O que é DKIM e como ele pode aumentar a segurança de seu e-mail?

Você já recebeu um e-mail de uma fonte confiável que acabou sendo um golpe de phishing malicioso?

É como receber uma carta que parece ser do seu banco, mas é uma falsificação inteligente tentando convencê-lo a fornecer suas informações pessoais. É aí que entra o DomainKeys Identified Mail (DKIM) .

Como um selo holográfico em um cartão de crédito ou uma marca d'água em dinheiro, o DKIM é um protocolo de autenticação de e-mail que verifica a legitimidade do remetente e garante que a mensagem não foi adulterada.

Proteger sua comunicação por e-mail com a ajuda do software de Autenticação, Relatórios e Conformidade de Mensagens Baseadas em Domínio (DMARC) ajuda a bloquear atividades suspeitas de e-mail e aumentar a segurança. O software DMARC ajuda a autenticar e-mails em relação aos padrões DKIM e SPF.

Esse processo ajuda a garantir a autenticidade e a integridade do e-mail, pois a assinatura prova que o e-mail não foi adulterado durante o trânsito e se origina de um endereço IP associado ao remetente reivindicado.

O DKIM é uma parte essencial da infraestrutura de e-mail moderna. Quando combinado com outros métodos de autenticação, como SPF e DMARC , ajuda a garantir uma experiência de e-mail mais segura e confiável.

Por que o DKIM é importante?

O DKIM é um importante método de autenticação de e-mail que fornece vários benefícios relacionados à segurança de e-mail para seus usuários finais.

• Autenticidade de e-mail: o DKIM usa assinaturas criptográficas para validar o domínio do remetente, permitindo que o sistema de e-mail do destinatário verifique a identidade do remetente e confie no conteúdo do e-mail. Isso ajuda a evitar que terceiros não autorizados forjem e-mails e os enviem em nome de um domínio.
• Integridade do e-mail: o mecanismo DKIM garante que os e-mails não sejam adulterados durante o trânsito, assinando partes selecionadas do e-mail. O sistema de e-mail do destinatário pode verificar se o conteúdo das partes assinadas não foi alterado desde que saiu do sistema do remetente. Isso ajuda a manter a confiabilidade da comunicação por e-mail.
• Capacidade de entrega de e-mail : ao autenticar e-mails e provar sua integridade, o DKIM ajuda os destinatários de e-mail a diferenciar e-mails legítimos de e-mails de spam e phishing . Isso pode levar a melhores algoritmos de filtragem de caixa de correio e melhor capacidade de entrega para remetentes legítimos. E-mails com assinaturas DKIM válidas têm maior probabilidade de chegar às caixas de entrada dos destinatários, em vez de serem marcados como spam ou rejeitados.
• Redução de ataques de spam e phishing: a implementação do DKIM como parte de uma estratégia de segurança de e-mail pode ajudar os destinatários a identificar e bloquear e-mails maliciosos com mais eficiência, reduzindo a taxa de sucesso de ataques de spam e phishing.
• Funciona em conjunto com SPF e DMARC: o DKIM pode ser usado juntamente com outros padrões de autenticação de e-mail, como registros SPF e DMARC, para criar um ecossistema abrangente de segurança de e-mail. Isso fortalece ainda mais a reputação do domínio do remetente e a capacidade de entrega do e-mail.

Em resumo, o DKIM é crucial porque ajuda a garantir a autenticidade e a integridade do e-mail, melhorando a capacidade de entrega para remetentes legítimos e reduzindo a eficácia de ataques de spam e phishing.

Como funciona o DKIM

O DKIM usa assinaturas digitais criptográficas para autenticar o domínio do remetente e garantir a integridade do e-mail. Uma assinatura digital criptográfica é usada para verificar a autenticidade dos dados. Ele funciona assinando mensagens de e-mail enviadas com uma assinatura digital verificada pelo servidor de e-mail do destinatário. Além disso, o DKIM valida se a mensagem ainda não foi modificada em trânsito.

