מהי רשומת DKIM לאימות דומיין? | crm.buzz

מהי רשומת DKIM לאימות דומיין?

רשומת DKIM

סף הכניסה לעבירוּת הוא אימות דומיינים מדוורים באמצעות פרוטוקולי אימות הדומיין SPF ו-DKIM. מהי רשומת DKIM ואיך נכון להגדיר אותה?

תוכן עניינים

האזנה לפודקאסט

סף הכניסה לעבירוּת – אימות דומיין

סינון ספאם ואימייל הוא תהליך רב שכבתי. באבולוציה של סינון אימייל, כמו במסנן הכולל מספר שכבות, אימות דומיינים (Email Authentication) הוא אחת השכבות הראשונות בהחלטות הסינון.

אימות דומיינים אינו מבטיח הגעה ל-inbox אך מאפשר למדוורים לקחת אחריות ולבנות sender reputation שחלק משמעותי ממנו משויך לדומיין.

במאמר קודם סקרתי את רשומת SPF – רשומה ותיקה וחשובה לאימות הדומיין השולח. רשומת DKIM, בה עוסק מאמר זה, היא רשומה חדשה יותר (DKIM נרשם סופית כפרוטוקול רשמי ב-2011).

תחת ההגדרה Email Authentication נמצאים הפרוטוקלים SPF ו-DKIM ומעליהם ככלי לניטור והגנה על הדומיין פרוטוקול DMARC. פרוטוקול חדש נוסף הוא פרוטוקול BIMI המאפשר לנמען להבחין ויזואלית אם הודעת אימייל היא אותנטית.

הטמעת DMARC תבוא בד”כ רק לאחר הטמעה של SPF ו-DKIM. אבל יש היגיון רב בהטמעת רשומת DMARC כמה שיותר מוקדם באמצעות כלי לניהול וניטור DMARC. הדוחות שיתקבלו יאפשרו לבחון את מצב האימות של SPF ו-DKIM ולראות את יחסי הגומלין בין הפרוטוקולים הללו בכל מקור ששולח אימיילים בשם דומיין. 

דוחות DMARC יציגו גם את הכמות החודשית המדוורת פר מקור שולח.

DKIM
מבנה סכמטי של מנגנון DKIM בשליחה ובקבלה

מה זה DKIM?

פרוטוקול DKIM הוא רשומת TXT (או CNAME) ב-DNS, המגדירה דומיינים האחראים על ההודעה מבחינת חתימת ההודעה ומצפינה מקטע מתוכן ההודעה (body).

מאחר שהרשומה משויכת לדומיין היא משויכת ל-reputation שלו. זה גם הרציונל עבור מדוורים להשתמש בדומיינים שלהם על מנת לבנות, לשפר ולשמר domain reputation ולא להישען על אימות דומיין של מערכת הדיוור.

dkim signed by esp only
דוגמא לחתימת DKIM אך עם דומיין של מערכת הדיוור בלבד

הרשומה אינה משמשת רק לאימות דומיין אלא גם כאמצעי אבטחה המוודא שהודעת אימייל לא עברה שינוי בדרך בין מוען (השולח) לנמען (המקבל).

העברת הודעה “שוברת” פעמים רבות את האימות (לצורך זה משתמשים ב-ARC – Authenticated Received Chain) שנועד לשמור על ה- chain of custody של החתימות בהעברה וקבלה של אימיילים בין שרתים.

כדאי ונכון להשתמש בכמה DKIM לפעילויות אימייל שונות, מקורות שונים או stream שונים (תשתיות שונות, מיילים טרנזקציוניים, תפעוליים שיווקיים וכדומה).

רצוי לשכלף (rotate) מפתחות אחת לתקופה. ישנן מערכות דיוור שעושות זאת בעצמן וישנן מערכות בהן זה מבוצע רק כפעולה יזומה על ידי המשתמש. 

פעמים רבות הודעות אימייל נחתמות ב-DKIM של הדומיין השולח ובנוסף עם DKIM של מערכת הדיוור (ESP), לצורכי FBL (double signed).

האזנה לפודקאסט
dkim double sign
ה-headers של הודעת אימייל לדוגמא. נחתמה גם על ידי הדומיין וגם על ידי SoketLabs (התשתית השולחת)

כלי בדיקה: DKIM Checker

מבנה רשומת DKIM

רשומת TXT ב-DNS כ-Sub domain תחת domainkey._ ולכל DKIM יש Selector.

מתחילה ב-v=DKIM1

אורך המפתח: מינימום 1024 bits. מומלץ 2048 bits. מפתחות ארוכים יותר עשויים ליצור בעיות.

DKIM DNS
דוגמא לרשומת DKIM ב-DNS

DKIM selectors

Required / optional value Tag
required version. always v=1 v=
required The algorithm used to generate the signature a=
required The domain of the signing entity d=
required selector. the selector subdividing the namespace (domain) for the "d=" s=
required signature data b=
required hash of the canonicalized body part of the message as limited by the "l=" tag bh=
required signed header fields h=
recomanded signature timestamp t=
recomanded signature expiration x=
optional message canonicalization c=
optional the identity of the user or agent i=
optional Body length count l=
optional A colon-separated list of query methods used to retrieve the public key q=

טעויות ומגבלות DKIM

כל אחד יכול לחתום: ספק מערכת הדיוור, הדומיין הפרטי וכיו”ב.

החתימה יכולה “להישבר” על ידי העברה (email forwared).

החתימה יכולה להישבר כשעוברים ל-DNS שמוגבל באורך ה-DKIM. 

שרתי DNS שונים או לא מעודכנים, עשויים לא להיות מותאמים לאורך מפתח. למשל AWS Route53. 

שכיח לראות שדומיין כולל רשומת DKIM אבל לא עבור כל שרתי הדיוור המשרתים את הדומיין או הארגון. אפשר לגלות תשתיות מדוורות בשם הדומיין על ידי הטמעה נכונה של DMARC.

קשה לנטר DKIM. לשם כך אפשר להשתמש ב-DMARC.

ארגונים לא מבצעים עדכון שוטף (rotation) של מפתחות.

רוצה להתייעץ איתי לגבי שיפור האימייל מרקטינג או עבירוּת המיילים שלך? אני מזמין אותך לפגישת ייעוץ ראשונית של 1/2 שעה, ללא עלות. book a 1/2 email deliverability discovery call.

לקריאה נוספת

הפרוטוקול המלא באתר dkim.org

תקן RFC6367, פרוטוקול DKIM

הסבר הטאגים ב-DKIM, בלוג validity

פרוטוקול ARC

sella 2
Sella Yoffe
CEO , 

Email Deliverability & Email Marketing Expert 

working with global email senders, startups, and ESPs to improve their deliverability and email authentication

Podcast host & Blogger @ CRM.BUZZ & EmailGeeks.Show

היי. אני סלע יפה, מומחה לעבירוּת אימיילים.

אני מזמין אותך להצטרף ולקבל גישה לקורס דיגיטלי בנושא עבירוּת אימיילים ותכנים בלעדיים נוספים למנויי הניוזלטר.

אני מזמין אותך להצטרף ולקבל בכל יום שישי את הניוזלטר שלי עם כל מה שמעניין וחשוב לדעת על אימייל מרקטינג ועבירוּת אימיילים.

הרשמה לניוזלטר פופ
דילוג לתוכן