Defaults.Exposed › Taisymai › DKIM

Kaip ištaisyti DKIM

DKIM yra nematomas apsauginis antspaudas ant kiekvieno jūsų verslo siunčiamo el. laiško. Jis leidžia gaunančiajam pašto tiekėjui patvirtinti, kad laiškas iš tikrųjų atkeliavo iš jūsų ir atėjo nepakeistas. Be jo jūsų laiškai yra lengviau suklastojami, lengviau pakeičiami ir daug labiau tikėtina, kad pateks į šiukšlių aplanką arba bus atmetami.

Praktinė reikšmė jūsų verslui: Be DKIM, siunčiami el. laiškai gali būti pakeičiami tranzitu, nusikaltėliams lengviau juos apsimesti, ir jie labiau tikėtinai bus filtruojami į šiukšlių aplanką arba iš viso atmetami – tyliai kainuojant jums sandorius, mokėjimus ir pasitikėjimą, apie kurį niekada nesužinosite.

Ką tai gali kainuoti

• Kliento elektroniniu paštu išsiųsta sąskaita faktūra perėmama ir banko duomenys pakeičiami prieš ją pasiekiant klientą. El. laiškas vis tiek atrodo atkeliavęs iš jūsų, klientas sumoka nusikaltėliui, ir kai viskas išaiškėja, kaltė tenka jums.
• Jūsų tikros pasiūlos, sutartys ir sąskaitos faktūros nuolat patenka į klientų šiukšlių aplankus. Jūs manote, kad klientas nutilo arba pasirinko kažką kita – bet jie tiesiog niekada nematė jūsų el. laiško.
• Didesnio kliento saugumo ar pirkimų komanda greitai patikrina jūsų domeną prieš pasirašydama, pamato, kad nėra DKIM, ir arba atideda sandorį savaitėms, kol tai ištaisysite, arba tyliai renkasi tiekėją, kurio el. pašto saugumas atitiko reikalavimus.
• Nusikaltėlis siunčia įtikinamus netikrus el. laiškus 'iš jūsų įmonės' jūsų klientams. Kadangi niekas neįrodo, kurie laiškai iš tikrųjų yra jūsų, netikri yra tokie pat tikėtini kaip tikri – ir jūsų vardas patiria žalą, kai žmonės nukentėja.
• Pagrindiniai pašto dėžutės tiekėjai ir bankai vis labiau laiko nepasirašytus laiškus įtartinais. Laikui bėgant daugiau jūsų kasdienio verslo el. pašto yra ribojamas, metamas į šiukšles ar atmetamas, ir jūsų komunikacija tyliai nustoja pasiekti tikslą.

Kodėl tai svarbu. El. paštas niekada nebuvo sukurtas taip, kad įrodytų, kas jį siuntė, o siuntėjo klastojimas yra trivialiai paprastas. DKIM prideda kriptografinį parašą, kurį gaunančiojo tiekėjas tikrina automatiškai – patvirtindamas, kad žinutė iš tikrųjų yra iš jūsų domeno ir nebuvo pakeista pakeliui. Tai vienas iš trijų dalykų, į kuriuos žiūri kiekvienas šiuolaikinis pašto tiekėjas, tiesiogiai veikia tai, ar jūsų el. paštas yra patikimas ar metamas į šiukšles, ir pataisymas yra nemokamas.

Kas tai yra, paprastais žodžiais

Kiekvienas jūsų verslo siunčiamas el. laiškas keliauja per kelias rankas, kol pasiekia gautuosius. Pats savaime el. laiškas neturi įrodymo, kas jį iš tikrųjų siuntė ar ar kas nors jį pakeitė pakeliui – „nuo” eilutė yra tiesiog tekstas, kurį gali spausdinti bet kas.

DKIM tai ištaiso. Jis uždeda nematomą, apsauginį antspaudą ant kiekvieno jūsų verslo siunčiamo laiško. Kai el. laiškas ateina, gaunančiojo pašto tiekėjas tikrina antspaudą su raktu, kurį jūs skelbiate savo domene. Jei jis sutampa, tiekėjas žino du dalykus tikrai: el. laiškas iš tikrųjų atkeliavo iš jūsų domeno ir ne vienas simbolis nebuvo pakeistas tranzitu. Jei jis nesutampa – nes žinutė buvo suklastota arba pakeista – antspaudas nepavyksta ir tiekėjas tvarko paštą su įtarimu.