Aqui está uma visão geral passo a passo de como o DKIM funciona:

1. O sistema de e-mail do remetente (Mail Transfer Agent) gera uma assinatura DKIM exclusiva para cada e-mail enviado. Isso é feito por:
   • Selecionando os cabeçalhos e o corpo do e-mail a serem assinados.
   • Fazendo hash das partes selecionadas usando uma função hash criptográfica.
   • Criptografar o hash usando a chave privada específica do domínio do remetente.
2. A assinatura DKIM gerada é adicionada ao cabeçalho do e-mail e o e-mail é enviado ao destinatário.
3. Quando o sistema de e-mail do destinatário recebe o e-mail, ele verifica a assinatura DKIM no cabeçalho do e-mail.
4. Se a assinatura DKIM estiver presente, o sistema de e-mail do destinatário a descriptografa usando a chave pública do remetente (obtida dos registros DNS do remetente).
5. O sistema de e-mail do destinatário refaz as partes selecionadas e compara o novo hash com aquele extraído da assinatura DKIM.
6. Se os hashes corresponderem , significa que o e-mail não foi adulterado e originado do domínio do remetente. O e-mail é considerado autêntico e o sistema do destinatário procede à entrega.
7. Se os hashes não corresponderem ou a assinatura DKIM estiver ausente, o e-mail pode ser marcado como suspeito ou tratado de acordo com as políticas de segurança do sistema de e-mail do destinatário.

Aproveitando a combinação de hashing criptográfico e criptografia de chave pública-privada, o DKIM fornece uma maneira confiável de autenticar o domínio do remetente e manter a integridade do e-mail.

É importante observar que os usuários devem incluir o DKIM em conjunto com outros métodos de autenticação de e-mail para aprimorar a segurança geral do e-mail e garantir a comunicação por e-mail confiável, fornecendo uma maneira de verificar a autenticidade das mensagens de e-mail.

O que é um registro DKIM?

Um registro DKIM é um registro TXT criado no DNS do domínio do remetente. Ele serve como uma contraparte de chave pública para a chave privada usada para gerar assinaturas DKIM em cabeçalhos de e-mail.

O principal objetivo de um registro DKIM é permitir que o sistema de e-mail do destinatário recupere a chave pública do remetente para descriptografar e verificar as assinaturas DKIM nos e-mails recebidos.

Tendo o registro DKIM disponível no DNS do remetente, os sistemas de e-mail do destinatário podem realizar verificações DKIM e verificar a autenticidade e integridade dos e-mails recebidos, ajudando a melhorar a segurança do e-mail e reduzir ataques de spoofing e phishing.

Como configurar um registro DKIM

A configuração de um registro DKIM depende muito do sistema de e-mail e do provedor de DNS que você está usando. No entanto, as etapas gerais são as seguintes:

• Gere as chaves DKIM. A primeira etapa é gerar um par de chaves DKIM (privadas e públicas). Você geralmente faz isso em seu sistema de e-mail, onde geralmente há uma ferramenta ou opção para geração de chave DKIM. Ao gerar essas chaves, a chave privada é instalada em seu servidor de e-mail, enquanto a chave pública é usada para criar o registro DKIM em seu DNS.
• Crie o registro DKIM. Depois de obter a chave pública, você deve criar um registro DKIM no DNS do seu domínio. O registro DKIM é um registro TXT. Ao criar o registro, você deve especificar um seletor (um identificador para a chave) e a chave pública.
  
  O formato do registro DKIM geralmente se parece com este:
  Selector._domainkey.yourdomain.com , onde selector é o identificador que você escolheu, _domainkey é uma parte constante do registro e yourdomain.com é seu domínio.
  
  O valor do registro TXT inclui a versão DKIM, o tipo de chave e a chave pública real, formatados desta forma:
  v=DKIM1; k=rsa; p=sua_chave_publica
  
  Você insere a parte da chave pública real onde diz your_public_key .
• Publique o registro DKIM. Depois de terminar de configurar o registro com os valores corretos, você precisa publicá-lo. Isso geralmente envolve salvar o registro ou clicar em um botão 'publicar' em seu sistema DNS.
• Verifique seu registro DKIM. Para garantir que o registro DKIM esteja funcionando corretamente, a verificação DKIM é fundamental. Muitos sistemas de e-mail oferecem uma ferramenta de verificação onde você pode verificar o status de seus registros DKIM.

