DomainKeys Identified Mail

DomainKeys Identified Mail (DKIM) – metoda łączenia domeny internetowej z wiadomością e-mail, przez to pozwalająca organizacji brać odpowiedzialność za treść e-maila. Sygnatura DKIM zabezpiecza przed podszywaniem się pod nadawcę (e-mail spoofing) z innych domen.

Zasada działania

Nadawca wiadomości w nagłówku e-maila umieszcza sygnaturę DKIM. Serwer adresata dostaje wiadomość, następnie pobiera z DNS rekord TXT, w tym rekordzie powinny być dane pozwalające na zweryfikowanie sygnatury. Jeśli wszystko jest poprawne, adresat dostaje wiadomość^[1]. Domyślna metoda autoryzacji polega na użyciu kryptograficznej funkcji skrótu SHA-256 i RSA (algorytm z kluczem publicznym).

Przykładowe pole DKIM-Signature w nagłówku e-maila.

  DKIM-Signature: v=1; a=rsa-sha256; d=example.net; s=brisbane;
     c=relaxed/simple; q=dns/txt; l=1234; t=1117574938; x=1118006938;
     h=from:to:subject:date:keywords:keywords;
     bh=MTIzNDU2Nzg5MDEyMzQ1Njc4OTAxMjM0NTY3ODkwMTI=;
     b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZ
              VoG4ZHRNiYzR

Tworzenie

Początkowo DKIM został zaprojektowany przez Marka Delanya(inne języki) z Yahoo! i ulepszony przez rady od wielu innych ludzi od roku 2004.

Kolejne poprawki były opisywane w RFC 4870 ↓, RFC 4871 ↓, RFC 5672 ↓ i RFC 6376 ↓.

Historia

Największe amerykańskie firmy dostarczające e-maile zaimplementowały DKIM na swoich serwerach, między innymi Yahoo, Gmail i AOL^[2]^[3]^[4]^[5].

Protokół DKIM powstał w 2004 roku w wyniku połączenia dwóch niezależnych inicjatyw: „enhanced DomainKeys” opracowanego przez Yahoo oraz „Identified Internet Mail” autorstwa Cisco^[6]^[7]. Połączona specyfikacja stała się podstawą dla serii dokumentów standaryzacyjnych IETF, które ostatecznie doprowadziły do publikacji RFC 6376 (STD 76)^[8].

DomainKeys koncentrował się na weryfikacji domeny nadawcy wiadomości przy użyciu DNS oraz zapewnieniu integralności danych, natomiast propozycja Cisco zakładała użycie podpisu cyfrowego jako podstawy autoryzacji wiadomości^[9]^[2]^[10].

Po pierwszych wdrożeniach pojawiły się trudności z działaniem podpisów DKIM w przypadku pośredniego przekazywania wiadomości, szczególnie w kontekście list dyskusyjnych. Proponowane zmiany w samym protokole DKIM nie zostały jednak przyjęte – zamiast tego zmodyfikowano oprogramowanie obsługujące listy mailingowe^[11].

W 2017 roku powołano grupę roboczą DKIM Crypto Update (dcrup), której celem było zaktualizowanie technik podpisywania wiadomości^[12]. W styczniu 2018 roku opublikowano RFC 8301, zakazujące użycia SHA-1 i aktualizujące długości kluczy (z 512–2048 do 1024–4096 bitów)^[13]. We wrześniu 2018 roku ukazało się RFC 8463, wprowadzające obsługę krzywych eliptycznych i algorytmu k=ed25519, charakteryzującego się krótszymi kluczami publicznymi, lepiej nadającymi się do publikacji w DNS^[14].

Bezpieczeństwo

Stosowanie zbyt krótkiego klucza umożliwia szybkie jego złamanie i użycie do spreparowania wiadomości^[15].

