Iniciar uma conversa

Para que serve e como configurar o DKIM (antigo DomainKeys)?

A tecnologia DKIM (DomainKeys Identified Mail), originalmente projetada por Mark Delany do Yahoo!, tornou-se rapidamente um sucesso entre os programadores e os desenvolvedores de servidores de email. Trata-se de uma proposta de sistema de autenticação de emails usada para validar e garantir a autenticidade do domínio de um remetente de email, bem como a consistência e a integridade das mensagens. O IceWarp Server suporta o DKIM (mais recente) e não o original Domain Keys.

O DKIM executa funções análogas às do SPF (Sender Policy Framework, sistema de diretivas do remetente) porque impede a falsificação de domínios de remetentes de email. No entanto, a tecnologia DKIM é mais complexa que a SPF, pois também pode garantir que o conteúdo do email não tenha sido alterado de forma alguma durante o trânsito SMTP.

Estas são as principais vantagens dessa tecnologia:

  • O destinatário poderá confiar na origem do email e no conteúdo da mensagem se a análise do DKIM for concluída.
  • Aumento na eficiência das listas negras e brancas de domínios.
  • Controle anti-spam mais eficaz, além de opções de ações automatizadas que podem ser executadas nos resultados da análise do DKIM.
  • Agora, os proprietários de domínios abusivos podem ser rastreados.
  • O DKIM é inteiramente compatível com todos os servidores baseados em SMTP e DNS.

Como configurar

No IceWarp, em Configurações Globais/Domínios, ativar DKIM.

Na aba DKIM de um domínio, especifique:

Seletor: m512
Dominio: seudominio.com.br

Clique em "Gravar Chave Privada".

Clique em "Obter dados do seletor" e use o conteúdo retornado em uma entrada do tipo TXT no seu DNS server com o mesmo nome usado para o seletor (ex: m512_domainkey.seudominio.com.br).

Você pode verificar o registrando usando o DNS Query Tool do IceWarp e também testar enviando email para o Yahoo ou Gmail e verificando os headers da mensagem enviada/recebida em um desses sistemas.

Outras informações técnicas

O processo de assinatura do DKIM é, em essência, muito fácil. Ele funciona aplicando um hash ao corpo da mensagem de email enviada (usando, por exemplo, o algoritmo SHA1) e criptografando o resultado com a chave privada RSA. A versão preliminar original de Mark Delany também inclui codificação adicional desses dados altamente criptografados com Base64. Em seguida, a seqüência de caracteres resultante é inserida em uma mensagem de email como primeiro cabeçalho de mensagem chamado "DomainKey-Signature:”.

No lado receptor do processo de comunicação, o servidor SMTP que recebe uma mensagem como essa usa o nome de domínio de origem, a seqüência de caracteres _domainkey e um seletor do cabeçalho da mensagem e começa a pesquisar o registro TXT do DNS no DNS. O resultado dessa pesquisa no DNS também inclui a chave pública RSA do domínio de origem. O servidor SMTP destinatário com o DKIM pode, portanto, decifrar o valor do hash de cabeçalho e calcular o valor de hash para o resto da mensagem de email (corpo). Se esses dois valores forem correspondentes, o remetente do email será realmente do domínio de origem, e o conteúdo não terá sido alterado durante a transmissão pela Internet.

Além dessa incrível transparência, o IceWarp AntiSpam tira muito proveito da tecnologia DKIM. O AntiSpam é baseado no “método de incremento de pontuação” e, portanto, obtém facilmente benefícios do DKIM. Basicamente, pode haver somente três resultados com a descriptografia do email recebido e a correspondência de valor de hash:

  • Os valores do cabeçalho decifrado e do hash recalculado do corpo da mensagem correspondem. Isso é característico de mensagens de email autênticas e, portanto, não é adicionado nenhum valor à pontuação de mensagem total pelo Antispam.
  • A assinatura DKIM é inválida ou inexistente, mas o domínio de origem tem um registro TXT no DNS. Isso é suspeito e característico de mensagens de email forjadas e deveria haver um aviso sobre esse comportamento. A pontuação total de mensagens do IceWarp AntiSpam é incrementada.
  • Não há registro DNS para o domínio e não há "DomainKey-Signature:" (Assinatura DomainKey:) no cabeçalho de mensagem; portanto, o status é unknown (desconhecido) e a ação executada varia dependendo das configurações do MIAS.

Há também algumas possíveis desvantagens no uso do DKIM. Estes são alguns dos principais problemas:

  • Atualmente o DNS não é seguro, mas espera-se que os problemas de segurança sejam resolvidos pelo DNS seguro, cuja versão preliminar é chamada DNSSEC.
  • O DKIM cria um carga DNS adicional; portanto, se você é um operador de servidor DNS, prepare-se para um aumento nas consultas.
  • Acesso não-autorizado à sua chave privada, o que resulta em acesso não-autorizado à sua identidade.
  • Aumento no desgaste da CPU devido ao cálculo intensivo do hash de verificação.

De qualquer modo, as desvantagens são baseadas na evolução técnica e, portanto, não há necessidade de adiar a implementação do DomainKeys.

Para maiores detalhes, acesse http://dkim.org.

Para testar seu DKIM, acesse http://dkimcore.org/c/keycheck.

Outra opção é enviar um email para o Gmail e procurar pelo DKIM=pass, conforme exemplo abaixo, do header:

Authentication-Results: mx.google.com; spf=pass (google.com: domain of joseildo@lucanet.com.br designates 64.235.47.125 as permitted sender) smtp.mail=joseildo@lucanet.com.br; dkim=pass header.i=@lucanet.com.br DKIM-Signature: a=rsa-sha1; t=1258049798; x=1258654598; s=m512; d=lucanet.com.br; c=relaxed/relaxed; v=1; ...

Existem, ainda sistemas que permitem testar seu DKIM enviando um email para eles:

Alguns enderecos de email para onde voce pode enviar email para testar DKIM.

dkim-test@dell.icewarp.com
check-auth@verifier.port25.com
sa-test@sendmail.net

Você receberá e-mail de volta com status do seu DKIM (bem como SPF).

Ressaltamos que já vimos problemas para operacionalizar o DKIM quando se usa o servidor de DNS da Microsoft, por não comportar o tamanho do registro do tipo TXT usado pelo DKIM. Temos sucesso em outros servidores de DNS, como SimpleDNS.
Escolher arquivos ou arraste e solte arquivos
Esse artigo foi útil?
Sim
Não
  1. Flávio Zarur Lucarelli

  2. Publicado
  3. Atualizado

Comentários