|
Perguntas Frequentes sobre o DKIM
Esta lista irá mudar constantemente, conforme novas e interessantes perguntas forem sendo feitas e quando melhores respostas forem desenvolvidas.
Passo a Passo para acessar o DKIM.
1° Acesse o menu Segurança.
2° Clique em Configuração de Segurança.
Haverá três opções de configuração DKIM.
· Verificações DKIM.
o Opções para verificação das mensagens recebidas, se possuem DKIM.
· Assinando DKIM.
o Assinatura de Saída de mensagens.
· Opções DKIM.
o Contem todas as opções de assinaturas DKIM, inscrição, verificação.
3° Após efetuar as alterações clique em OK para salvar e fechar a janela de configurações.
Básico
Qual o propósito do DKIM?
O DKIM deixa uma organização tomar responsabilidade por uma mensagem. A organização que toma a responsabilidade é um dos manipuladores da mensagem, ou como quem origina a mensagem ou como um intermediário.
O que o DKIM faz?
A organização responsável adiciona uma assinatura digital à mensagem. , associando-a ao nome do domínio da organização. Geralmente, a assinatura será efetuada por um agente de serviço dentro da autoridade do Administrative Management Domain (ADMD) do originador da mensagem. A assinatura pode ser realizada por qualquer um dos componentes funcionais, naquele ambiente, incluindo: Mail User Agent (MUA), ou Mail Submission Agent (MSA), Internet Boundary MTA. O DKIM permite que a assinatura seja feita por softwares de terceiros autorizados.
Quem valida as assinaturas?
Após uma mensagem ser assinada, qualquer agente no caminho de tráfego da mensagem pode se candidatar para validar a assinatura. Geralmente, a validação será feita por um agente na ADMD do destinatário da mensagem. Novamente, isto pode ser feito por qualquer componente funcional dentro do ambiente. Isto significa que a assinatura pode ser utilizada pelo software de filtragem do ADMD do destinatário, ao invés de ambos, destinatário e remetente, efetuarem a validação.
O que significa a assinatura DKIM?
O proprietário do nome de domínio sendo utilizado para uma assinatura DKIM está declarando que ele é responsável pela mensagem. Isto significa que a sua reputação está em jogo.
Os destinatários que validarem com sucesso uma assinatura podem utilizar a informação assinada como parte de um programa para limitar spam, spoofing, phishing ou outros comportamentos indesejáveis, embora o DKIM não prescreva quaisquer ações a serem tomadas pelo destinatário.
Observação: Um exemplo interessante do uso da assinatura é para detectar e-mails que afirmam ser de um usuário do site destinatário. Se o site assinar todos os seus e-mails, então a correspondência de entrada que alega ser de um dos sites do usuário, mas não está assinada, não é válida.
O uso do DKIM irá melhorar a aceitação de entrega e garantir que meus correios de marketing cheguem diretamente para a caixa de correio do destinatário, anulando os filtros contra spam?
Se isto melhora a aceitação de entrega ou anula os filtros depende inteiramente da descrição dos destinatários que estão validando. Quando uma mensagem foi assinada utilizando o DKIM, um destinatário utiliza os seus conhecimentos sobre quem assinou para determinar o tratamento mais apropriado para a mensagem. É esperado que as mensagens assinadas de uma pessoa que tenha boa reputação estejam sujeitas a uma menor apuração pelo servidor do destinatário.
O que o DKIM não faz?
Dentre os exemplos se inclui:
- O DKIM não oferece qualquer declaração sobre o comportamento da identidade que está assinando.
- O DKIM não prescreve quaisquer ação especifica para os destinatários tomarem após uma validação de assinatura com/sem sucesso.
- O DKIM não fornece proteção após a entrega da mensagem.
- O DKIM não protege contra o re-envio de uma mensagem que já teve sua assinatura validada; por tanto o tráfego intermediário ou um destinatário podem re-postar a mensagem de tal forma que a assinatura permaneceria válida, embora o novo destinatário (s) não tenha sido especificado pelo originador.
S/MIME e OpenPGP também realizam assinatura digital de e-mail. Por que simplesmente não utilizar um deles?