Jūs nieko netvarkote rankiniu būdu. Kai tai yra įjungta, pasirašymas ir tikrinimas vyksta automatiškai ant kiekvieno el. laiško, amžinai. Visas DKIM tikslas yra padaryti jūsų tikrą paštą tikrai tikru – kad jis būtų pasitikimas, ir kad suklastoti laiškai išsiskirtų.

Kiek tai gali jus kainuoti

Tai nėra abstraktu. Štai kaip trūkstamas ar silpnas DKIM antspaudas atrodo praktiškai mažoms ir vidutinėms įmonėms.

• Pakeista sąskaita faktūra. Jūs kliento siunčiate sąskaitą faktūrą el. paštu. Kažkur tarp jūsų serverio ir jų, užpuolikas ją perima ir sukeičia jūsų banko duomenis į savus. El. laiškas vis tiek atrodo atkeliavęs iš jūsų, klientas sumoka – į nusikaltėlio sąskaitą. Be DKIM nėra nieko, kas pažymėtų, kad žinutė buvo sugadinta. Su juo tas tylus pakeitimas sulaužo antspaudą ir yra sučiuptas.
• Sandoriai, kurie mirė šiukšlėse. Jūsų pasiūlos, pasiūlymai ir tolesni el. laiškai nuolat patenka į klientų šiukšlių aplankus. Niekada negaunate atsakymo ir manote, kad jie nebuvo suinteresuoti. Iš tikrųjų nepasirašytas paštas yra stiprus šiukšlių signalas – jūsų tikras verslo el. paštas tiesiog nebuvo matytas.
• Prarastas sandoris. Didesnio kliento pirkimų ar saugumo komanda tikrina jūsų domeną prieš pasirašydama. Jie nemato DKIM ir laiko tai raudonai vėliavelei – arba atidedant sandorį savaitėms, kol ištaisote, arba tyliai pasirenkant tiekėją, kurio el. pašto saugumas atitiko reikalavimus.
• Jūsų vardas naudojamas prieš jūsų klientus. Sukčius siuntinėja įtikinamus el. laiškus „iš jūsų įmonės” jūsų klientų bazei. Kadangi niekas neįrodo, kurios žinutės yra tikrai jūsų, netikri atrodo tokie pat teisėti kaip tikri – ir jūsų reputacija nukenčia, kai žmonės nukentėja.
• Lėtas jūsų el. pašto pasmaugimas. Bankai, dideli pašto dėžutės tiekėjai ir įmonių filtrai vis labiau nepasitiki nepasirašytu paštu. Efektas palaipsniui atsiranda: daugiau ribojimo, daugiau šiukšlinimo, daugiau atmetimų – kol jūsų kasdienis bendravimas tyliai nustoja pasiekti tikslą.

Kas tai iš tikrųjų yra

DKIM reiškia „DomainKeys Identified Mail”. Štai kaip antspaudas veikia be žargono:

• Jūs skelbiate viešąjį raktą savo domene (DNS nustatymuose). Visi gali jį perskaityti – tai ir yra tikslas.
• Jūsų pašto tiekėjas laiko atitinkamą privatųjį raktą ir juo pasirašo kiekvieną jūsų siunčiamą el. laišką, pridėdamas paslėptą antraštę.
• Kai ateina el. laiškas, gavėjo tiekėjas gauna jūsų viešąjį raktą, tikrina parašą prieš žinutę ir patvirtina, kad ji yra tikra ir nepakeista.

Keletas terminų, kuriuos galite girdėti iš IT žmogaus:

• Selektorius – etiketė, rodanti į vieną konkretų raktą, pvz., selector1._domainkey.jusudomenas. Ji leidžia jums paleisti ir keisti kelis raktus švariai. Jūsų tiekėjas tai nustato.
• Rakto stiprumas – DKIM raktai ateina skirtingų dydžių. Šiuolaikinis bazinis yra 2048 bitų RSA; 4096 bitų RSA arba Ed25519 raktai yra dar stipresni. Senesni 1024 bitų raktai vis dar veikia, bet laikomi silpnais pagal šiuolaikinius standartus (NIST SP 800-131A / RFC 8301).

