Defaults.Exposed › Parandused › DKIM

Kuidas parandada DKIM

DKIM on nähtamatu ja võltsimiskindel pitser igal teie ettevõtte saadetud kirjal. See võimaldab vastuvõtval meiliteenuse pakkujal kinnitada, et kiri tuli tõesti teilt ja saabus muutumata. Ilma selleta on teie kirju lihtsam võltsida, muuta ning need maanduvad palju tõenäolisemalt rämpsposti või lükatakse hoopis tagasi.

Põhijareldus sinu ettevõttele: Ilma DKIM-ita saab teie saadetud kirju transiidil muuta, kurjategijatel on neid lihtsam kehastada ning need filtreeritakse tõenäolisemalt rämpsposti või lükatakse tagasi — kaotades vaikselt tehinguid, makseid ja usaldust, mille kadumisest te kunagi teada ei saa.

Mida see sulle maksab

Kirja teel edastatud arve peatab ründaja, kes asendab pangaandmed oma omadega enne, kui see kliendini jõuab. Kiri näib ikka teilt tulevat, klient maksab — kurjategija kontole. Kui see avaldub, olete teie see, keda süüdistatakse.
Teie ehtsad pakkumised, lepingud ja arved maanduvad pidevalt klientide rämpsposti kaustadesse. Eeldate, et klient vaibus või valis kellegi teise — kuid tegelikkuses ei näinud nad teie kirja lihtsalt kunagi.
Suurema kliendi turva- või hankeosakond kontrollib teie domeeni enne allkirjastamist, ei leia DKIM-i ning lükkab tehingu nädalate võrra tagasi, kuni see on parandatud, või valib vaikselt konkurendi.
Kurjategija saadab veenvaid võltskirju 'teie ettevõttelt' teie enda klientidele. Kuna miski ei tõesta, millised kirjad on tõesti teie omad, on võltsid sama usutavad kui päriskirjad — ja teie nimi saab kahju.
Suuremad postkastiteenused ja pangad usaldavad allkirjastamata kirju üha vähem. Aja jooksul kärbeldatakse, rämpspostitatakse ja lükatakse tagasi üha rohkem teie igapäevasest ärikirjavahetusest ning teie kommunikatsioon lakkab vaikselt toimist.

Miks see on oluline. E-posti loodi kunagi ilma saatja tõendamiseta ja saatja võltsimine on äärmiselt lihtne. DKIM lisab krüptograafilise allkirja, mida vastuvõttev teenuse pakkuja kontrollib automaatselt — kinnitades, et sõnum tuli tõepoolest teie domeenilt ja pole teel muutunud. See on üks kolmest asjast, mida iga kaasaegne meiliteenuse pakkuja otsib, mõjutab otseselt seda, kas teie kirju usaldatakse või rämpspostitatakse, ning parandus on tasuta.

Mis see on lihtsas keeles

Iga teie ettevõtte saadetud kiri läbib mitu kätt enne postkasti jõudmist. Kirjal endal pole tõendit selle kohta, kes selle tegelikult saatis või kas keegi muutis seda teel — ‘saatjalt’ rida on lihtsalt tekst, mille igaüks saab kirjutada.

DKIM lahendab selle. See paneb igale teie ettevõtte saadetud kirjale nähtamatu, võltsimiskindla pitseri. Kirja saabumisel kontrollib vastuvõttev meiliteenuse pakkuja pitserit teie domeenil avaldatud võtme suhtes. Kui see sobib, teab pakkuja kaht asja kindlalt: kiri tuli tõepoolest teie domeenilt ja transiidil ei muudetud ühtegi tähemärki. Kui see ei sobi — sest sõnumit võltsiti või muudeti — ebaõnnestub pitser ning pakkuja kohtleb kirja kahtlasena.

Te ei halda ühtegi seda ise. Kui see on sisse lülitatud, toimub allkirjastamine ja kontrollimine automaatselt igal kirjal, igavesti. DKIM-i kogu mõte on muuta teie päriskirjad tõestatavalt päriseks — nii et neid usaldatakse ning võltsid paistavad silma.

Mida see võib teile maksma minna

See pole abstraktne. Siin on, milline näeb välja puuduv või nõrk DKIM-pitser praktikas väikese või keskmise suurusega ettevõtte jaoks.

