סף הכניסה לעבירוּת הוא אימות דומיינים מדוורים באמצעות פרוטוקולי אימות הדומיין SPF ו-DKIM. מהי רשומת DKIM ואיך נכון להגדיר אותה?
תוכן עניינים
סף הכניסה לעבירוּת – אימות דומיין
סינון ספאם ואימייל הוא תהליך רב שכבתי. באבולוציה של סינון אימייל, כמו במסנן הכולל מספר שכבות, אימות דומיינים (Email Authentication) הוא אחת השכבות הראשונות בהחלטות הסינון.
אימות דומיינים אינו מבטיח הגעה ל-inbox אך מאפשר למדוורים לקחת אחריות ולבנות sender reputation שחלק משמעותי ממנו משויך לדומיין.
במאמר קודם סקרתי את רשומת SPF – רשומה ותיקה וחשובה לאימות הדומיין השולח. רשומת DKIM, בה עוסק מאמר זה, היא רשומה חדשה יותר (DKIM נרשם סופית כפרוטוקול רשמי ב-2011).
תחת ההגדרה Email Authentication נמצאים הפרוטוקלים SPF ו-DKIM ומעליהם ככלי לניטור והגנה על הדומיין פרוטוקול DMARC. פרוטוקול חדש נוסף הוא פרוטוקול BIMI המאפשר לנמען להבחין ויזואלית אם הודעת אימייל היא אותנטית.
הטמעת DMARC תבוא רק לאחר הטמעה של SPF ו-DKIM.
מה זה DKIM?
פרוטוקול DKIM הוא רשומת TXT ב-DNS, המגדירה דומיינים האחראים על ההודעה מבחינת חתימת ההודעה ומצפינה מקטע מתוכן ההודעה (body).
מאחר והרשומה משויכת לדומיין היא משויכת ל-reputation שלו. זה גם הרציונל עבור מדוורים להשתמש בדומיינים שלהם על מנת לבנות, לשפר ולשמר domain reputation ולא להישען על אימות דומיין של מערכת הדיוור.
הרשומה אינה משמשת רק לאימות דומיין אלא גם כאמצעי אבטחה המוודא שהודעת אימייל לא עברה שינוי בדרך בין מוען (השולח) לנמען (המקבל).
העברת הודעה "שוברת" פעמים רבות את האימות (לצורך זה משתמשים ב-ARC – Authenticated Received Chain) שנועד לשמור על ה- chain of custodyשל החתימות בהעברה וקבלה של אימיילים בין שרתים.
כדאי ונכון להשתמש בכמה DKIM לפעילויות אימייל שונות, מקורות שונים או stream שונים (תשתיות שונות, מיילים טרנזקציוניים, תפעוליים שיווקיים וכדומה).
רצוי לשכלף (rotate) מפתחות (מבוצע לרוב על ידי ספקית ה-SMTP).
פעמים רבות הודעות אימייל נחתמות ב-DKIM של הדומיין השולח ובנוסף עם DKIM של מערכת הדיוור (ESP), לצורכי FBL (double signed).
מבנה רשומת DKIM
רשומת TXT ב-DNS כ-Sub domain תחת domainkey._
מתחילה ב-v=DKIM1
אורך המפתח: מינימום 1024 bits. מומלץ 2048 bits. מפתחות ארוכים יותר עשויים ליצור בעיות.
DKIM selectors
| Required / optional | value | Tag |
| required | version. always v=1 | v= |
| required | The algorithm used to generate the signature | a= |
| required | The domain of the signing entity | d= |
| required | selector. the selector subdividing the namespace (domain) for the "d=" | s= |
| required | signature data | b= |
| required | hash of the canonicalized body part of the message as limited by the "l=" tag | bh= |
| required | signed header fields | h= |
| recomanded | signature timestamp | t= |
| recomanded | signature expiration | x= |
| optional | message canonicalization | c= |
| optional | the identity of the user or agent | i= |
| optional | Body length count | l= |
| optional | A colon-separated list of query methods used to retrieve the public key | q= |
טעויות ומגבלות DKIM
כל אחד יכול לחתום: ספק מערכת הדיוור, הדומיין הפרטי וכיו"ב.
החתימה יכולה "להישבר" על ידי העברה.
שרתי DNS מיושנים או לא מעודכנים, עשויים לא להיות מותאמים לאורך מפתח.
שכיח לראות שדומיין כולל רשומת DKIM אבל לא עבור כל שרתי הדיוור המשרתים את הדומיין או הארגון. אפשר לגלות תשתיות מדוורות בשם הדומיין על ידי הטמעה נכונה של DMARC.
קשה לנטר DKIM. לשם כך אפשר להשתמש ב-DMARC.
ארגונים לא מבצעים עדכון שוטף (rotation) של מפתחות.
רוצה להתייעץ איתי לגבי שיפור האימייל מרקטינג או עבירוּת המיילים שלך? אני מזמין אותך לפגישת ייעוץ ראשונית של 1/2 שעה, ללא עלות.
לקריאה נוספת
אודות מחבר המאמר
סלע יֹפֶה
מלווה חברות, עסקים, סטרטאפים ומערכות דיוור בארץ ובעולם בנושא עבירוּת אימיילים (email deliverability) ואסטרטגיית אימייל מרקטינג כדי שאימיילים שעסקים שולחים יגיעו ל-Inbox ולא אל ה-Spam.
יוצר הבלוג והפודקאסט crm.buzz