Przypisy

↑ DKIM: bezpieczeństwo e-mail dzięki podpisom cyfrowym [online], Jak Wybrać Hosting? [dostęp 2023-02-28] (pol.).
↑ ^a ^b Post on the Yahoo! Corporate Blog. ycorpblog.com. [zarchiwizowane z tego adresu (2013-03-14)]. by Mark Delany, credited as Chief Architect, inventor of DomainKeys
↑ Fighting phishing with eBay and PayPal [online], Official Gmail Blog [dostęp 2025-07-02] (ang.).
↑ Gmail help entry mentioning DKIM support when sending
↑ All outbound email now being DKIM signed, „FastMail Weblog”, 13 sierpnia 2009 [dostęp 2025-07-02] [zarchiwizowane z adresu 2014-05-26] (ang.).
↑ MIPA-DKIM [online], www.dkim.org [dostęp 2025-07-02] [zarchiwizowane z adresu 2008-04-21] .
↑ DomainKeys Identified Mail (DKIM) Grows Significantly [online], Cisco Blogs [dostęp 2025-07-02] [zarchiwizowane z adresu 2014-12-24] .
↑ MurrayM. Kucherawy MurrayM., DaveD. Crocker DaveD., TonyT. Hansen TonyT., DomainKeys Identified Mail (DKIM) Signatures [online], wrzesień 2011 [dostęp 2025-07-02] .
↑ JimJ. Fenton JimJ., MichaelM. Thomas MichaelM., Identified Internet Mail [online], 13 maja 2005 [dostęp 2025-07-02] .
↑ Yahoo Releases Specs for DomainKeys, „DMNews”, 19 maja 2004 [dostęp 2025-07-02] [zarchiwizowane z adresu 2021-03-07] (ang.).
↑ Domain-based Message Authentication, Reporting & Conformance (dmarc) [online], datatracker.ietf.org [dostęp 2025-07-02] .
↑ DKIM Crypto Update (dcrup) [online], datatracker.ietf.org [dostęp 2025-07-02] .
↑ ScottS. Kitterman ScottS., Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) [online], styczeń 2018 [dostęp 2025-07-02] .
↑ John R.J.R. Levine John R.J.R., A New Cryptographic Signature Method for DomainKeys Identified Mail (DKIM) [online], wrzesień 2018 [dostęp 2025-07-02] .
↑ Znalazł dziurę w trakcie rekrutacji do Google, bo myślał, że takie było zadanie…

Linki zewnętrzne

M.M. Delany M.M., Domain-Based Email Authentication Using Public Keys Advertised in the DNS (DomainKeys), RFC 4870, IETF, maj 2007, DOI: 10.17487/RFC4870, ISSN 2070-1721, OCLC 943595667 (ang.).
E.E. Allman E.E. i inni, DomainKeys Identified Mail (DKIM) Signatures, RFC 4871, IETF, maj 2007, DOI: 10.17487/RFC4871, ISSN 2070-1721, OCLC 943595667 (ang.).
D.D. Crocker D.D., RFC 4871 DomainKeys Identified Mail (DKIM) Signatures -- Update, RFC 5672, IETF, sierpień 2009, DOI: 10.17487/RFC5672, ISSN 2070-1721, OCLC 943595667 (ang.).
D.D. Crocker D.D., T.T. Hansen T.T., M.M. Kucherawy M.M., DomainKeys Identified Mail (DKIM) Signatures, STD 76, RFC 6376, IETF, wrzesień 2011, DOI: 10.17487/RFC6376, ISSN 2070-1721, OCLC 943595667 (ang.).

[1] DKIM: bezpieczeństwo e-mail dzięki podpisom cyfrowym [online], Jak Wybrać Hosting? [dostęp 2023-02-28] (pol.).

[:0-2] Post on the Yahoo! Corporate Blog. ycorpblog.com. [zarchiwizowane z tego adresu (2013-03-14)]. by Mark Delany, credited as Chief Architect, inventor of DomainKeys

[3] Fighting phishing with eBay and PayPal [online], Official Gmail Blog [dostęp 2025-07-02] (ang.).

[4] Gmail help entry mentioning DKIM support when sending

[5] All outbound email now being DKIM signed, „FastMail Weblog”, 13 sierpnia 2009 [dostęp 2025-07-02] [zarchiwizowane z adresu 2014-05-26] (ang.).

[6] MIPA-DKIM [online], www.dkim.org [dostęp 2025-07-02] [zarchiwizowane z adresu 2008-04-21] .

[7] DomainKeys Identified Mail (DKIM) Grows Significantly [online], Cisco Blogs [dostęp 2025-07-02] [zarchiwizowane z adresu 2014-12-24] .

[8] MurrayM. Kucherawy MurrayM., DaveD. Crocker DaveD., TonyT. Hansen TonyT., DomainKeys Identified Mail (DKIM) Signatures [online], wrzesień 2011 [dostęp 2025-07-02] .

[9] JimJ. Fenton JimJ., MichaelM. Thomas MichaelM., Identified Internet Mail [online], 13 maja 2005 [dostęp 2025-07-02] .

[10] Yahoo Releases Specs for DomainKeys, „DMNews”, 19 maja 2004 [dostęp 2025-07-02] [zarchiwizowane z adresu 2021-03-07] (ang.).

[11] Domain-based Message Authentication, Reporting & Conformance (dmarc) [online], datatracker.ietf.org [dostęp 2025-07-02] .

[12] DKIM Crypto Update (dcrup) [online], datatracker.ietf.org [dostęp 2025-07-02] .

[13] ScottS. Kitterman ScottS., Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) [online], styczeń 2018 [dostęp 2025-07-02] .

[14] John R.J.R. Levine John R.J.R., A New Cryptographic Signature Method for DomainKeys Identified Mail (DKIM) [online], wrzesień 2018 [dostęp 2025-07-02] .

[15] Znalazł dziurę w trakcie rekrutacji do Google, bo myślał, że takie było zadanie…

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]