Kaip atrodo „gerai”: galiojantis DKIM raktas skelbiamas prie selektoriaus jūsų domene, jūsų siunčiamas paštas pasirašomas juo, ir raktas yra 2048 bitų arba stipresnis. Tai yra pilnas praėjimas.

Pastaba apie tai, kaip tai vertinama. Šis tikrinimas ieško tikro, gerai suformuoto DKIM rakto, paskelbto selektoriuose, kuriuos pašto tiekėjai dažniausiai naudoja. Paskelbtas galiojantis raktas yra teigiamas signalas – trečiojo šalies skeneris negali atkurti jūsų gyvų parašų, todėl teisingai rakto buvimas yra tai, kas matuojama. Raktas nerastas – patikrinimas nepavyksta (didelė rimtumo spraga). Galiojantis raktas, kuris yra silpnas (1024 bitų RSA) – uždirbama apie pusė taškų – tai veikia, bet turėtų būti atnaujinta. Stiprus raktas (2048 bitų RSA arba geresnis, arba Ed25519) – pilni taškai. Tai vienas iš el. pašto saugumo patikrinimų, įskaitomų į jūsų vertinimą.

Kaip tai ištaisyti (nemokama, ~15 minučių)

Ši dalis skirta tam, kas tvarko jūsų el. paštą ar domeną – jei tai ne jūs, perduokite jiems šį skyrių. Pataisymas yra nemokamas. Mes imame mokestį tik už stebėseną, kad jūsų apsaugos išliktų sveikos laikui bėgant, o ne už jų sukūrimą.

Bendra forma visur vienoda: įjunkite DKIM savo el. pašto tiekėje, paimkite jo sugeneruotą raktą, paskelbkite jį savo DNS, tada patvirtinkite, kad jis yra gyvas. Tikslūs žingsniai priklauso nuo to, kas valdo jūsų el. paštą – štai dažniausiai pasitaikantys.

Google Workspace (Gmail)

1. Administravimo konsolė → Programos → Google Workspace → Gmail → Autentifikuoti el. paštą.
2. Pasirinkite savo domeną ir spustelėkite Generuoti naują įrašą (pasirinkite 2048 bitų rakto ilgį).
3. „Google” jums suteikia DNS įrašą. Pridėkite jį prie DNS prieglobos kaip TXT įrašą, prieglobstis google._domainkey.jusudomenas, su „Google” pateikta reikšme.
4. Palaukite, kol jis išplis (minutės iki kelių valandų), tada grįžkite į tą patį ekraną ir spustelėkite Pradėti autentifikavimą.

Microsoft 365 (Outlook / Exchange Online)

1. Eikite į Microsoft Defender portalą → El. paštas ir bendradarbiavimas → Politikos ir taisyklės → Grėsmių politikos → El. pašto autentifikavimo nustatymai → DKIM.
2. Pasirinkite savo domeną. Microsoft rodo jums du CNAME įrašus, kuriuos reikia paskelbti (selector1 ir selector2).
3. Pridėkite abu CNAME įrašus prie DNS prieglobos tiksliai taip, kaip rodoma.
4. Atgal DKIM ekrane, perjunkite DKIM pasirašymą į Įjungta domenui.

Zoho Mail

1. Valdymo skydas → El. pašto autentifikavimas → DKIM.
2. Sugeneruokite raktą (naudokite selektorių kaip zoho), tada pridėkite pateiktą TXT įrašą prie zoho._domainkey.jusudomenas savo DNS.
3. Patikrinkite Zoho skydelyje, kai įrašas yra gyvas.