Diferente de outros mecanismos, o DKIM satisfaz as necessidades de autenticação em curto prazo. Isto faz com que seu uso seja mais barato. Ele também pode ser inteiramente invisível ao usuário final que possui um software que não suporta DKIM, considerando que o S/MIME e o OpenPGP são um tanto intrusivos.
O DKIM é tido como uma atualização do DomainKeys do Yahoo. Qual a diferença e por que devo realizar a atualização?
O DKIM é o resultado de um esforço de muitas empresas para melhorar o DomainKeys, para tornar a adoção mais ampla, melhorar a segurança, e oferecer mais flexibilidade.
Observação: O DKIM é diretamente compatível com os registros DNS existentes no DomainKeys, sendo assim um modulo DKIM não requer administração DNS adicional!
Qual a história do DKIM?
O DKIM foi desenvolvido por um consórcio de indústrias em 2004. Ele uniu e melhorou o DomainKeys, do Yahoo! e o Identified Internet Mail, da Cisco.
Implementação
Quais softwares precisam ser alterados para possibilitar o uso do DKIM?
O assinante precisa adicionar o código no agente apropriado, para realizar a assinatura e ele precisa também, modificar as suas ferramentas administrativas de DNS para permitir a criação dos registros de chaves DKIM.
A existência de uma assinatura válida não implica que a correspondência será aceita. Por exemplo, em uma entrega: a aceitação precisa de uma fase de avaliação. Assim o resultado da validação da assinatura deve ser alimentado à um mecanismo de veto que faz parte do filtro do servidor validando.
Adoção e Implementação
Quando eu devo considerar a implementação do DKIM?
O DKIM está pronto para ser utilizado hoje. Já existem múltiplas implementações, incluindo algumas que são de código aberto, e estão em fase de produção. O MDaemon da Alt-n, já está com o DKIM completamente implementado.
Observação: O DKIM pode fornecer benefícios significantes para cada empresa que o implementar, independente de sua implementação em qualquer outro local.
Quando um local começa a assinar todas as correspondências, ele pode imediatamente detectar quaisquer e-mails de entrada que alegam ter vindo do site, mas não estão assinadas e, portanto, não são válidos. Isso pode efetivamente eliminar quantidades substanciais de spam e phishing que é baseado em endereços de usuários do site.
Detalhes Técnicos
Resumo técnico da maneira que o DKIM funciona?
O DKIM é um mecanismo de autenticação para e-mail, utilizando:
- Um identificador de nome do domínio
- Criptografia de chave-pública
- Um serviço de publicação de chave pública com base em DNS.
- Um agente no caminho do tráfego pode assinar o conteúdo da mensagem e campos selecionados do cabeçalho. A informação da assinatura é colocada no campo de cabeçalho da mensagem, conforme RFC2822.
Quais são os objetivos técnicos do DKIM?
- Baixo custo de implementação e operação (evita PKI grandes e novos serviços de Internet)
- Não há necessidade de terceiros confiáveis (ex: Servidores de chaves)
- Não é necessário fazer uma atualização de Agente de Usuário de cliente ou destinatário.
- Não é necessário mudanças ao usuário final
- Auto-Validação da mensagem (Não só do caminho da mesma)
- Permite a delegação de autoridade de assinatura
- Extensível (serviço de chave, hash, chave pública)
- Estrutura para assinatura por usuário
O que é um “seletor” DKIM?
Um seletor será adicionado ao nome do domínio, e será utilizado para encontrar informações de chaves públicas DKIM. Ele é especificado como um atributo para uma assinatura DKIM, e é gravado no campo de cabeçalho DKIM-Signature.
A validação utiliza o seletor como um componente de nome adicional, para dar um diferencial aos nomes de consulta DNS. Existem diferentes registros DKIM e DNS associados a diferentes seletores, sob o mesmo nome do domínio.
Por exemplo:
jun2005.eng._domainkey.example.com
Portanto, seletores são utilizados para permitir múltiplas chaves sob o mesmo nome de domínio de uma organização. Isto pode ser utilizado para controles de assinatura diferentes, dentre eles departamentos, datas, ou terceiros agindo em nome do dono do nome de domínio.
Como a assinatura DKIM é gravada em uma mensagem?
Uma assinatura DKIM é gravada como um campo de cabeçalho RFC2822.
