Autor: Ing. Tomáš Hála, Linux Teamleader, ACTIVE 24, s.r.o. 

Uvádět u emailů falešnou adresu odesílatele je stejně snadné jako napsat vymyšleného odesílatele na obálku běžného dopisu. Typické je to zejména pro spam. Vyhnout by se tomu dalo používáním elektronického podpisu, ale přesvědčte někoho, že si má kvůli emailové korespondenci kupovat osobní certifikát od nějaké důvěryhodné certifikační autority a pak si poměrně složitě konfigurovat poštovního klienta. Dnes si představíme metodu, která dokáže zaručeným způsobem ověřit jednak odesílatelovu doménu a zároveň i integritu emailu, tedy že od jeho odeslání nedošlo k žádné změně obsahu – DKIM.

DKIM využívá asymetrického šifrování s veřejnou částí klíče uloženou v DNS záznamu a jeho hlavní kouzlo je v tom, že jej za vás řeší poskytovatel mailových služeb. Koncovému uživateli tak  nepřibudou žádné starosti ani náklady. U standardního emailu nepoznáte, jestli adresa odesílatele není falešná, ale při použití DKIM si můžete být jistí, že email byl odeslán skutečně z domény odesílatele (např. @active24.cz) a také že obsah emailu nebyl cestou nijak modifikován. Ověření samotného odesílatele (např. Tato emailová adresa je chráněna před spamboty, abyste ji viděli, povolte JavaScript ) DKIM neřeší a pro tyto účely už se musí použít zmíněné osobní certifikáty či PGP. Ve většině situací nám ale ověření domény stačí, protože řešíme zejména to, jestli komunikujeme skutečně s konkrétní institucí (např. bankou) a ne nějakým podvodníkem. Jestli nám ale píše skutečně konkrétní osoba z této instituce nebo se za něj podepsal jeho kolega, už nebývá tak podstatné (a pokud ano, ověříme si to jinak).

Jak DKIM funguje na straně odesílatele:

Veřejná část klíče používaného k podpisu je umístěna do DNS TXT záznamu, který vypadá zkráceně takto: selector._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCS......frzwIDAQAB"

Následně SMTP server poskytovatele používaný pro odesílání pošty každý email podepíše privátní částí klíče a tento podpis umístí do hlavičky emailu k tomu určené (DKIM-Signature) pro pozdější ověření příjemcem. Selector si můžeme libovolně zvolit a je dobrý např. k tomu, když chceme změnit klíč, kterým podepisujeme. Přidáním špatného záznamu do DNS ještě nic neriskujete (na rozdíl od SPF), protože dokud neodešlete podepsaný mail s uvedeným stejným selectorem, nikdo se nemá jak dozvědět, že takový záznam ve vaší doméně existuje a tedy nemůže podle něj měnit svoje chování vůči zaslaným emailům. Můžete si tedy záznam i samotné podepisování nejprve velice snadno a bez rizika odladit a teprve pak ho spustit do horkého provozu.

Jak funguje DKIM na straně příjemce:

Pokud emailový server/klient příjemce DKIM nezná, pak příslušnou hlavičku s podpisem zcela ignoruje a vše se chová jako u standardního emailu bez DKIM. Pokud server DKIM zná, ověří platnost podpisu (pomocí veřejné části klíče v TXT záznamu) a na základě výsledku může s emailem naložit. Jak přesně s ním ale naloží, záleží na každém provozovateli emailových služeb, protože toto záměrně není součástí definice DKIM. V praxi se ale používají dvě akce:

1. Email je zvýhodněn spamfiltrem jako ověřený a tudíž je nižší pravděpodobnost, že skončí označen jako spam nebo je email přímo whitelistován.

2. V emailovém klientu (resp. webmailu) je nějak zvýrazněno, že došlo k ověření odesílatelovy domény.

Pokud v DNS záznamu použijeme parametr „t=y“, tak se dle specifikace DKIM  musí s emailem nakládat stejně, jako by podpis vůbec neobsahoval. To znamená, že příjemce je nesmí nijak znevýhodňovat nebo dokonce zahazovat či odmítat na základě neúspěšného ověření podpisu. To je velice důležité, protože pak se nemusíte obávat toho, že nasazení této technologie přinese nějaké problémy s doručováním pošty. Výsledek by měl být buď pozitivní, nebo v nejhorším případě stejný jako bez podpisu.

Lze nějak definovat pro DKIM podpisovou politiku?