Muudetud arve. Saadate kliendile arve. Kuskil teie serveri ja nende serveri vahel peatab ründaja selle ja asendab teie pangaandmed oma omadega. Kiri näib ikka teilt tulevat, klient maksab — kurjategija kontole. Ilma DKIM-ita pole midagi, mis märgistaks, et sõnumit muudeti. Selle abil katkestab see vaikne muudatus pitseri ja avastatakse.
Tehingud, mis surid rämpsposti. Teie pakkumised, ettepanekud ja järelkirjad libistavad pidevalt klientide rämpsposti kaustadesse. Te ei saa vastust ja eeldate, et neid ei huvitanud. Tegelikkuses on allkirjastamata kiri tugev rämpsposti signaal — teie ehtsat ärikirja lihtsalt ei nähtud.
Kaotatud leping. Suurema kliendi hankeosakond või turvaülevaatus kontrollib teie domeeni enne allkirjastamist. Nad näevad DKIM-i puudumist ja käsitlevad seda punase lipuna — lükates tehingut nädalate võrra edasi, kuni see on parandatud, või valides vaikselt tarnija, kelle meiliturvalisus läbis kontrolli.
Teie nimi kasutatud teie enda klientide vastu. Pettur saadab veenvaid kirju “teie ettevõttelt” teie kliendibaasile. Kuna miski ei tõenda, millised sõnumid on tõesti teie omad, näivad võltsid sama legitiimsed kui pärisasjad — ja see on teie maine, mis kannatab, kui inimesed saavad kahju.
Teie meili aeglane lämbumine. Pangad, suuremad postkastiteenused ja ettevõtete filtrid usaldavad allkirjastamata kirju üha vähem. Mõju hiilub sisse aja jooksul: rohkem kärbeldamist, rohkem rämpsposti, rohkem tagasilükkeid — kuni teie igapäevane kommunikatsioon lakkab vaikselt toimist.

Mis see tegelikult on

DKIM tähistab DomainKeys Identified Mail. Siin on, kuidas pitser töötab, ilma žargoonita:

Te avaldavad oma domeenil avaliku võtme (oma DNS-seadetes). Igaüks saab seda lugeda — see on mõte.
Teie meiliteenuse pakkuja hoiab vastavat privaatvõtit ja kasutab seda iga teie saadetud kirja allkirjastamiseks, lisades peidetud päise.
Kirja saabudes võtab saaja pakkuja teie avaliku võtme, kontrollib allkirja sõnumi suhtes ja kinnitab, et see on ehtne ja muutmata.

Mõned terminid, mida IT-inimeselt kuulda võite:

Valija — silt, mis osutab ühele konkreetsele võtmele, nt selector1._domainkey.teiedomeen. See võimaldab käitada ja vahetada mitut võtit puhtalt. Teie pakkuja seadistab selle.
Võtme tugevus — DKIM-võtmed tulevad eri suurustes. Kaasaegne algtase on 2048-bitine RSA; 4096-bitine RSA või Ed25519 võtmed on veelgi tugevamad. Vanemad 1024-bitised võtmed toimivad endiselt, kuid loetakse tänapäevaste standardite järgi nõrgaks (NIST SP 800-131A / RFC 8301).

Milline näeb välja “hea” tulemus: kehtiv DKIM-võti avaldatakse valija juures teie domeenile, teie väljuvad kirjad allkirjastatakse sellega ning võti on 2048-bitine või tugevam. See on täisläbimine.

Märkus hindamise kohta. See kontroll otsib ehtsat, hästi kujundatud DKIM-võtit, mis on avaldatud valijate juures, mida meiliteenuse pakkujad tavaliselt kasutavad. Avaldatud kehtiv võti on positiivne signaal — kolmanda osapoole skanner ei saa teie reaalseid allkirju ette mängida, seega mõõdetakse õige võtme olemasolu. Võtit ei leitud — kontroll ebaõnnestub (kõrge raskusastmega lünk). Kehtiv, kuid nõrk võti (1024-bitine RSA) — teenib ligikaudu poole punktidest — töötab, kuid tuleks uuendada. Tugev võti (2048-bitine RSA või parem, või Ed25519) — teenib täispunktid.

Kuidas seda parandada (tasuta, ~15 minutit)

See osa on kellelegi, kes haldab teie meili või domeeni — kui see pole teie, andke neile see jaotis. Parandus on tasuta. Me küsime tasu ainult selle jälgimise eest, et teie kaitsed püsiksid terved aja jooksul, mitte nende seadistamise eest.