Kiti tiekėjai / jūsų pačių pašto serveris Modelis yra identiškas: tiekėjas (arba jūsų pašto programinė įranga) sugeneruoja raktų porą, pasirašo jūsų siunčiamą paštą privačiuoju raktu ir suteikia jums viešąjį įrašą, kurį reikia paskelbti. Paprastai tai atrodo taip:

Prieglobstis:  selector1._domainkey.jusudomenas
Tipas:  TXT (arba CNAME, priklausomai nuo tiekėjo)
Reikšmė: (ilga rakto eilutė, kurią suteikia jūsų tiekėjas)

Kur pridedami DNS įrašai: jūsų domeno DNS nustatymuose – paprastai pas domenų registratorių ar DNS prieglobą (pvz., „Cloudflare”, „GoDaddy”, jūsų prieglobos valdymo skydelis). Jei jūsų el. pašto tiekėjas pateikia CNAME, tai rodo į jų prieglobomą įrašą, todėl niekada nematote neapdoroto rakto – tai normalu ir gerai.

Patvirtinkite, kad veikia: siųskite sau bandomąjį el. laišką „Gmail” paskyrai, atidarykite jį, pasirinkite Rodyti originalą ir patikrinkite, ar atsiranda DKIM: PASS. Tada iš naujo patikrinkite savo domeną, kad patvirtintumėte, jog raktas atėjo kaip 2048 bitų arba stipresnis, o ne silpnas 1024 bitų.

Dažnos klaidos

• Manant, kad didelis tiekėjas turi jį įjungtą pagal numatytąją nuostatą. Daug domenų pas „Google” ar „Microsoft” vis dar reikia įjungti DKIM ir paskelbti įrašą. „Mes naudojame Microsoft 365” nėra tas pats, kas „DKIM yra įjungtas.”
• Silpno 1024 bitų rakto generavimas. Kai kurie tiekėjai vis dar numatytai siūlo 1024 bitus. Pasirinkite 2048 bitus, kai yra galimybė – silpnas raktas uždirba tik pusę taškų ir yra pažymimas griežtesnių gavėjų.
• Įrašo paskelbimas, bet pasirašymo neįjungimas. DNS įrašo pridėjimas yra tik pusė darbo. Jei neįjungiate pasirašymo tiekėje (paskutinis perjungiklis), jūsų paštas vis tiek išeina nepasirašytas.
• Rakto klaidingas spausdinimas arba sutrumpinimas. DKIM raktai yra ilgi. Kopijavimas ir įklijavimas, kuris praleidžia simbolį arba neteisingai padalija reikšmę, sukuria sulaužytą antspaudą, kuris nepavyksta kiekvienam el. laiškui. Įklijuokite reikšmę tiksliai taip, kaip pateikta.
• Kitų siuntėjų pamiršimas. Jei siunčiate paštą per naujienlaiškinį įrankį, CRM, sąskaitų faktūrų programą ar e. komercijos platformą, kiekviena iš jų gali reikalauti savo DKIM rakto ir selektoriaus. Pasirašykite paštą iš visų paslaugų, kurios siunčia jūsų vardu, ne tik jūsų pašto dėžutės.

Pastaba apie DKIM, SPF ir DMARC

DKIM retai veikia vienas. Tai vienas iš trijų nustatymų, kurie kartu daro jūsų el. paštą patikimu:

• SPF sako, kuriems serveriams leidžiama siųsti paštą jūsų domeno vardu.
• DKIM (šis puslapis) yra apsauginis antspaudas, įrodantis, kad žinutė tikrai yra jūsų ir nepakeista.
• DMARC yra nurodymas, sakantis tiekėjams, ką daryti su tuo, kas nepavyksta – ir jis remiasi DKIM ir SPF, kad priimtų tą sprendimą.

Jei taisote DKIM, verta tuo pačiu metu patikrinti SPF ir DMARC. Kartu jie sustabdo jūsų verslo apsimetimą ir užtikrina, kad jūsų tikras el. paštas patenkintų ten, kur turėtų.

Nustatymas pas savo tiekėją

Žingsnis po žingsnio populiariems tiekėjams:

• Nustatyti DKIM pas GoDaddy
• Nustatyti DKIM pas Namecheap
• Nustatyti DKIM pas Cloudflare
• Nustatyti DKIM pas Google Workspace
• Nustatyti DKIM pas Microsoft 365
• Nustatyti DKIM pas Squarespace
• Nustatyti DKIM pas Wix
• Nustatyti DKIM pas AWS Route 53
• Nustatyti DKIM pas Hostinger
• Nustatyti DKIM pas Porkbun
• Nustatyti DKIM pas IONOS
• Nustatyti DKIM pas Bluehost

DUK