DomainKeys Identified Mail
DomainKeys Identified Mail (DKIM) är en autentiseringsmetod för e-post. Den gör det möjligt för en mottagare att verifiera att ett mail verkligen har skickats från den domän som står som avsändare. Systemet bygger på att avsändarens e-postserver signerar det utgående meddelandet med asymmetrisk kryptering. Mottagaren kan sedan använda den publika nyckeln, som finns publicerad i DNS, för att verifiera signeringen. Metoden är effektiv för att bekämpa nätfiske och till viss del även skräppost. Den stora fördelen med DKIM framför bland annat SPF är att DKIM tillåter att meddelanden eftersänds.
Historia
E-post bygger på transportprotokollet SMTP som är ett av de äldsta protokollen som fortfarande används på Internet. När SMTP skapades fanns inte de behov av säkerhet som finns idag och därför har det inte heller någon inbyggd mekanism för autentisering. När behovet har uppstått så har metoder för autentisering lagts på i efterhand med varierande resultat.
DKIM är baserad på DomainKeys (DK) som skapades av Mark Delany på Yahoo år 2004.[1] Även Cisco lanserade ett liknande system kallat Identified Internet Mail (IIM).[2] DKIM är den standardiserade metoden fastställd av IETF.
Teknik
Vid signeringen så läggs brevhuvudet DKIM-Signature
till i brevet. Den raden i brevhuvudet innehåller ett antal nyckel–värde-par som beskriver vilken domän som har signerat brevet, vilken hashfunktion som användes, brevets hash krypterat med den privata nyckeln m.m.
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; s=default; t=1451898161; bh=/xbVQ5ypaWWRM7NKzXEm5pl5fJVhNHpfjd8PAdoBsRc=; h=Subject:From:To:Cc:Date; b=W5uMM6gWe967ASC3BeNazUnFRav4sJOCJ2DJiqmEMc5d4V86eVxorHGMAc 1QcOv8qWMfn2Cw7EsynLV7O06anS9bxh0u28ZgQpzXefUFBDyFsao6BWFYOb ribbU4BsjefmIAeW7aowZuSymD6fiuFAEJVdpYEGGE+2iCq+nBiEo=
Med hjälp av värdena för d (domän) och s (väljare) så kan man slå upp rätt nyckel i DNS. i det här fallet är domänen example.com
och väljaren är default
. Nyckeln får man då genom att slå upp TXT-posten för default._domainkey.example.com
som kan se ut så här:
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkWY VVrcCLYg845ds+Mm2mLNAMzRFf4PJ9F1LhpzSO3toZQzKBTY+0T27WyJu5R/ g86tZHZCIvBAdeUWvsiw9LityPGHZts7qoRPGAk6DPXWEWGJhmdcGLcxRJX7 kNn1JvXpVLywnzoLRL/YYs42emR8LK1uqWZ22m2CPtNuoJ2QIDAQAB
Mottagaren har nu tillgång till avsändande domäns publika nyckel och kan därmed avkryptera hashen i DKIM-signaturen och jämföra den med den hash som mottagaren själv får av brevet. Om de stämmer överens så vet mottagaren både att brevet kommer från den domän som avsändaren påstår och att innehållet inte har förvanskats på vägen.
Källor
- ^ ”Yahoo Releases Specs for DomainKeys”. Direct Marketing News. 19 maj 2004. Arkiverad från originalet den 8 mars 2016. https://web.archive.org/web/20160308050615/http://www.dmnews.com/digital-marketing/yahoo-releases-specs-for-domainkeys/article/84245/. Läst 14 januari 2016.
- ^ ”Identified Internet Mail: A network based message signing approach to combat email fraud”. Cisco. 14 oktober 2004. Arkiverad från originalet den 27 april 2006. https://web.archive.org/web/20060427023421/http://www.identifiedmail.com/.
- Den här artikeln är helt eller delvis baserad på material från engelskspråkiga Wikipedia, DomainKeys Identified Mail, tidigare version.