DKIM | I denna bloggserie tar jag upp grundläggande mekanismer för att skydda din epost mot spoofing. I del 1 avhandlades Sender Policy Framwork, denna delen fokuserar på DomainKeys Identified Mail eller som det vanligare sägs, DKIM.

Historik

DKIM bygger på två olika initiativ, Domain Keys och Identified Internet Mail (IIM). Dessa båda togs fram av Yahoo och Cisco, men 2004 så fastställdes en standard hos Internet Engenering Task Force. Precis som beskrivet i första delen av denna bloggserie så är det avsaknaden av autentisering i SMTP som ligger bakom behovet.

Idag beskrivs DKIM i RFC 6376, https://tools.ietf.org/html/rfc6376

 

DomainKeys Identified Mail

Efter första initiativet med Sender Policy Framwork så konstaterade många att flera utmaningar inte var lösta, bland annat problematiken med vidarebefordrad e-post, och ytterligare en lösning togs fram för att åstadkomma en lösning som på ett säkrare och flexiblare sätt kunde autentiseras att epost kommer från den organisation den utger sig för att komma ifrån.

Vad är DKIM?

I korthet kan man säga att DKIM ser till att din organisation kan ta ansvar för att epost skickas på ett sätt så att mottagaren kan verifiera att det verkligen är din organisation som skickat det.

Detta göra genom att en krypterad del läggs till i headern på varje epostmeddelande, en slags digital signatur. När mottagaren sen tar emot epostmeddelandet så kan denna digitala signatur verifieras genom att dekryptera signaturen med en publik nyckel. Om den publika nyckeln passar för att låsa upp signaturen så är brevet från någon av dina servrar.

Hur fungerar DKIM?

När en server är konfigurerad för DKIM så kommer denna att lägga till en krypterad signatur i headern på samtliga epostmeddelande den skickar ut. En sådan signatur kan se ut på följande vis:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=altitude365.com;

s=selector1; h=From:Date:Subject:Message-ID:Content-Type:MIME-Version;

bh=yaOrs6n35yfZvI4OZxinvJ1ihYwvsUxhvj7bVgt1QPI=;

b=kF3xBBwzo/gEgx4U9W58a/xhpkA9fB7J+O9EInFFFwiYXtIBSUQR8j4MO4i8RMX4a/gHsYdaJ/NeageW1XT4odKVD1JHFrHf9gEoxJjuJfK5kDqQTbVzmhn6/bpioD956kEVzjemSwrZwy+6wSundWU3wT5o/+yNsYQgjZ6TK8w=

Som du kan se så innehåller denna en hel del information som är avsett för att mottagande epostsystem automatiskt ska kunna processa den information som kommer. Några av de värde man kan utläsa ur DKIM signaturen är (d=) avsändande SMTP-domän, (b=) den faktiska signaturen och (bh=) en hash som används för att dekrypteras med den publika nyckeln.

När mottagande servern tar emot epost med en DKIM signatur så kontrollerar den i DNS var avsändande domäns publika nyckel finns via ett CNAME-record.

I vårt fall ser detta CNAME-record ut som nedan.

selector1._domainkey.altitude365.com

selector1-altitude365-com._domainkey.Altitude365.onmicrosoft.com.

Dvs mottagande server får veta i signaturen (s=) att den ska kolla selector1, selector1 hittar servern via att gå till länken selector1._domainkey.altitude365.com som i vårt fall pekar vidare till Office 365.

Nedan en skiss på hur detta fungerar:

5012-dkim1-sv-1672833513

Nu kan mottagande server dekryptera signaturen och avgöra om Altitude365.com verkligen är avsändare av detta brev.

 

Risker och problem med DKIM

Som beskrivet i förra delen av den här serien så har SPF en del tillkortakommanden när det gäller automatisk vidarebefordring, DKIM har inga liknande problem. Möjligen skulle det kunna vara ett problem för dig som organisation att du har system som inte stödjer DKIM men mer om det under sammanfattningen nedan.

 

Sammanfattning

DKIM kräver något mer av dig än ”lillebror” SPF men det är också ett bra mycket bättre skydd mot spoofing. Det som framförallt av dig och din organisation är att ni ser över era tjänster ni använder för att skicka mail, tjänster som nyhetsbrev, reklamutskick mm. Här behöver ni som organisation se över hur upphandlingar görs osv. Denna delen är en av de saker som vi behandlar i vår workshop som ni hittar här.

Relaterade inlägg

Vill du vara säker på att inte missa något

Som du märker brinner vi för att dela med oss av våra erfarenheter, nyttiga lärdomar och spaningar ut i exosfären. Se till att följa vårt nyhetsbrev eller vårt flöde på Linkedin så du inte missar något.

Hidden

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Exobe AB, orgnr. 556769-5605 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Funktionella cookies

Funktionella cookies behöver placeras för att webbplatsen ska kunna prestera som du förväntar dig, exempelvis så att den känner av vilket språk som du föredrar, för att känna av om du är inloggad, för att hålla webbplatsen säker, komma ihåg inloggningsuppgifter eller för att kunna sortera produkter på webbplatsen utefter dina preferenser.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för personlig anpassning

För att ge dig en bättre upplevelse placerar vi cookies för dina preferenser

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata