Princip DKIM a jeho nastavení

Technicka podpora
2016-04-30 00:41

Digitální podepisování odchozích e-mailových zpráv pomocí techniky DKIM je další metodou boje proti spamu zároveň zvyšující důvěryhodnost e-mailové komunikace.

Pracuje na principu asymetrické kryptografie, kdy je hash těla odchozí zprávy zašifrována pomocí privátního klíče a připojena ke zprávě. Vyhodnocující server na straně příjemce pak tuto hash dekryptuje pomocí veřejného klíče umístěného v DNS záznamu a porovná s hashí příchozí zprávy, kterou sám vypočítá.
Pokud souhlasí, je zřejmé, že zpráva skutečně pochází od důvěryhodného odesilatele a nebyla nijak modifikována. Pokud nikoliv, může být takový e-mail v závislosti na nastavení antispamového řešení penalizován či odmítnut.

Scénáře, jak nasadit DKIM na managed serveru jsou v zásadě dva.

První možnost představuje veškeré odchozí zprávy podepisovat jedním klíčem, vytvořeným pro jednu doménu. Výhodou takového řešení jsou nižší nároky na konfiguraci a nutnost nastavení jediného TXT záznamu u jedné domény. I když má odeslaný e-mail v hlavičce odesilatele na jiné doméně, než klíčem které byl podepsán, součástí DKIM podpisu je právě i doména, v jejíž TXT záznamu má ověřující server veřejný klíč hledat.
Takový e-mail má tedy validní DKIM podpis a ověřením projde, byť u některých ověřujících systémů může mít mírně nižší důvěryhodnost oproti použití druhého, níže popsaného řešení.

Druhé řešení je nastavit každé doméně, ze které jsou ze serveru odesílány e-maily, vlastní klíč. To s sebou nese nutnost pro každou doménu vygenerovat vlastní klíč, zvlášť nakonfigurovat podepisování a pro každou doménu také v DNS nastavit vlastní TXT DKIM záznam s veřejným klíčem. Toto řešení je časově a administrativně náročnější, ale mírně důvěryhodnější.

Obě tato řešení lze zkombinovat, kdy server bude pro několik nejdůležitějších domén podepisovat vyhrazenými klíči příslušejícími každé z nich a zbytek již sdíleně.

Při vznesení požadavku na technickou podporu o nasazení DKIM je třeba mít promyšlené, která varianta se má použít. V okamžiku, kdy je konfigurace serveru připravená a klíče vygenerované, je veřejná část klíče umístěna do TXT záznamu příslušné domény. V případě, kdy není doména v naší správě, je tento veřejný klíč předán zákazníkovi k nasazení.

Poté, kdy je TXT záznam s DKIM klíčem nasazený a na dotaz DNS serveru dostupný, je samotné podepisování odchozích zpráv aktivováno.

Na sdílených webhostingových (Apollo, Atlantis, Enterprise, Geminy, Mercury, Skylab, Orion, Discovery) a poštovních serverech (posta2, posta3) je již DKIM nasazen se společným klíčem, všechny odesílané e-maily jsou jím podepisovány, není nutné cokoliv nastavovat.


Průměrné hodnocení: 0 (0 hlasů)

K tomuto záznamu nemůžete připojit komentář.