DKIM végrehajtási útmutató: Gyakori buktatók és azok elkerülése

A Domain Keys Identified Mail (DKIM) egy kritikus fontosságú e-mail hitelesítési protokoll, amely ellenőrzi az üzenet integritását és a feladó legitimitását. A DKIM alapvető fontosságú a BIMI (Brand Indicators for Message Identification) szempontjából, mivel csak a megfelelően hitelesített e-mailekben jelenhet meg a márka logója a postaládában. A DKIM beállítása azonban számos olyan gyakori buktatóra hajlamos, amelyek alááshatják mind a biztonságot, mind a kézbesíthetőséget.

• Hiányzó vagy helytelen nyilvános kulcs a DNS-ben: Ha a DKIM nyilvános kulcs nincs közzétéve vagy helytelenül van formázva a DNS-ben, a hitelesítés sikertelen lesz. Mindig használjon DKIM rekordgenerátort, és ellenőrizze DNS-bejegyzéseit a szintaktikai hibák tekintetében.
• Gyenge vagy elavult kulcshossz: Az 1024 bitnél rövidebb (pl. 512 bit) kulcsok használata sebezhetővé teszi a DKIM-et a támadásokkal szemben. Használjon legalább 1024 bites kulcsokat - ajánlott a 2048 bites -, és 6-12 havonta cserélje őket.
• Igazítási problémák: A DKIM-aláírásban szereplő tartománynak (d= érték) meg kell egyeznie a "From" címben szereplő tartománnyal. A helytelen illeszkedés hitelesítési hibákhoz vezet, és megszakíthatja a DMARC-megfelelőséget.
• Szelektor-eltérés: A DNS-rekordban szereplő szelektornak meg kell egyeznie az e-mail fejlécében szereplő szelektorral. Már egyetlen karakteres eltérés is hibát okozhat.
• Helytelen formázás: A DKIM rekordoknak egyetlen, összefüggő karakterláncnak kell lenniük a DNS-ben. A sortörések, a nem szedett pontosvesszők vagy a hiányzó mezők (mint a v=DKIM1 vagy k=rsa) érvénytelenítik a rekordot.
• A DKIM-aláírás engedélyezésének elfelejtése: A DNS-rekord közzététele nem elég - győződjön meg róla, hogy a DKIM-aláírás engedélyezve van a levelezőszerverén vagy az e-mail szolgáltatójánál.
• Aldomainek és harmadik féltől származó szolgáltatók figyelmen kívül hagyása: Ha aldomainekről küld levelet, vagy harmadik fél szolgáltatásait használja, mindegyikben megfelelően be kell állítani a DKIM-et, hogy elkerülje a hitelesítési hiányosságokat.
• Nem felügyeli vagy teszteli: Rendszeresen tesztelje a DKIM beállításait, és figyelje a DMARC jelentéseket, hogy időben észrevegye a problémákat. Bármilyen változtatás után küldjön teszt e-maileket, és ellenőrizze, hogy a DKIM átmegy-e.

• Használjon erős, rendszeresen forgatott kulcsokat: 1024-2048 bit.
• Kétszeresen ellenőrizze a DNS-formázást és a szelektor igazítását: Biztosítsa a helyes szintaxist és a megfelelő szelektorokat.
• Igazítsa a DKIM-tartományokat: A DKIM-aláírásban szereplő tartománynak meg kell egyeznie a "From" címmel.
• Tesztelés minden frissítés után: Figyelje a hitelesítési eredményeket a DMARC-jelentésekkel.
• Egyeztessen a harmadik fél feladóival: Biztosítsa, hogy minden szállító helyesen alkalmazza a DKIM-et.
• Vonja vissza a régi vagy kompromittált kulcsokat: És távolítsa el őket a DNS-ből a visszaélések megelőzése érdekében.

• Ellenőrizze a DNS terjedési késedelmeket: A módosítások akár 48 órát is igénybe vehetnek.
• Tekintse át a DMARC és DKIM hibajelentéseket: Keressen nyomokat arra vonatkozóan, hogy mi és miért nem sikerül.
• Ellenőrizze, hogy az üzenet tartalma nem változik-e az aláírás után: Győződjön meg arról, hogy a továbbító vagy biztonsági eszközök nem módosítják az üzenetet.
• Olvassa el az e-mail szolgáltató dokumentációját: A hitelesítési problémák elhárításához kövesse a platform-specifikus útmutatást.