
Como funciona DKIM?
O DKIM (DomainKeys Identified Mail) está especificado no RFC 6376. O MTA remetente calcula uma assinatura RSA ou Ed25519 sobre cabeçalhos selecionados (tipicamente From, Subject, Date) e o corpo, e adiciona o cabeçalho DKIM-Signature indicando o domínio assinante (d=) e o seletor (s=). Os recetores obtêm a chave pública em selector._domainkey.d.example.com (TXT) e validam a assinatura. O DKIM sobrevive à maioria dos encaminhamentos e fornece o identificador criptográfico que o DMARC alinha com o From:. A higiene das chaves é crítica: RSA 2048 bits ou Ed25519, rotação de seletores, retirada de chaves antigas e proteção das privadas em HSM/KMS, sob pena de permitir falsificação de e-mails.
Como se defender contra DKIM?
As defesas contra DKIM costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para DKIM?
Nomes alternativos comuns: DomainKeys Identified Mail.
● Termos relacionados
- network-security№ 333
DMARC
Norma de autenticação de e-mail definida no RFC 7489 que permite ao titular de um domínio publicar uma política indicando aos recetores o que fazer com mensagens que falhem SPF/DKIM e o alinhamento.
- network-security№ 1076
SPF (Sender Policy Framework)
Mecanismo de autenticação de e-mail definido no RFC 7208 que permite a um domínio publicar no DNS quais endereços IP ou hosts estão autorizados a enviar correio usando o seu domínio no MAIL FROM do envelope.
- network-security№ 095
BIMI
Norma de e-mail que permite exibir um logótipo de marca verificado junto a mensagens autenticadas em clientes compatíveis, desde que o domínio aplique uma política DMARC de quarantine ou reject.
- attacks№ 375
Spoofing de e-mail
Falsificação dos cabeçalhos de um e-mail para que pareça enviado por um remetente de confiança, normalmente para phishing, fraude ou entrega de malware.
- network-security№ 955
S/MIME
Norma IETF para assinatura e cifragem ponta a ponta de mensagens MIME usando certificados X.509 emitidos por uma AC pública ou empresarial.
- network-security№ 984
Gateway de E-mail Seguro
Serviço de perímetro ou cloud que filtra e-mail de entrada e saída em busca de spam, phishing, malware, fugas de dados e violações de política antes de chegar às caixas de correio.
● Veja também
- № 058ARC (Authenticated Received Chain)
- № 819PGP
- № 446GnuPG (GPG)
- № 452Greylisting
- № 336DNSBL (Lista Negra DNS)