Üldine kuju on kõikjal sama: lülitage DKIM sisse oma meiliteenuse pakkuja juures, võtke genereeritud võti, avaldage see oma DNS-is, seejärel kinnitage, et see on elus. Täpsed sammud sõltuvad sellest, kes teie meili haldab — siin on levinumad.

Google Workspace (Gmail)

Admin Console → Rakendused → Google Workspace → Gmail → Meili autentimine.
Valige oma domeen ja klõpsake Loo uus kirje (valige 2048-bitine võtme pikkus).
Google annab teile DNS-kirje. Lisage see oma DNS-hosti TXT-kirjena, host google._domainkey.teiedomeen, väärtusega, mille Google andis.
Oodake, kuni see levib (minutid kuni paar tundi), seejärel naaske samale ekraanile ja klõpsake Alusta autentimist.

Microsoft 365 (Outlook / Exchange Online)

Minge Microsoft Defenderi portaali → Meil ja koostöö → Poliitikad ja reeglid → Ohuvastased poliitikad → Meili autentimise seadistused → DKIM.
Valige oma domeen. Microsoft näitab teile kahte CNAME-kirjet, mida avaldada (selector1 ja selector2).
Lisage mõlemad CNAME-kirjed oma DNS-hosti täpselt nii, nagu näidatud.
DKIM-ekraanil lülitage DKIM-allkirjastamine domeeni jaoks lubatud peale.

Zoho Mail

Juhtpaneel → Meili autentimine → DKIM.
Looge võti (kasutage valjija nagu zoho), seejärel lisage antud TXT-kirje aadressile zoho._domainkey.teiedomeen oma DNS-is.
Kontrollige Zoho paneelil, kui kirje on elus.

Muud pakkujad / teie enda meiliser Muster on identne: pakkuja (või teie meilitarkvara) genereerib võtmepaari, allkirjastab teie väljuvad kirjad privaatvõtmega ning annab teile avaliku kirje avaldamiseks. See näeb tavaliselt välja selline:

Host:  selector1._domainkey.teiedomeen
Type:  TXT (või CNAME, olenevalt pakkujast)
Value: (pikk võttejada, mille pakkuja annab)

Kus DNS-kirjeid lisatakse: teie domeeni DNS-seadetes — tavaliselt teie domeeniregistraatori või DNS-hosti juures (nt Cloudflare, GoDaddy, teie hostimise juhtpaneel). Kui teie meiliteenuse pakkuja pakub CNAME-i, osutab see kirjele, mida nad hostivad, nii et te ei näe kunagi toorvõtit — see on normaalne ja sobib.

Kinnitage, et töötab: saatke endale testikiri Gmail’i kontole, avage see, valige Kuva originaal ja kontrollige, et DKIM: PASS ilmub. Seejärel kontrollige oma domeeni siin uuesti, et kinnitada, et võti tuli 2048-bitisena või tugevamana, mitte nõrga 1024-bitisena.

Levinud vead

Eeldamine, et suur pakkuja on selle vaikimisi seadistanud. Paljude Google’i või Microsofti domeenide puhul tuleb DKIM siiski sisse lülitada ja kirje avaldada. “Kasutame Microsoft 365-i” ei ole sama kui “DKIM on lubatud.”
Nõrga 1024-bitise võtme genereerimine. Mõned pakkujad kasutavad endiselt vaikimisi 1024-bitist või pakuvad seda. Valige 2048-bitine, kui see valik on antud — nõrk võti teenib ainult poole punktid ja märgitakse rangema vastuvõtja poolt.
Kirje avaldamine, kuid allkirjastamise mitte lubamine. DNS-kirje lisamine on ainult pool tööst. Kui te ei lülita allkirjastamist pakkuja juures sisse (lõplik lüliti), lähevad teie kirjad ikka allkirjastamata.
Võtme valesti kirjutamine või lühendamine. DKIM-võtmed on pikad. Kopeerimine, mis kaotab tähemärgi või jagab väärtuse valesti, annab katki pitseri, mis ebaõnnestub iga kirja puhul. Kleepige väärtus täpselt nii, nagu antud.
Teiste saatjate unustamine. Kui saadate kirju läbi uudiskirjatööriista, CRM-i, arveldusrakenduse või e-kaubanduse platvormi, võib igaüks neist vajada oma DKIM-võtit ja valijat. Allkirjastage kirjad kõikidelt teenustelt, kes teie nimel saadavad, mitte ainult teie postkastist.

