סף הכניסה לעבירוּת הוא אימות דומיינים מדוורים באמצעות פרוטוקולי אימות הדומיין SPF ו-DKIM. מהי רשומת DKIM ואיך נכון להגדיר אותה?
תוכן עניינים
סף הכניסה לעבירוּת – אימות דומיין
סינון ספאם ואימייל הוא תהליך רב שכבתי. באבולוציה של סינון אימייל, כמו במסנן הכולל מספר שכבות, אימות דומיינים (Email Authentication) הוא אחת השכבות הראשונות בהחלטות הסינון.
אימות דומיינים אינו מבטיח הגעה ל-inbox אך מאפשר למדוורים לקחת אחריות ולבנות sender reputation שחלק משמעותי ממנו משויך לדומיין.
במאמר קודם סקרתי את רשומת SPF – רשומה ותיקה וחשובה לאימות הדומיין השולח. רשומת DKIM, בה עוסק מאמר זה, היא רשומה חדשה יותר (DKIM נרשם סופית כפרוטוקול רשמי ב-2011).
תחת ההגדרה Email Authentication נמצאים הפרוטוקלים SPF ו-DKIM ומעליהם ככלי לניטור והגנה על הדומיין פרוטוקול DMARC. פרוטוקול חדש נוסף הוא פרוטוקול BIMI המאפשר לנמען להבחין ויזואלית אם הודעת אימייל היא אותנטית.
הטמעת DMARC תבוא רק לאחר הטמעה של SPF ו-DKIM.
מה זה DKIM?
פרוטוקול DKIM הוא רשומת TXT ב-DNS, המגדירה דומיינים האחראים על ההודעה מבחינת חתימת ההודעה ומצפינה מקטע מתוכן ההודעה (body).
מאחר והרשומה משויכת לדומיין היא משויכת ל-reputation שלו. זה גם הרציונל עבור מדוורים להשתמש בדומיינים שלהם על מנת לבנות, לשפר ולשמר domain reputation ולא להישען על אימות דומיין של מערכת הדיוור.
הרשומה אינה משמשת רק לאימות דומיין אלא גם כאמצעי אבטחה המוודא שהודעת אימייל לא עברה שינוי בדרך בין מוען (השולח) לנמען (המקבל).
העברת הודעה "שוברת" פעמים רבות את האימות (לצורך זה משתמשים ב-ARC – Authenticated Received Chain) שנועד לשמור על ה- chain of custodyשל החתימות בהעברה וקבלה של אימיילים בין שרתים.
כדאי ונכון להשתמש בכמה DKIM לפעילויות אימייל שונות, מקורות שונים או stream שונים (תשתיות שונות, מיילים טרנזקציוניים, תפעוליים שיווקיים וכדומה).
רצוי לשכלף (rotate) מפתחות (מבוצע לרוב על ידי ספקית ה-SMTP).
פעמים רבות הודעות אימייל נחתמות ב-DKIM של הדומיין השולח ובנוסף עם DKIM של מערכת הדיוור (ESP), לצורכי FBL (double signed).
האזנה לפודקאסט
פודקאסט ובלוג העוסקים בנושאי אימייל מרקטינג, שיווק, ודאטה
הגעתם אל הבלוג והפודקאסט המובילים והמעודכנים ביותר בעברית בנושא אימייל מרקטינג ועבירוּת מיילים (email deliverability) הכולל עשרות מאמרים עומק ופודקאסטים בנושא אימייל מרקטינג למתחילים ומתקדמים ומכסה את התחום בצורה מקצועית.
אימייל מרקטינג הוא ערוץ ותיק, אבל אולי דווקא בגלל שהוא ”הסבא” של המדיה הדיגיטלית הוא לא מקבל את תשומת הלב וההתמקצעות הראויה.
אבל זה הולך ונהיה קשה… כדי להצליח באימייל מרקטינג צריך להתמקצע ולא לסמוך רק על כך שהפלטפורמה (מערכת הדיוור) תעשה את הכל.
אפשר למצוא כאן עשרות מאמרים ופודקאסטים מקצועיים ומפורטים בנושא אימייל מרקטינג, עבירוּת אימיילים, סקירת מערכות דיוור, אוטומציה שיווקית, שיווק באמצעות תוכן, אימייל מרקטינג עבור איקומרס, טיפים לשיווק במייל ועוד.
a blog and a podcast (in Hebrew) about email marketing email deliverability, marketing and data.
מבנה רשומת DKIM
רשומת TXT ב-DNS כ-Sub domain תחת domainkey._
מתחילה ב-v=DKIM1
אורך המפתח: מינימום 1024 bits. מומלץ 2048 bits. מפתחות ארוכים יותר עשויים ליצור בעיות.
DKIM selectors
| Required / optional | value | Tag |
| required | version. always v=1 | v= |
| required | The algorithm used to generate the signature | a= |
| required | The domain of the signing entity | d= |
| required | selector. the selector subdividing the namespace (domain) for the "d=" | s= |
| required | signature data | b= |
| required | hash of the canonicalized body part of the message as limited by the "l=" tag | bh= |
| required | signed header fields | h= |
| recomanded | signature timestamp | t= |
| recomanded | signature expiration | x= |
| optional | message canonicalization | c= |
| optional | the identity of the user or agent | i= |
| optional | Body length count | l= |
| optional | A colon-separated list of query methods used to retrieve the public key | q= |
טעויות ומגבלות DKIM
כל אחד יכול לחתום: ספק מערכת הדיוור, הדומיין הפרטי וכיו"ב.
החתימה יכולה "להישבר" על ידי העברה (email forwared).
החתימה יכולה להישבר כשעוברים ל-DNS שמוגבל באורך ה-DKIM.
שרתי DNS שונים או לא מעודכנים, עשויים לא להיות מותאמים לאורך מפתח. למשל AWS Route53.
שכיח לראות שדומיין כולל רשומת DKIM אבל לא עבור כל שרתי הדיוור המשרתים את הדומיין או הארגון. אפשר לגלות תשתיות מדוורות בשם הדומיין על ידי הטמעה נכונה של DMARC.
קשה לנטר DKIM. לשם כך אפשר להשתמש ב-DMARC.
ארגונים לא מבצעים עדכון שוטף (rotation) של מפתחות.
רוצה להתייעץ איתי לגבי שיפור האימייל מרקטינג או עבירוּת המיילים שלך? אני מזמין אותך לפגישת ייעוץ ראשונית של 1/2 שעה, ללא עלות.
לקריאה נוספת
אודות הכותב
סלע יֹפֶה
מלווה חברות, עסקים, סטרטאפים ומערכות דיוור בארץ ובעולם בנושא עבירוּת אימיילים (email deliverability) ואסטרטגיית אימייל מרקטינג כדי שאימיילים שעסקים שולחים יגיעו ל-Inbox ולא אל ה-Spam.
יוצר הבלוג והפודקאסט crm.buzz