Lembre-se de que as etapas e ferramentas específicas podem variar dependendo do seu sistema de e-mail (como Office 365, Google Workspace, Microsoft etc.) e do seu provedor de DNS. Se você encontrar algum problema, é melhor consultar a documentação específica do seu sistema ou entrar em contato com o suporte.

O que é uma verificação de registro DKIM?

Uma verificação de registro DKIM é um processo que verifica se um domínio possui um registro DKIM correto configurado. O objetivo do registro DKIM é armazenar uma chave pública usada para verificar as mensagens assinadas pela chave privada. A maioria das ferramentas online que oferecem verificações de registro DKIM verificam o nome de domínio , a sintaxe da chave pública e as entradas DNS configuradas nos domínios correspondentes.

Um exemplo de ferramenta de verificação de registro DKIM fornecida pelo MxToolbox executa testes DKIM em um nome de domínio e seletor para um registro de chave DKIM publicado válido. Ele testa a estrutura de autenticação de assinatura digital em nível de domínio para e-mail, permitindo que um domínio de assinatura assuma a responsabilidade por uma mensagem em trânsito.

No geral, executar uma verificação de registro DKIM pode ajudar a identificar possíveis problemas na configuração da autenticação de e-mail e garantir que suas mensagens sejam entregues aos destinatários com segurança. Software de gateway de e-mail seguro pode ainda ser usado para filtrar e-mails de spam e impedir que spammers mal-intencionados ataquem os usuários finais.

O que é um seletor DKIM?

Um seletor DKIM é uma string usada pelo servidor de email de saída para localizar a chave privada para assinar uma mensagem de email e pelo servidor de email de recebimento para localizar a chave pública no DNS para verificar a integridade da mensagem de email.

O seletor faz parte do registro DKIM de um domínio e é especificado pela tag "s=" no campo de cabeçalho DKIM-Signature. O seletor ajuda a oferecer suporte a vários registros de chave DKIM para um único domínio e é uma string arbitrária que ajuda no processo de identificação da chave pública DKIM.

O que é a autenticação DKIM?

O DKIM usa um par de chaves criptográficas, uma pública e outra privada, para assinar mensagens de e-mail enviadas. A chave pública é publicada nos registros DNS da organização como um registro TXT e a chave privada é mantida em segredo pelo remetente.

Quando uma mensagem de e-mail é enviada usando DKIM, ela inclui uma assinatura digital no cabeçalho da mensagem. O servidor de e-mail de recebimento pode usar a chave DKIM pública do remetente para verificar a assinatura. Se a assinatura não corresponder, significa que a mensagem foi modificada durante a transmissão ou não foi enviada por um remetente legítimo.

Em termos mais técnicos, o DKIM usa uma função de hash para produzir um resumo criptografado de partes específicas do corpo e do cabeçalho da mensagem de e-mail, que são assinados com a chave privada do remetente. O resumo e o nome de domínio do remetente são adicionados ao cabeçalho da mensagem como uma assinatura digital.

O servidor receptor pode recuperar a chave pública do domínio do remetente dos registros DNS e usá-la para verificar a assinatura digital. Se a assinatura corresponder ao resumo, a mensagem de e-mail será autenticada e confiável.

Ao verificar a assinatura DKIM dos e-mails recebidos, as organizações podem garantir que os e-mails enviados por seu domínio sejam entregues com sucesso e evitar ataques de phishing e falsificação de e-mail.

O que é uma assinatura DKIM?

Uma assinatura DKIM é uma cadeia de caracteres criptografada exclusiva criada pelo sistema de e-mail do remetente durante o processo de autenticação de e-mail DKIM. A principal função da assinatura é verificar o domínio do remetente e garantir a integridade do e-mail durante o trânsito entre o remetente e o destinatário.

Quando um e-mail é enviado usando DKIM, o servidor de e-mail do remetente anexa uma assinatura digital à mensagem. Essa assinatura é gerada usando um algoritmo de criptografia e uma chave privada exclusiva do domínio do remetente. A chave pública correspondente a esta chave privada é armazenada como um registro DNS.

