DKIM — co to jest i dlaczego jest przydatne?

Komunikacja e-mailowa, choć szybka i wygodna, wiąże się z pewnymi zagrożeniami, takimi jak spoofing i phishing. Wychodzą im naprzeciw nowoczesne mechanizmy bezpieczeństwa, między innymi DKIM. Co to DKIM i jak właściwie działa? Dlaczego warto się nim zainteresować? Czy samo wykorzystanie w mailu DKIM jest odpowiednim zabezpieczeniem? Odpowiadamy!

Co to jest DKIM i komu się przyda?

DKIM, czyli DomainKeys Identified Mail, to mechanizm uwierzytelniania, który pozwala odbiorcy wiadomości e-mail zweryfikować, czy nadawca jest autentyczny i czy treść wiadomości nie została zmieniona w trakcie transmisji danych. W ten sposób DKIM chroni skrzynkę odbiorczą przed potencjalnie szkodliwą zawartością.

Odpowiedź na pytanie, co to jest DKIM, na pierwszy rzut oka może sugerować, że jest to skomplikowana technologia dla wybranych. Warto jednak zaznaczyć, że DKIM nie jest rozwiązaniem skierowanym wyłącznie do korporacji, czy firm o dużym wolumenie korespondencji e-mailowej. 

Wręcz przeciwnie, DKIM jest przydatne dla każdego, kto wysyła wiadomości e-mail, począwszy od indywidualnych użytkowników, przez podmioty publiczne np. urzędy, aż po małe, średnie i duże przedsiębiorstwa. Dzięki DKIM możemy mieć pewność, że nasze wiadomości docierają do odbiorców w bezpieczny sposób i bez ryzyka manipulacji. Należy jednak pamiętać, że DomainKeys Identified Mail służy do weryfikacji domeny nadawcy, a nie samego nadawcy, więc nie pomoże, gdy na przykład osoba nieuprawniona uzyska dostęp do skrzynki e-mailowej firmy.

Dlaczego warto korzystać z DKIM?

Korzyści płynące z wdrożenia w e-mailach DKIM są widoczne na wielu płaszczyznach. Po pierwsze, DKIM pomaga w budowaniu zaufania do marki. Odbiorcy wiadomości mają pewność, że pochodzą one rzeczywiście od danej firmy i mogą otworzyć je z pełnym zaufaniem. 

Mechanizm chroni reputację przedsiębiorcy w zakresie działań online, minimalizując ryzyko, że adresy e-mail firmy zostaną wykorzystane do rozsyłania nieautoryzowanych wiadomości lub ataków phishingowych. To zatem nie tylko narzędzie obrony przed zagrożeniami, ale także inwestycja w cyfrową reputację i wiarygodność marki.

Po drugie, DKIM przyczynia się do poprawy skuteczności prowadzonych kampanii e-mailowych, eliminując ryzyko, że wiadomości trafią do folderu spamu lub zostaną całkowicie zablokowane przez filtry antyspamowe. Błędna klasyfikacja rozsyłanych komunikatów jako wiadomości złośliwe lub niepotrzebne znacząco obniża ich otwieralność (i wiarygodność). To koszmar każdego marketera. 

Jak tego koszmaru uniknąć i zapewnić, że email marketing będzie maksymalnie efektywny? Oprócz stosowania mechanizmów bezpieczeństwa, takich jak DKIM w e-mailu, przydatne będzie także przeprowadzanie testów antyspamowych. Taką funkcjonalność oferują niektóre platformy do komunikacji mobilnej, w tym mProfi. Dzięki temu po przygotowaniu maila, a jeszcze przed jego wysyłką, nadawca może sprawdzić, jak wiadomość zostanie potraktowana przez filtry antyspamowe i w razie potrzeby dokonać niezbędnych poprawek.

Jak działa weryfikacja wiadomości przez DKIM?

Wiemy, co to DKIM w najogólniejszym wymiarze, warto jednak wyjaśnić, jak ten mechanizm działa w wymiarze technicznym. W skrócie DKIM wykorzystuje kryptografię asymetryczną do podpisywania wiadomości e-mail przez nadawcę i weryfikacji tych podpisów przez odbiorcę. Na czym polega ten proces?

W pierwszej kolejności nadawca podczas wysyłania wiadomości e-mail dodaje do niej specjalny nagłówek, zawierający podpis cyfrowy wygenerowany za pomocą klucza prywatnego. Klucz publiczny, który jest składową procesu DKIM, jest natomiast przechowywany w rekordzie TXT domeny nadawcy.

