परिभाषा
DKIM (DomainKeys Identified Mail) एक email authentication specification है जो outgoing messages को sign करने के लिए public-key cryptography का उपयोग करती है, जिससे receiving mail servers confirm कर सकें कि email उस domain से आई थी जिसका दावा करता है और message body तथा selected headers transit में modify नहीं किए गए थे। Signing domain DNS में अपना public key publish करता है; receiving servers उस key को retrieve करते हैं और DKIM-Signature email header में embedded signature को verify करने के लिए इसका उपयोग करते हैं।
DKIM दो earlier, overlapping proposals — Yahoo के DomainKeys और Cisco के Identified Internet Mail — से develop किया गया था, और पहली बार 2007 में IETF RFC 4871 के रूप में publish हुआ था। Current authoritative specification RFC 6376 है, जो September 2011 में publish हुआ और RFC 8301 (2018) तथा RFC 8463 (2018) द्वारा stronger cryptographic algorithms को mandate करने के लिए updated हुआ। DKIM email ecosystem में widely deployed है और एक meaningful protection प्रदान करने वाली DMARC policy का एक required component है।
यह कैसे काम करता है
जब एक organisation का mail server एक message भेजता है, तो DKIM signing module (Postfix, Exim, और Microsoft Exchange जैसे MTAs में built-in, या SendGrid, Mailgun, Amazon SES, और Postmark सहित transactional providers द्वारा एक service के रूप में प्रदान किया गया) निम्नलिखित operations करता है।
Signer signature में include करने के लिए headers का एक subset select करता है — आमतौर पर From, To, Subject, Date, और Content-Type — और उन्हें defined algorithms में से एक का उपयोग करके canonicalise करता है: simple (minimal whitespace normalisation) या relaxed (अधिक permissive, transit के दौरान minor header rewrites को tolerate करना)। Message body को similarly canonicalise और SHA-256 का उपयोग करके hash किया जाता है (वह algorithm जो RFC 8301 द्वारा older SHA-1 को deprecate करने के बाद से mandated है)। Signer फिर header hash plus signing metadata की एक structured string पर एक RSA या Ed25519 digital signature compute करता है, और message के top पर एक DKIM-Signature header insert करता है।
DKIM-Signature header में शामिल हैं: v=1 (version), a=rsa-sha256 (algorithm), d=example.com (signing domain, d= tag के रूप में जाना जाता है), s=selector1 (selector, specific public key को look up करने के लिए उपयोग किया जाता है), h=from:to:subject (signed headers), bh=<body hash>, और b=<base64 signature>।
Domain owner corresponding public key को <selector>._domainkey.<domain> पर एक DNS TXT record के रूप में publish करता है। जब Gmail, Outlook, Yahoo Mail, या कोई RFC 6376-compliant MTA message receive करता है, तो वह उस record के लिए DNS query करता है, public key retrieve करता है, और cryptographic signature verify करता है। एक valid signature pass का DKIM result produce करती है। एक missing या invalid signature, या transit में signed headers या body में कोई modification, fail या neutral result produce करती है, जो फिर DMARC evaluation engine को pass की जाती है।
Selectors (s= tag) एक domain को simultaneously multiple DKIM keys publish करने की अनुमति देते हैं — service interruption के बिना keys rotate करने के लिए, या different sending systems में keys को isolate करने के लिए (उदाहरण के लिए, marketing._domainkey.example.com versus transactional._domainkey.example.com) उपयोगी।
आप इसे कहाँ देखते हैं
DKIM किसी भी email-dependent service के लिए एक foundational deliverability requirement है। Amazon SES, SendGrid (Twilio का part), Mailgun (Sinch का part), Postmark, और SparkPost जैसे transactional email providers domain verification के दौरान DKIM signing को एक mandatory configuration step के रूप में include करते हैं। Provider एक RSA-2048 या Ed25519 keypair generate करता है, public key को एक DNS TXT record के रूप में display करता है, और domain owner से उस domain से sending enable होने से पहले इसे publish करने के लिए prompt करता है।
Email confirmation votes भेजने वाले contest platforms के लिए, DKIM signing विशेष रूप से important है क्योंकि confirmation emails को major mailbox providers — Google Workspace / Gmail, Microsoft Outlook और Exchange Online Protection, Yahoo Mail, Apple iCloud Mail, और ProtonMail — द्वारा applied authentication checks pass करनी होती हैं। Unsigned messages या जिन messages की signatures fail होती हैं वे spam में deliver होने या entirely block होने की अधिक संभावना रखते हैं, जो voters को अपने submissions confirm करने से रोकता है।
Mail-Tester, GlockApps, और MXToolbox DKIM Lookup जैसे email testing tools senders को production sending से पहले अपने DKIM configuration को inspect और validate करने की अनुमति देते हैं। Google Postmaster Tools और Microsoft SNDS aggregate-level deliverability data प्रदान करते हैं जो समय के साथ DKIM pass rates को reflect करता है।
व्यावहारिक उदाहरण
Domain votes.example.com के लिए DKIM selector s=contest के साथ configured एक contest platform contest._domainkey.votes.example.com पर public key publish करता है। प्रत्येक outbound confirmation email corresponding private key के साथ signed एक DKIM-Signature header carry करता है। जब एक voter का Gmail account message receive करता है, तो Gmail का inbound filter DNS query करता है, signature verify करता है, pass record करता है, और result को अपने spam classifier को forward करता है। Confirmed DKIM pass, SPF alignment के साथ combine होकर, DMARC compliance के लिए conditions satisfy करता है।
एक contest administrator RFC 8301 पढ़ने के बाद 1024-bit RSA key (अब cryptographically adequate नहीं) से 2048-bit RSA key में rotate करता है। Old selector को transit में किसी भी messages को cover करने के लिए सात दिनों तक active रखा जाता है, फिर DNS से remove कर दिया जाता है। सभी new messages updated selector और key का उपयोग करते हैं।
संबंधित अवधारणाएँ
DKIM SPF Record के साथ concert में काम करता है — जो sending server के IP address को authenticate करता है — और DMARC — जो SPF और DKIM results पर आधारित policy action और reporting mechanism define करता है। दोनों signals को एक साथ समझा जाना चाहिए; अकेले DKIM pass करने से message DMARC-compliant नहीं बनता यदि d= domain RFC5322.From domain के साथ align नहीं होता है। Contest-operations context के लिए, DKIM failures के practical consequences Email Confirmation Vote में explain किए गए हैं, जहां confirmation message का inbox placement सीधे यह निर्धारित करता है कि cast vote count होगा या नहीं।