Za tímto účelem vzniklo rozšíření ADSP. Jde o další TXT záznam, pomocí kterého můžete např. definovat, že všechny emaily z vaší domény jsou podepsané a pokud ne, že je má příjemce zahodit. Tuto restriktivní politiku dnes využívají zejména společnosti, které jsou ve velkém poškozovány phishingem. Politika se definuje záznamem „_adsp._domainkey“ a protože nepoužívá selector, může si ji kdokoliv dotazem zjistit. Příjemce, který DKIM a ADSP podporuje, by měl rozhodně definovanou politiku majitele domény respektovat a nebát se případně emaily skutečně odmítat či zahazovat.

Jak jsme DKIM nasadili v ACTIVE 24:

ACTIVE 24 jako jediná webhostingová společnost v ČR začala provozovat DKIM na zákaznických doménách, tedy tím tuto technologii zpřístupnila široké veřejnosti k provozování na jejich vlastních doménách bez nutnosti složitě konfigurovat vlastní poštovní server. Pro zákazníky zajišťujeme umístění správného TXT záznamu do DNS domény a následně pro domény s tímto záznamem na SMTP serverech podepisuje všechny odchozí emaily. V případě přijímaní emailů dochází  k ověřování platnosti DKIM a emaily s validním podpisem jsou výrazně zvýhodňovány při antispamové kontrole. Politiku ADSP nedefinujeme, protože nemůžeme zákazníkům omezovat možnost odesílat emaily i jinou cestou než přes naše SMTP servery.

Jaké jsou hlavní výhody DKIM:

• Podepisování i ověřování za Vás zajišťuje poskytovatel emailových služeb a funguje zcela transparentně. Jako uživatel se tedy nemusíte vůbec o nic starat.

• Podepsaný email by neměl skončit označený jako spam u těch provozovatelů, kteří DKIM podpisy ověřují.

• Posíláte-li si emaily v rámci své domény, jsou taktéž podepsány a ověřeny, tedy neskončí ve spamu. Nemusíte pak nastavovat whitelist s vlastní doménou, který není účinný, protože adresu odesílatele spammeři falšují. Běžně se tak stává, že dostanete spam, který si dle adresy odesílatele jakoby posíláte sami sobě.

• Vaši obchodní partneři, se kterými si píšete, mají možnost si ověřit, že Vámi poslaný email skutečně odešel z vaší společnosti a nebyl cestou nijak modifikován. Mají tedy na úrovni domény garantováno, že email není podvrh.

Kdo DKIM používá:

• Jako referenci lze uvést např. Gmail.com společnosti Google, který emaily podepisuje a zároveň ve svém webmailovém rozhraní zvýrazňuje u přijatých emailů s platným podpisem ověření odesílatelovy domény.

• V ČR emaily podepisuje pomocí DKIM společnost Seznam.cz.

• Jako obranu proti phishingu pomocí ASDP politiky používá DKIM např. Paypal.com

Jak DKIM souvisí s SPF či DNSSEC:

• SPF je odlišná technologie, která je určena pouze k ověřování IP adres odesílacích serverů. Nedokáže garantovat integritu emailu (tedy že nedošlo cestou k jeho modifikaci) a při použití jiného odesílacího SMTP serveru nebo při automatickém přeposílání emailů hrozí, že bude váš email zahozen nebo znevýhodněn na spamfiltru příjemce. U DKIM k žádnému znevýhodňování implicitně nedochází. SPF je ale možné s DKIM kombinovat - obojí funguje zcela nezávisle.

• DKIM je založeno na asymetrické kryptografii s veřejnou částí klíče uloženou v DNS. DNSSEC proto podporuje spolehlivost DKIM tím, že garantuje integritu samotných DNS záznamů na doméně.

Je možné dostat spam podepsaný pomocí DKIM?

DKIM není primárně antispamová technika, ačkoliv je tak často označováno. Řeší pouze ověřování důvěryhodnosti emailu a teoreticky tedy můžete obdržet podepsaný spam, i když v praxi jsme takový případ ještě nezaznamenali (jen podepsané nedoručenky). Pokud by ale spam byl validně podepsán, znamená to, že je zaručeným způsobem svázaný s konkrétní doménou a tak se dá jednak velice snadno filtrovat a zároveň je možné výrazně snadněji dohledat, kdo je za jeho odesílání zodpovědný. Podepsaný spam by tedy nemohl uvádět falešnou identitu odesílatele, což je jedna z jeho hlavních a typických vlastností.

Nasazení DKIM nemá prakticky žádné negativní dopady díky rozumné implicitní politice a přitom vede k značnému zdůvěryhodnění emailové komunikace. Rozšiřování této technologie je proto určitě na místě a do budoucna může velice prospět k omezení anonymního spamu a emailovým podvodům, jako je phishing.