Następnie, gdy wiadomość dociera do serwera pocztowego odbiorcy, serwer ten pobiera klucz publiczny z rekordu TXT domeny nadawcy. Używa go do weryfikacji podpisu cyfrowego znajdującego się w nagłówku e-maila. Jeśli podpis zostanie pomyślnie zweryfikowany, oznacza to, że wiadomość nie została zmieniona w trakcie transmisji danych i pochodzi rzeczywiście od autentycznego nadawcy.

W przypadku niepowodzenia weryfikacji podpisu DKIM maila serwer pocztowy może podjąć różne działania, w tym zwiększyć rygorystyczność filtrowania wiadomości lub umieścić ją w folderze spamu.

Czy DKIM zapewnia pełne bezpieczeństwo?

Dzięki DKIM e-mail będzie postrzegany przez skrzynkę odbiorcy jako bardziej wiarygodny. Jednak, jak już zasygnalizowano, mechanizm DomainKeys Identified Mail sam w sobie nie zapewnia pełnego bezpieczeństwa komunikacji e-mailowej. Nie oznacza to, że nie powinno się z niego korzystać. Natomiast dobrym rozwiązaniem będzie uzupełnienie go innymi protokołami. 

W związku z tym warto wiedzieć nie tylko, co to jest DKIM, ale też czym są DMARC oraz SPF, czyli dwa inne popularne mechanizmy zapobiegające oszustwom. SPF (Sender Policy Framework) to rozwiązanie umożliwiające właścicielom domen określenie, które serwery pocztowe są upoważnione do wysyłania wiadomości e-mail w ich imieniu. Dzięki SPF odbiorca może zweryfikować, czy nadawca jest autentyczny, poprzez sprawdzenie, czy serwer wysyłający wiadomość jest na liście autoryzowanych serwerów dla danej domeny.

DMARC (Domain-based Message Authentication, Reporting and Conformance) idzie o krok dalej, łącząc mechanizmy DKIM i SPF w celu jeszcze skuteczniejszej ochrony przed phishingiem i spoofingiem. Umożliwia nadawcy określenie polityki tego, jak serwery pocztowe powinny reagować na wiadomości, które nie przechodzą weryfikacji DKIM lub SPF. To pozwala na kontrolę, czy maile będą odrzucane, oznaczane jako spam (i w związku z tym trafią do oddzielnego folderu w skrzynce), czy dostarczane z ostrzeżeniem.

Jako ciekawostkę można dodać, że polska ustawa o zwalczaniu nadużyć w komunikacji elektronicznej, która weszła w życie 25 września 2023 roku, wprowadziła dla niektórych podmiotów bezwzględny obowiązek stosowania opisanych mechanizmów. Obejmuje on wszystkie podmioty publiczne, a także dostawców poczty elektronicznej, którzy obsługują co najmniej 500 000 użytkowników. Celem jest ochrona odbiorców przed spoofingiem i phishingiem.

Jak ustawić DKIM?

O ile łatwo wyjaśnić, co to DKIM, tak trudniej jest opisać, jak ustawić ten mechanizm dla swojej poczty. To, jak dokładnie będą wyglądać poszczególne kroki, zależy bowiem od okoliczności, m.in. hosta domeny i tego, jak zorganizowany jest jego panel administracyjny. 

Co do zasady, pierwszym krokiem jest wygenerowanie par kluczy DKIM: klucza prywatnego (do podpisywania wiadomości) i klucza publicznego (do weryfikacji podpisów). Większość platform hostingowych oraz serwerów pocztowych oferuje narzędzia do wygenerowania tych kluczy. Upewnij się, że przechowujesz klucz prywatny w bezpiecznym miejscu.

Następnie musisz dodać rekord DKIM do DNS domeny. Jest to zazwyczaj rekord TXT zawierający klucz publiczny DKIM oraz informacje o sposobie podpisywania wiadomości. W razie jakichkolwiek problemów warto zapoznać się z dokumentacją dostawcy usług DNS lub skorzystać z dostępnych w sieci narzędzi do generowania rekordów DKIM.

Po dodaniu rekordu DKIM do DNS zaleca się przeprowadzenie weryfikacji poprawności konfiguracji. Istnieją różne narzędzia online, które umożliwiają sprawdzenie, czy DKIM został poprawnie skonfigurowany. Możesz także przetestować działanie tego mechanizmu, wysyłając wiadomość e-mail na adres, który wspiera DomainKeys Identified Mail i sprawdzając, czy podpis jest prawidłowo weryfikowany przez serwer odbiorcy.

Już po skonfigurowaniu dla maila DKIM ważne jest także regularne monitorowanie jego działania. Upewnij się, że klucze są aktualne i że nie ma żadnych problemów z weryfikacją podpisów. Mamy nadzieję, że po zapoznaniu się z powyższymi informacjami nie tylko wiesz, co to jest DKIM, ale także rozumiesz jego rolę w zapewnieniu bezpieczeństwa w komunikacji elektronicznej!