DomainKeys Identified Mail

DomainKeys Identified Mail (DKIM) är en autentiseringsmetod för e-post. Den gör det möjligt för en mottagare att verifiera att ett mail verkligen har skickats från den domän som står som avsändare. Systemet bygger på att avsändarens e-postserver signerar det utgående meddelandet med asymmetrisk kryptering. Mottagaren kan sedan använda den publika nyckeln, som finns publicerad i DNS, för att verifiera signeringen. Metoden är effektiv för att bekämpa nätfiske och till viss del även skräppost. Den stora fördelen med DKIM framför bland annat SPF är att DKIM tillåter att meddelanden eftersänds.

Historia

E-post bygger på transportprotokollet SMTP som är ett av de äldsta protokollen som fortfarande används på Internet. När SMTP skapades fanns inte de behov av säkerhet som finns idag och därför har det inte heller någon inbyggd mekanism för autentisering. När behovet har uppstått så har metoder för autentisering lagts på i efterhand med varierande resultat.

DKIM är baserad på DomainKeys (DK) som skapades av Mark DelanyYahoo år 2004.[1] Även Cisco lanserade ett liknande system kallat Identified Internet Mail (IIM).[2] DKIM är den standardiserade metoden fastställd av IETF.

Teknik

Vid signeringen så läggs brevhuvudet DKIM-Signature till i brevet. Den raden i brevhuvudet innehåller ett antal nyckel–värde-par som beskriver vilken domän som har signerat brevet, vilken hashfunktion som användes, brevets hash krypterat med den privata nyckeln m.m.

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=example.com; s=default;
t=1451898161; bh=/xbVQ5ypaWWRM7NKzXEm5pl5fJVhNHpfjd8PAdoBsRc=;
h=Subject:From:To:Cc:Date;
b=W5uMM6gWe967ASC3BeNazUnFRav4sJOCJ2DJiqmEMc5d4V86eVxorHGMAc
1QcOv8qWMfn2Cw7EsynLV7O06anS9bxh0u28ZgQpzXefUFBDyFsao6BWFYOb
ribbU4BsjefmIAeW7aowZuSymD6fiuFAEJVdpYEGGE+2iCq+nBiEo=

Med hjälp av värdena för d (domän) och s (väljare) så kan man slå upp rätt nyckel i DNS. i det här fallet är domänen example.com och väljaren är default. Nyckeln får man då genom att slå upp TXT-posten för default._domainkey.example.com som kan se ut så här:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCkWY
VVrcCLYg845ds+Mm2mLNAMzRFf4PJ9F1LhpzSO3toZQzKBTY+0T27WyJu5R/
g86tZHZCIvBAdeUWvsiw9LityPGHZts7qoRPGAk6DPXWEWGJhmdcGLcxRJX7
kNn1JvXpVLywnzoLRL/YYs42emR8LK1uqWZ22m2CPtNuoJ2QIDAQAB

Mottagaren har nu tillgång till avsändande domäns publika nyckel och kan därmed avkryptera hashen i DKIM-signaturen och jämföra den med den hash som mottagaren själv får av brevet. Om de stämmer överens så vet mottagaren både att brevet kommer från den domän som avsändaren påstår och att innehållet inte har förvanskats på vägen.

Källor


Den här artikeln är helt eller delvis baserad på material från engelskspråkiga Wikipedia, DomainKeys Identified Mail, tidigare version.

Externa länkar