Zvyšujeme bezpečnosť e-mailovej komunikácie vlastným DKIM podpisom

Koncom roku 2018 sme Vás informovali o spustení DKIM na našom hostingu v tomto článku.

Teraz v zabezpečení e-mailovej komunikácie ideme ešte ďalej, tak ako sme Vám na konci uvedeného článku sľúbili!

Vaša vlastná doména s podpisovým certifikátom

Doteraz boli všetky e-maily odosielané z našich serverov podpísané doménou hostcreators.sk. Od teraz Vaša vlastná doména disponuje vlastným podpisovým certifikátom, čím je dosiahnutá ešte vyššia bezpečnosť a dôveryhodnosť pri odosielaní e-mailu.

Ako funguje DKIM

DKIM pri odoslaní e-mailu doplní do hlavičky zašifrovaný podpis privátnym kľúčom domény, z ktorej je e-mail odoslaný. Následne prijímajúci server porovná privátny kľúč s verejným, ktorý je uložený v DNS záznamoch danej domény a pomocou DKIM dešifruje hlavičku a overí jej pravosť.

Takto môže prijímajúci server nadobudnúť istotu že e-mail, ktorý prijal, bol s určitosťou odoslaný z uvedenej domény odosielateľa a počas prenosu e-mailu nebol nijak zmenený.

Čo znamenajú jednotlivé znaky v DKIM podpise

Teraz si vysvetlíme jednotlivé znaky DKIM zápisu, ktoré obsahuje hlavička e-mailu. DKIM hlavička sa zapisuje vo formáte znak=hodnota.

• DKIM Signature: Hlvička DKIM
• v= Verzia DKIM, ktorú používa odosielajúci server.
• a= Podpisový algoritmus zabezpečujúci hashovanie podpisu. V súčasnosti existujú dva podpisové algoritmy rsa-sha1 a rsa-sha256.
• c= Ide o algoritmus označujúci úroveň bezpečnosti. Pozostáva z dvoch názvov oddelených lomítkom, ktoré zodpovedajú algoritmom kanonizácie hlavičky a tela e-mailu. Prvý algoritmus platí pre hlavičku a ten za lomítkom pre telo správy. Hodnoty tejto značky hovoria aká je miera tolerancie modifikácie podpísaneho e-mailu počas jeho prenosu.
• d= Špecifikuje doménu, ktorá nesie podpisový certifikát.
• i= Vyjadruje identitu používateľa, alebo mailového agenta. Zapisuje sa v tvare klasickej e-mailovej adresy. Lokálna časť pred "@" je voliteľná a predvolene prázdna, názov domény za "@" sa preberá z hodnoty značky d= a musí sa s ňou zhodovať.  
• s= Ide o selektor, ktorý sa používa na overenie verejného kľúča (na našich serveroch je to hcdefault).
• t= Čas vytvorenia podpisu e-mailu (udávaný v sekundách). Je vyjadrený počtom sekúnd uplynulých od 1.1.1970 až po čas podísania e-mailu v desiatkovej sústave ASCII.
• x= Exspirácia platnosti podpisu (predvolená hodnota je bez exspirácie). Formát odpovede je rovnaký ako pri znaku t=; vypočítava sa ako rozdiel času exspirácie a 1. januárom 1970 a nie medzi časom exspirácie a časom, kedy bol podpis vytvorený. Hodnota musí byť vyššia, ako hodnota značky t=.
• l= Určuje dĺžku tela e-mailu. Je voliteľná a predvolená hodnota je celé telo e-mailu.
• bh= (body hash) Zahashované telo správy, ktoré môže byť limitované značkou l=.
• h= Hlavičky e-mailu použité v podpisovom algoritme.
  • Date: - Dátum odoslania e-mailu
  • From: - Odosielateľ
  • Subject: - Predmet
• b= Hash všetkých hlavičiek z "h=" Značky (date, from, subject).
• q= Obsahuje zoznam metód dotazu používaných na získanie verejného kľúča. Je voliteľná a predvolená hodnota je dns/txt (v súčasnoti je to  jediná platná hodnota).
• z= Je to zoznam pôvodných hlavičiek aj s hodnotami a môže byť odlišný od hlavičiek uvedených v značke h=. Využitie nachádza v diagnostike v prípade chýb overenia e-mailu.

• Authentication-Reults: = Všetko čo server overil.
• dkim=pass - Pass značí úspešné overenie dkim
• header.d=nazov-domeny.sk - Názov domény ako unikátny identifikátor
• header.i=@nazov-domeny.sk - Vyjadruje identitu používateľa.
• header.b= - Pozostáva z prvých ôsmich znakov znak "b=" popísanom vyššie.

Účinná ochrana pred spamom

DKIM spolu s SPF a DMARC predstavuje účinú ochranu pred phishingom, spoofingom či spamom pred odosielaním podvodných e-mailov z Vašej domény. Všetky spomenuté DNS záznamy sú na našom hostingu štandardne nastavené.