מהי רשומת DKIM לאימות דומיין? | crm.buzz

מהי רשומת DKIM לאימות דומיין?

רשומת DKIM

סף הכניסה לעבירוּת הוא אימות דומיינים מדוורים באמצעות פרוטוקולי אימות הדומיין SPF ו-DKIM. מהי רשומת DKIM ואיך נכון להגדיר אותה?

תוכן עניינים

סף הכניסה לעבירוּת – אימות דומיין

סינון ספאם ואימייל הוא תהליך רב שכבתי. באבולוציה של סינון אימייל, כמו במסנן הכולל מספר שכבות, אימות דומיינים (Email Authentication) הוא אחת השכבות הראשונות בהחלטות הסינון.

אימות דומיינים אינו מבטיח הגעה ל-inbox אך מאפשר למדוורים לקחת אחריות ולבנות sender reputation שחלק משמעותי ממנו משויך לדומיין.

במאמר קודם סקרתי את רשומת SPF – רשומה ותיקה וחשובה לאימות הדומיין השולח. רשומת DKIM, בה עוסק מאמר זה, היא רשומה חדשה יותר (DKIM נרשם סופית כפרוטוקול רשמי ב-2011).

תחת ההגדרה Email Authentication נמצאים הפרוטוקלים SPF ו-DKIM ומעליהם ככלי לניטור והגנה על הדומיין פרוטוקול DMARC. פרוטוקול חדש נוסף הוא פרוטוקול BIMI המאפשר לנמען להבחין ויזואלית אם הודעת אימייל היא אותנטית.

הטמעת DMARC תבוא רק לאחר הטמעה של SPF  ו-DKIM.

DKIM
מבנה סכמטי של מנגנון DKIM בשליחה ובקבלה

מה זה DKIM?

פרוטוקול DKIM הוא רשומת TXT ב-DNS, המגדירה דומיינים האחראים על ההודעה מבחינת חתימת ההודעה ומצפינה מקטע מתוכן ההודעה (body).

מאחר והרשומה משויכת לדומיין היא משויכת ל-reputation  שלו. זה גם הרציונל עבור מדוורים להשתמש בדומיינים שלהם על מנת לבנות, לשפר ולשמר domain reputation ולא להישען על אימות דומיין של מערכת הדיוור.

dkim signed by esp only
דוגמא לחתימת DKIM אך עם דומיין של מערכת הדיוור בלבד

הרשומה אינה משמשת רק לאימות דומיין אלא גם כאמצעי אבטחה המוודא שהודעת אימייל לא עברה שינוי בדרך בין מוען (השולח) לנמען (המקבל).

העברת הודעה “שוברת” פעמים רבות את האימות (לצורך זה משתמשים ב-ARC – Authenticated Received Chain) שנועד לשמור על ה- chain of custodyשל החתימות בהעברה וקבלה של אימיילים בין שרתים.

כדאי ונכון להשתמש בכמה DKIM לפעילויות אימייל שונות, מקורות שונים או stream שונים (תשתיות שונות, מיילים טרנזקציוניים, תפעוליים שיווקיים וכדומה).

רצוי לשכלף (rotate) מפתחות (מבוצע לרוב על ידי ספקית ה-SMTP).

פעמים רבות הודעות אימייל נחתמות ב-DKIM של הדומיין השולח ובנוסף עם DKIM של מערכת הדיוור (ESP), לצורכי FBL (double signed).

dkim double sign
ה-headers של הודעת אימייל לדוגמא. נחתמה גם על ידי הדומיין וגם על ידי SoketLabs (התשתית השולחת)
video
play-rounded-fill

רוצה לצפות בהקלטה של הוובינר?

הרשמה לניוזלטר השבועי שלי בנושאי אימייל מרקטינג, שיווק ודאטה תאפשר לך גישה לתכנים בלעדיים למנויי הניוזלטר

מבנה רשומת DKIM

רשומת TXT ב-DNS כ-Sub domain תחת domainkey._

מתחילה ב-v=DKIM1

אורך המפתח: מינימום 1024 bits. מומלץ 2048 bits. מפתחות ארוכים יותר עשויים ליצור בעיות.

DKIM DNS
דוגמא לרשומת DKIM ב-DNS

DKIM selectors

Required / optional value Tag
required version. always v=1 v=
required The algorithm used to generate the signature a=
required The domain of the signing entity d=
required selector. the selector subdividing the namespace (domain) for the "d=" s=
required signature data b=
required hash of the canonicalized body part of the message as limited by the "l=" tag bh=
required signed header fields h=
recomanded signature timestamp t=
recomanded signature expiration x=
optional message canonicalization c=
optional the identity of the user or agent i=
optional Body length count l=
optional A colon-separated list of query methods used to retrieve the public key q=

טעויות ומגבלות DKIM

כל אחד יכול לחתום: ספק מערכת הדיוור, הדומיין הפרטי וכיו”ב.

החתימה יכולה “להישבר” על ידי העברה.

שרתי DNS מיושנים או לא מעודכנים, עשויים לא להיות מותאמים לאורך מפתח.

שכיח לראות שדומיין כולל רשומת DKIM אבל לא עבור כל שרתי הדיוור המשרתים את הדומיין או הארגון. אפשר לגלות תשתיות מדוורות בשם הדומיין על ידי הטמעה נכונה של DMARC.

קשה לנטר DKIM. לשם כך אפשר להשתמש ב-DMARC.

ארגונים לא מבצעים עדכון שוטף (rotation) של מפתחות.

רוצה להתייעץ איתי לגבי שיפור האימייל מרקטינג או עבירוּת המיילים שלך? אני מזמין אותך לפגישת ייעוץ ראשונית של 1/2 שעה, ללא עלות.

לקריאה נוספת

הפרוטוקול המלא באתר dkim.org

תקן RFC6367, פרוטוקול DKIM

הסבר הטאגים ב-DKIM, בלוג validity

פרוטוקול ARC

אודות מחבר המאמר

sella
סלע יֹפֶה
מומחה עבירוּת אימיילים , אימייל מרקטינג ואיכות דאטה. מנכ"ל , | אתר

מלווה עסקים בארץ ובעולם באסטרטגיית אימייל מרקטינג ושיפור עבירוּת אימיילים (email deliverability) כדי שאימיילים שעסקים שולחים יגיעו ל-Inbox ולא אל ה-Spam.

מנכ"ל חברת דאטה מדיה | יוצר הבלוג והפודקאסט crm.buzz

הי. אני סלע. 

רוצה להתעדכן בכל מה שחשוב לדעת על אימייל מרקטינג?

היי. אני סלע

בכל יום שישי אני שולח ניוזלטר עם מאמרי עומק בנושאי אימייל מרקטינג, שיווק ודאטה

אני מזמין אותך להצטרף ולקבל גישה לתכנים בלעדיים למנויי הניוזלטר

דילוג לתוכן