Podszywanie się pod nadawcę wiadomości e-mail jest częstą praktyką. Aby zapobiec tego typu zdarzeniom i wyłudzaniu danych, należy zastosować odpowiednie zabezpieczenia. Jednym z nich jest DKIM DomainKeys Identified Mail. Jak skonfigurować DKIM i dlaczego to dobry wybór?
Czym jest DKIM DomainKeys Identified Mail?
Standard DKIM pozwala na zastosowanie zaszyfrowanej sygnatury weryfikującej pochodzenie wiadomości. Dopiero po rozszyfrowaniu tego swoistego podpisu wiadomość dociera do odbiorcy. Z tego względu konfiguracja DKIM jest wskazana, podobnie jak konfiguracja innych metod, takich jak SPF i DMARC.
Konieczne jest stworzenie klucza DKIM i jego aktywacja. Konfiguracja jest prosta, choć mogą pojawić się pewne problemy, gdy chodzi o skuteczność sygnatur. Problematyczna sytuacja występuje na przykład w momencie, gdy poczta zmienia treść e-maila. Tym samym sygnatura nie może być pozytywnie zweryfikowana. Należy więc zmienić ustawienia i wyłączyć możliwość zmiany treści lub skonfigurować DKIM tak, by szyfrowanie nastąpiło dopiero po dokonaniu tej zmiany.
Google informuje, że w wypadku odrzucenia wiadomości pomimo skonfigurowanego DKIM, należy przeanalizować problem kontaktując się z domeną odpowiedzialną za te odrzucenia. Nie jest to bowiem sytuacja zgodna z przyjętymi standardami.
Jak skonfigurować DKIM?
Jak donosi Google, konfiguracja standardu DKIM zwykle zawiera się w trzech, dość prostych krokach. Stosując się do poniższych wskazówek można tę konfigurację przeprowadzić samodzielnie.
1. Wygeneruj klucz domeny na potrzeby DKIM.
- logowanie - aby wykonać ten krok należy w pierwszej kolejności zalogować się do konta administratora na platformie dostawcy domeny. W przypadku nowej domeny najczęściej wystarczy włączyć i zweryfikować szyfrowanie DKIM korzystając z instrukcji udostępnionych przez serwis pocztowy. Wielu dostawców umożliwia także edycję i tworzenie własnych kluczy DKIM. Jeśli korzystasz z wielu domen, w pierwszym kroku należy wybrać nazwę domeny, której ma dotyczyć konfiguracja.
- ustawienia - w tym kroku zaleca się ustalenie liczby bitów na 2048, chyba że serwer poczty odrzuca ten typ kluczy. W polu „selektor prefiksu” najczęściej nie dokonuje się zmian. Kiedy zmienić ustawienia selektora prefiksu? Takie działanie może mieć sens w sytuacji, gdy domena już korzysta z selektora domyślnego, a Ty chcesz to zmienić. Czym jest selektor prefiksu? To nazwa stosowana celem identyfikacji klucza publicznego w standardzie DKIM.
- generowanie - na koniec po prostu kliknij „wygeneruj” lub skorzystaj z innych instrukcji serwisu. W polu „główna wartość rekordu” powinien widnieć rekord TXT ujęty w cudzysłowie. Przykładowa nazwa domeny powinna prezentować się w następujący sposób „google._domainkey.firmax.pl”. W przypadku ewentualnej odmowy wygenerowania klucza DKIM warto sprawdzić poprawność nazwy domeny, a w razie potrzeby procedurę powtórzyć po upłynięciu dwóch, czterech dni.
2. Dodaj klucz DKIM do rekordów DNS domeny.
- logowanie - ten krok ponownie należy wykonać za pośrednictwem systemu wskazanego przez pocztę. Każdy serwer poczty powinien udostępniać możliwość dodania klucza DKIM do rekordów domeny.
- dodawanie rekordu TXT - dodaj rekord TXT subdomeny lub domeny nadrzędnej, zależnie od tego, jakie są wymagania dostawcy domeny. Uzupełnij pola „nazwa domeny” i „rekord TXT”.
3. Aktywuj szyfrowanie DKIM.
Na sam koniec najczęściej konieczna jest weryfikacja klucza, a więc uwierzytelnienie poczty e-mail. Cały proces zwykle zawiera się w kilku prostych krokach. Informacje na ten temat znajdziesz w panelu użytkownika swojego serwisu pocztowego. Po pozytywnej weryfikacji i podłączeniu domeny można mieć pewność, że zabezpieczenia DKIM i są aktywne.
Konfiguracja DKIM dla subdomeny
Użytkownicy niektórych serwerów poczty mogą natrafić na problemy związane z aktualizacją DKIM dla subdomeny. Często wiąże się to z limitem znaków dla wartości TXT. Jeśli właśnie ten limit jest powodem, wystarczy klucz DKIM umieścić w formie rozdzielonej na kilka wartości TXT, a każda z nich powinna być ujęta w cudzysłowie.
Gdy dostawca domeny pozwala wyłącznie na konfigurację domeny nadrzędnej, należy uzyskać zmodyfikowany rekord TXT domeny nadrzędnej. Po wykonaniu czynności wymienionych w kroku 1, skopiuj rekord TXT, lecz na jego końcu umieść znak kropki oraz nazwę domeny. Kolejno postępuj zgodnie ze wskazówkami wymienionymi w kroku 2 i 3.
Sprawdź, czy konfiguracja DKIM się powiodła
Celem weryfikacji warto wysłać wiadomość mailową do zaufanego odbiorcy lub na inny adres e-mail, z którego korzystasz. Serwisy pocztowe często umożliwiają odbiorcom weryfikację poprawności klucza DKIM. Dzięki temu, korzystając z instrukcji udostępnianych przez serwis, odbiorca może sprawdzić, czy w nagłówku wiadomości znajduje się klucz DKIM. Oprócz tego w sieci dostępne są weryfikatory kluczy DKIM, lecz należy mieć na uwadze, iż korzystanie z nich nie zawsze jest bezpieczne.
Jeśli chcesz przeprowadzić konfigurację kilku domen lub subdomen poszczególne kroki musisz wykonać ponownie. Wolisz aby zajęli się tym specjaliści? Skontaktuj się z zespołem idea4me!
(źródła: https://support.google.com/a/answer/174126?hl=pl&ref_topic=2752442,
https://support.google.com/a/answer/173535?hl=pl&ref_topic=2752442,
https://support.google.com/a/answer/180504?hl=pl&ref_topic=2752442,
https://support.google.com/a/answer/177063?hl=pl&ref_topic=2752442.)