Princip DKIM a jeho nastavení¶
Digitální podepisování odchozích e-mailových zpráv pomocí techniky DKIM je metodou boje proti spamu, která zároveň zvyšuje důvěryhodnost e-mailové komunikace.
Princip¶
Pracuje na principu asymetrické kryptografie, kdy je hash těla odchozí zprávy zašifrován pomocí privátního klíče a připojen ke zprávě. Vyhodnocující server na straně příjemce pak tento hash rozšifruje pomocí veřejného klíče umístěného v DNS záznamu a porovná s hashem příchozí zprávy, kterou sám vypočítá. Pokud souhlasí, je zřejmé, že zpráva skutečně pochází od důvěryhodného odesílatele a nebyla nijak modifikována. Pokud nikoliv, může být takový e-mail v závislosti na nastavení antispamového řešení penalizován či odmítnut.
Nasazení¶
Scénáře, jak nasadit DKIM na managed serveru jsou v zásadě dva.
První možnost představuje veškeré odchozí zprávy podepisovat jedním klíčem, vytvořeným pro jednu doménu. Výhodou takového řešení jsou nižší nároky na konfiguraci a nutnost nastavení jediného TXT záznamu u jedné domény. Protože součástí DKIM podpisu je i doména, kde má ověřující server veřejný klíč hledat, tak i e-mail odeslaný z jiné domény, než jakou byl podepsán, není problémem. Takový e-mail bude mít validní DKIM podpis a ověřením projde. U některých ověřujících systémů však může mít mírně nižší důvěryhodnost oproti použití druhého, níže popsaného řešení.
Druhé řešení je nastavit každé doméně, ze které jsou ze serveru odesílány e-maily, vlastní klíč. To s sebou nese nutnost pro každou doménu zvlášť vygenerovat klíč, nakonfigurovat podepisování a v DNS nastavit TXT DKIM záznam s veřejným klíčem. Toto řešení je časově a administrativně náročnější, ale mírně důvěryhodnější.
Obě tato řešení lze zkombinovat, kdy server bude několik nejdůležitějších domén podepisovat vyhrazenými klíči a zbytek již sdíleně.
Při vznesení požadavku na technickou podporu o nasazení DKIM je třeba mít promyšlené, která varianta se má použít. V okamžiku, kdy je konfigurace serveru připravená a klíče vygenerované, vložíme veřejnou část klíče do TXT záznamu příslušné domény. Pokud doména není v naší správě, předáme Vám tento veřejný klíč k nasazení. Samotné podepisování odchozích zpráv je aktivováno v okamžiku, kdy je TXT záznam s DKIM klíčem nasazený a dostupný při DNS dotazu.