Quando o e-mail é recebido pelo servidor de e-mail do destinatário, ele verifica a assinatura DKIM recuperando a chave pública correspondente do registro DNS do remetente. O servidor então usa essa chave pública para descriptografar a assinatura e verificar sua autenticidade. Se a assinatura corresponder, significa que o e-mail não foi alterado ou adulterado desde que foi enviado. As assinaturas DKIM também fornecem informações sobre o domínio que enviou o e-mail.

Em resumo, uma assinatura DKIM é uma assinatura digital que verifica a autenticidade e a integridade de uma mensagem de e-mail. Isso ajuda a evitar a adulteração de e-mail e garante que o e-mail seja realmente enviado pelo domínio reivindicado.

Como verificar uma assinatura de e-mail

Para verificar uma assinatura DKIM, o servidor de e-mail receptor precisa seguir estas etapas gerais:

• Recupere a chave pública DKIM: O servidor de e-mail recupera a chave pública DKIM do remetente dos registros DNS usando o seletor especificado no cabeçalho da assinatura DKIM no e-mail recebido.
• Recuperar o cabeçalho e o corpo da mensagem: o servidor de e-mail extrai o cabeçalho e o corpo da mensagem do e-mail recebido.
• Recalcular o resumo: o servidor de e-mail calcula o hash do corpo da mensagem usando o algoritmo de hash especificado no cabeçalho DKIM-Signature.
• Verifique a assinatura: o servidor de e-mail verifica a assinatura descriptografando a assinatura usando a chave pública recuperada e comparando o resultado com o resumo recalculado. Se forem iguais, o e-mail é considerado autêntico e confiável; caso contrário, pode indicar que foi modificado durante o trânsito ou enviado por um remetente não autorizado.

É importante observar que os comandos e bibliotecas específicos para verificação de assinaturas DKIM podem variar dependendo da linguagem de programação e da plataforma que você usa. Você pode encontrar bibliotecas e ferramentas para verificar assinaturas DKIM, como DKIMpy para Python e DKIMVerifier para .NET.

Além disso, é recomendável verificar outros mecanismos de autenticação de e-mail, como SPF e DMARC, para fornecer uma abordagem de segurança de e-mail mais abrangente.

DKIM x SPF x DMARC

DKIM e SPF são dois tipos de protocolos de autenticação de e-mail.

O DKIM adiciona uma assinatura digital a um e-mail para verificar se a mensagem não foi apenas enviada do domínio pretendido, mas também se a própria mensagem não foi alterada durante o trânsito.

O SPF , por outro lado, funciona verificando o servidor de envio de email em uma lista de servidores de envio autorizados para um determinado domínio. Se o servidor não estiver autorizado, o servidor de recebimento terá algumas opções para lidar com o e-mail questionável.

O DMARC , por outro lado, é usado para aproveitar o processo de verificação realizado pelo DKIM (assim como pelo SPF) e permite que os remetentes de e-mail instruam os destinatários de e-mail sobre como lidar com mensagens que falham na autenticação. Especificamente, as políticas DMARC definem como os destinatários de e-mail devem avaliar as mensagens recebidas em relação aos padrões de autenticação estabelecidos, como DKIM e SPF, e quais ações devem ser tomadas se um e-mail falhar nessas verificações.

Portanto, enquanto o DKIM é usado principalmente para autenticação do remetente, o DMARC fornece uma camada adicional de segurança, permitindo que os proprietários de domínio especifiquem como os destinatários devem lidar com o e-mail que falha na autenticação. Ao implantar DKIM e DMARC, os proprietários de domínio podem reduzir significativamente o risco de seu domínio ser usado para ataques de phishing e spoofing e melhorar a capacidade de entrega de e-mail.

Os 5 principais softwares DMARC

DMARC é uma especificação técnica e um protocolo de autenticação de e-mail projetado para oferecer aos proprietários de domínios de e-mail a capacidade de proteger seus domínios contra uso não autorizado, como ataques de phishing e falsificação de e-mail.

Para habilitar o DMARC, os proprietários de domínio publicam uma política DMARC em seus registros DNS que indica quais métodos de autenticação (como SPF e/ou DKIM) devem ser usados ​​para verificar as mensagens de e-mail recebidas e como os destinatários de e-mail devem lidar com as mensagens que não passam no verificações de verificação.

