DKIM
Что такое DKIM?
DKIMСтандарт аутентификации почты (RFC 6376), позволяющий отправляющему домену снабжать исходящие сообщения криптографической подписью, чтобы получатели могли удостовериться в неизменности заголовков и тела.
DKIM (DomainKeys Identified Mail) задаётся RFC 6376. Исходящий MTA создаёт подпись RSA или Ed25519 над выбранными заголовками (обычно From, Subject, Date) и телом письма и добавляет заголовок DKIM-Signature, в котором указаны подписывающий домен (d=) и селектор (s=). Получатель получает открытый ключ из TXT-записи selector._domainkey.d.example.com и проверяет подпись. DKIM выдерживает большинство пересылок и предоставляет криптографический идентификатор, по которому DMARC выполняет выравнивание с From:. Важна гигиена ключей: RSA 2048 бит или Ed25519, ротация селекторов, вывод старых ключей и хранение приватных ключей в HSM/KMS — утечка ключа позволит подделывать письма.
● Примеры
- 01
Исходящий почтовый сервер подписывает маркетинговую рассылку селектором s1 и d=example.com, обеспечивая выравнивание DMARC.
- 02
Ротация ключа DKIM: новый селектор публикуется до снятия старого, чтобы избежать сбоев проверки.
● Частые вопросы
Что такое DKIM?
Стандарт аутентификации почты (RFC 6376), позволяющий отправляющему домену снабжать исходящие сообщения криптографической подписью, чтобы получатели могли удостовериться в неизменности заголовков и тела. Относится к категории Сетевая безопасность в кибербезопасности.
Что означает DKIM?
Стандарт аутентификации почты (RFC 6376), позволяющий отправляющему домену снабжать исходящие сообщения криптографической подписью, чтобы получатели могли удостовериться в неизменности заголовков и тела.
Как работает DKIM?
DKIM (DomainKeys Identified Mail) задаётся RFC 6376. Исходящий MTA создаёт подпись RSA или Ed25519 над выбранными заголовками (обычно From, Subject, Date) и телом письма и добавляет заголовок DKIM-Signature, в котором указаны подписывающий домен (d=) и селектор (s=). Получатель получает открытый ключ из TXT-записи selector._domainkey.d.example.com и проверяет подпись. DKIM выдерживает большинство пересылок и предоставляет криптографический идентификатор, по которому DMARC выполняет выравнивание с From:. Важна гигиена ключей: RSA 2048 бит или Ed25519, ротация селекторов, вывод старых ключей и хранение приватных ключей в HSM/KMS — утечка ключа позволит подделывать письма.
Как защититься от DKIM?
Защита от DKIM обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия DKIM?
Распространённые альтернативные названия: DomainKeys Identified Mail.
● Связанные термины
- network-security№ 333
DMARC
Стандарт аутентификации почты по RFC 7489, позволяющий владельцу домена опубликовать политику, какой обработке подвергать сообщения, не прошедшие SPF/DKIM и проверку выравнивания.
- network-security№ 1076
SPF (Sender Policy Framework)
Механизм аутентификации почты по RFC 7208, позволяющий домену публиковать в DNS, какие IP-адреса и хосты вправе отправлять письма с его доменом в envelope MAIL FROM.
- network-security№ 095
BIMI
Почтовый стандарт, позволяющий отображать проверенный логотип бренда рядом с аутентифицированными сообщениями в поддерживаемых клиентах при условии DMARC-политики quarantine или reject.
- attacks№ 375
Подмена адреса электронной почты
Подделка заголовков письма так, чтобы оно выглядело отправленным доверенным отправителем, обычно для фишинга, мошенничества или доставки вредоносного ПО.
- network-security№ 955
S/MIME
Стандарт IETF для сквозного подписания и шифрования MIME-сообщений с использованием сертификатов X.509, выданных публичным или корпоративным CA.
- network-security№ 984
Защитный почтовый шлюз
Периметровый или облачный сервис, фильтрующий входящую и исходящую почту на спам, фишинг, вредоносное ПО, утечки данных и нарушения политик до доставки в почтовые ящики.
● См. также
- № 058ARC (Authenticated Received Chain)
- № 819PGP
- № 446GnuPG (GPG)
- № 452Серый список (Greylisting)
- № 336DNS-блоклист (DNSBL)