Märkus DKIM-i, SPF-i ja DMARC-i kohta

DKIM töötab harva üksi. See on üks kolmest seadistusest, mis koos muudavad teie meili usaldusväärseks:

SPF ütleb, millistel serveritel on lubatud teie domeeni nimel kirju saata.
DKIM (see leht) on võltsimiskindel pitser, mis tõendab, et sõnum on tõepoolest teie oma ja muutumatu.
DMARC on juhis, mis ütleb teenuse pakkujatele, mida teha kõigega, mis ebaõnnestub — ning toetub DKIM-ile ja SPF-ile selle otsuse tegemisel.

Kui parandate DKIM-i, tasub samal ajal kontrollida SPF-i ja DMARC-i. Koos takistavad need teie ettevõtte kehastamist ning hoiavad teie päriskirjad seal, kus peaksid.

Seadista oma majutuses

Samm-sammult populaarsete teenusepakkujate jaoks:

KKK

Ma pole tehniline — kas saan ise sellega tegeleda?

Te ei pea krüptograafiat mõistma. Enamasti on see seadistus, mille lülitate oma meiliteenuse pakkuja juures sisse (Google Workspace, Microsoft 365, Zoho jne), mis annab teile seejärel ühe-kaks kirjet domeeni lisamiseks. Andke jaotis 'Kuidas seda parandada' kellelegi, kes haldab teie meili või domeeni — see on kiire, tasuta töö, tavaliselt umbes 15 minutit.

Kas DKIM-i sisselülitamine riskib rikkuda minu meili?

DKIM-i õige lisamine on ohutu — see ei muuda teie kirja saatmise viisi, lisab lihtsalt allkirja, mida saajad saavad kontrollida. Üks asi, mida õigesti teha, on avaldada teie pakkuja genereeritud võti täpselt sellisena, nagu antud, ning lubada allkirjastamine alles pärast kirje DNS-is elus olemist. Selles järjestuses tehtuna ei ole teid ega teie kliente häiritud.

Kasutame juba suurt pakkujat nagu Google või Microsoft — kas pole automaatselt kaitstud?

Mitte alati. Suured pakkujad muudavad DKIM-i lihtsaks, kuid paljude domeenide puhul tuleb see siiski sisse lülitada ja kirje DNS-i lisada — see pole alati vaikimisi sees. Just sellepärast võib suure pakkuja juures olev domeen ikka selle kontrolli läbi kukkuda. Kinnitamine ja lubamine võtab paar minutit.

Mis vahe on DKIM-i, SPF-i ja DMARC-i vahel? Kas vajan kõiki kolme?

Mõelge neist kui komplektist. SPF loetleb, millistel serveritel on lubatud teie domeeni nimel kirju saata. DKIM on võltsimiskindel pitser, mis tõendab, et sõnum on tõepoolest teie oma ja muutumatu. DMARC on juhis, mis ütleb teenuse pakkujatele, mida blokeerida, kui need kontrollid ebaõnnestuvad. Nad töötavad koos kõige paremini — DMARC toetub eriti DKIM-ile oma töö tegemiseks — nii et jah, soovite kõiki kolme.

Minu IT-inimene ütleb, et DKIM on 'sees' — kuidas tean, kas see tegelikult töötab ja on piisavalt tugev?

Kahel asjal on tähtsust: et kehtiv allkiri avaldatakse teie domeeni valijal ning et selle taga olev võti on tugev (2048-bitine RSA või parem). Vanem 1024-bitine võti töötab endiselt, kuid loetakse kaasaegsete standardite järgi nõrgaks ning käsitletakse siin osalise läbimisena. Domeeni uuesti kontrollimine kinnitab mõlemad korraga.

Mis on 'valija' ja miks see on oluline?

Valija on lihtsalt silt, mis osutab ühele konkreetsele DKIM-võtmele teie DNS-is — see võimaldab korraga käitada rohkem kui ühte võtit (näiteks üks postkastile ja üks uudiskirjatööriistale) ning turvaliselt võtmeid vahetada. Te ei halda seda käsitsi; teie pakkuja loob valija ja ütleb teile, millist kirjet avaldada. See on siin oluline vaid seetõttu, et kontroll otsib kehtivat võtit valija juures, mida meiliteenuse pakkujad tavaliselt kasutavad.