Existem várias soluções de software DMARC disponíveis, pagas e gratuitas, que ajudam as organizações a implementar políticas DMARC e fornecem relatórios detalhados sobre autenticidade de e-mail em vários provedores de e-mail.

DKIM: perguntas frequentes

P. Posso ter vários registros DKIM?

R. Sim. Os usuários podem ter vários registros DKIM no DNS. Cada chave DKIM está associada a um seletor DKIM diferente adicionado à assinatura. Isso permite que o receptor entenda quais chaves são usadas para validação.

P. O que é Gappssmtp?

R. Gmail Simple Mail Transfer Protocol (SMTP) ou Gappssmtp é um protocolo de envio de e-mail fornecido pelo Google. É o protocolo padrão para compartilhamento de e-mail pela Internet. O Gappssmtp ajuda a configurar os aplicativos de e-mail ou as configurações do servidor para garantir que os e-mails possam ser enviados pelos servidores do Gmail, preservando o endereço “enviado de” como o domínio do remetente.

Gappssmtp garante segurança e confiabilidade sem a necessidade de um servidor separado. Configure o servidor com o seguinte:

Servidor SMTP: smtp.gmail.com Porta SMTP: 587 Criptografia: TLS (Transport Layer Security)

Ao redigir um e-mail, você definiria o endereço 'De' como seu próprio domínio (por exemplo, [email protected]). Quando o destinatário receber o e-mail, parecerá que foi enviado diretamente do seu domínio, apesar de ter sido enviado pelos servidores do Gmail.

P. Preciso de um certificado para executar o DKIM?

R. Não. Um certificado não é necessário para executar o DKIM. Ele oferece aos usuários uma maneira rápida de criar, configurar ou destruir chaves.

P. Como posso testar se o DKIM foi configurado corretamente?

A. Depois que um DKIM foi adicionado, ele deve ser validado com um analisador DKIM online. Existem vários analisadores DKIM gratuitos disponíveis online. Outro método de verificação de validação é enviar um e-mail de teste para o Gmail ou Yahoo para verificar se o e-mail chega com uma assinatura DKIM.

Para fazer isso, expanda o cabeçalho do e-mail clicando no ícone de triângulo abaixo do nome do remetente. Se o nome de domínio aparecer para “enviado por” e “assinado por”, o e-mail foi configurado corretamente.

P. O DKIM garante que os e-mails tenham criptografia de ponta a ponta?

R. O DKIM atua mais como um mediador para garantir que o e-mail não seja adulterado durante o trânsito para o servidor destinatário. Não garante criptografia de ponta a ponta.

P. Qual é a aparência de um cabeçalho DKIM?

A. Um cabeçalho DKIM típico se parece com isto:

Assinatura DKIM: v=1; a=rsa-sha256;
c=relaxado/simples;
d=exemplo.com; s=seletor1;
h=de:para:assunto:data:id da mensagem;
bh=encrypted_body_hash;
b=dkim_signature_value;

Vamos detalhar as partes do cabeçalho DKIM:

• Assinatura DKIM: Identifica o início do cabeçalho DKIM.
• v: A versão da assinatura DKIM que está sendo usada.
• a: O algoritmo usado para assinar o e-mail (por exemplo, rsa-sha256).
• c: O algoritmo de canonização usado para preparar a mensagem para assinatura.
• d: O nome de domínio associado ao registro DKIM.
• s: O seletor DKIM, que especifica a chave usada para assinatura.
• h: Os cabeçalhos incluídos na assinatura.
• bh: o valor de hash criptografado do corpo do e-mail.
• b: O valor real da assinatura DKIM.

Observe que o cabeçalho DKIM real pode variar dependendo do serviço de e-mail ou software específico que está sendo usado.

Diga adeus à falsificação de e-mail

O DKIM é uma peça do quebra-cabeça. Ele verifica o domínio do remetente e a integridade do e-mail por meio de assinaturas criptográficas, ajudando a combater a falsificação, falsificação e adulteração de e-mail. Ao adotar o DKIM e outras medidas de segurança de e-mail, você está no caminho certo para um ambiente seguro, confiável e frutífero de comunicação e autenticação por e-mail.

Pequenas mudanças em suas práticas de entrega de e-mail podem trazer resultados excepcionais para suas estratégias de e-mail. Saber mais!