Por exemplo:
DKIM-Signature a=rsa-sha1; q=dns;
d=example.com;
i=user@eng.example.com;
s=jun2005.eng; c=relaxed/simple;
t=1117574938; x=1118006938;
h=from:to:subject:date;
b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSb
av+yuU4zGeeruD00lszZVoG4ZHRNiYzR
Comparação com Tecnologias Relacionadas
O DKIM utiliza tecnologia similar ao S/MIME e ao OpenPGP, para assinar as mensagens. Por que não utilizar um desses métodos anteriores, já que eles são padrões IETF?
O DKIM é baseado em nomes de domínios, ao invés de endereços de e-mail completos. Assim, a assinatura é controlada pelo administrador do nome do domínio, ao invés dos usuários de e-mail individuais.
O DKIM utiliza chaves auto-certificadas, baseadas em DNS. Como o escopo do DKIM é limitado, ele não precisa de certificados generalizados, poderosos e de longo prazo, emitidos por autoridades diferentes.
O S/MIME e OpenPGP são feitos para uso ao longo prazo, utilizado para proteção pessoal e, portanto, utilizam mecanismos mais caros e com identificação por usuário, com a necessidade de que a chave e a informação de certificação para uma mensagem, esteja disponível permanentemente.
Alem disso eles necessitam de modificações no corpo da mensagem. O DKIM não modifica o corpo. Ao invés disso ele coloca a sua informação nos campos do cabeçalho que normalmente não são mostrados para o destinatário. Por tanto o DKIM pode ser inteiramente invisível para os destinatários.
Quais são as diferenças entre o DomainKeys (DK) e o DKIM?
O DKIM melhorou o registro de chave DK DNS, para permitir a adição de vários parâmetros.
O DKIM permite que a identidade que está assinando seja diferente das identidades utilizadas pelo autor ou o agente de postagem inicial. Isto é essencial, por exemplo, para habilitar o suporte de assinaturas feitas por terceiros autorizados.
O DKIM permite restringir o uso de uma chave de assinatura para tipos de serviços específicos, como somente para e-mail. Isto é útil na hora de delegar autoridades de assinatura, como, por exemplo, para um departamento em particular ou para um prestador de serviço terceirizado.
O DKIM assina automaticamente o campo de cabeçalho DKIM-Signature, para protegê-lo contra modificações.
O DomainKeys possui um parâmetro que permite a restrição do uso de uma chave de assinatura para uma caixa de correio de um usuário especifico, por exemplo caixadecorreio@exemplo.com. O DKIM melhorou isso, para permitir que seja possível especificar uma parte do nome da caixa de correio com um coringa, como “caixadecorreio@*”. Isto é muito útil para manipular as práticas de “sub-endereçamento”, assim como distinguir entre as diferentes categorias de troca de e-mail entre usuários.
Com o DKIM, quem assina DEVE listar explicitamente os cabeçalhos que são assinados. Isto é uma melhora porque solicita a quem está assinando que utilize um mecanismo mais conservador (mais provável de ser verificado corretamente) e faz com que ele seja consideravelmente mais robusto contra a manipulação de MTAs intermediários.
O DKIM suporta timeouts na assinatura. Assim, uma assinatura pode declarar por quanto tempo o DNS poderá ser capaz de satisfazer consultas sobre a chave da assinatura.
O DKIM inclui idiomas para tornar claro qual campo do cabeçalho está assinado, se existir mais de um campo de cabeçalho na mensagem.
O DKIM permite limitar o tamanho do corpo, para permitir que as assinaturas sobrevivam no trafego entre intermediários, como alguns agente de listas de distribuição que adicionam texto ao final da mensagem.
Mais diferenças entre o DKIM e o DomainKeys:
- O DKIM utiliza um campo do cabeçalho RFC2822 diferente para armazenar a assinatura, distinguindo-se assim da assinatura DK.
- DKIM permite nomes de identificação com múltiplos caracteres.
- DKIM não suporta o cabeçalho DomainKeys-X509.
- DKIM permite copiar a versão original dos campos dos cabeçalhos e seus valores, para ajudar em diagnosticar as assinaturas que não sobreviveram ao trafego.
- DKIM tem a habilidade de limitar as chaves para algoritmos hash especificados em uma lista, dentro do registro DNS.
|
