Tanım
DKIM (DomainKeys Identified Mail), giden mesajları imzalamak için açık anahtar kriptografisi kullanan bir e-posta kimlik doğrulama belirtimidir; bu, alıcı posta sunucularının e-postanın iddia ettiği alandan geldiğini ve mesaj gövdesi ile seçili başlıkların aktarımda değiştirilmediğini onaylamasına olanak tanır. İmzalayan alan, açık anahtarını DNS’de yayınlar; alıcı sunucular bu anahtarı alır ve onu DKIM-Signature e-posta başlığına gömülü imzayı doğrulamak için kullanır.
DKIM, iki önceki, örtüşen tekliflerden geliştirilmiştir — Yahoo’nun DomainKeys’i ve Cisco’nun Identified Internet Mail’i — ve ilk olarak 2007’de IETF RFC 4871 olarak yayınlanmıştır. Mevcut yetkili belirtim, Eylül 2011’de yayınlanan ve daha güçlü kriptografik algoritmaları zorunlu kılmak için RFC 8301 (2018) ve RFC 8463 (2018) tarafından güncellenen RFC 6376’dır.
Nasıl Çalışır
Bir kuruluşun posta sunucusu bir mesaj gönderdiğinde, DKIM imzalama modülü (Postfix, Exim ve Microsoft Exchange gibi MTA’lara yerleşiktir veya SendGrid, Mailgun, Amazon SES ve Postmark dahil olmak üzere işlemsel sağlayıcılar tarafından bir hizmet olarak sağlanır) aşağıdaki işlemleri gerçekleştirir.
İmzalayıcı, imzaya dahil edilecek bir başlık alt kümesi seçer — tipik olarak From, To, Subject, Date ve Content-Type — ve bunları tanımlanmış algoritmalardan birini kullanarak kanonikleştirir: simple (minimum boşluk normalleştirmesi) veya relaxed (daha esnek). Mesaj gövdesi benzer şekilde kanonikleştirilir ve SHA-256 kullanılarak hash edilir. İmzalayıcı daha sonra başlık hashı artı imzalama meta verilerinin yapılandırılmış bir dizesi üzerinde bir RSA veya Ed25519 dijital imzası hesaplar ve mesajın üst kısmına bir DKIM-Signature başlığı ekler.
DKIM-Signature başlığı şunları içerir: v=1 (sürüm), a=rsa-sha256 (algoritma), d=example.com (imzalayan alan, d= etiketi olarak bilinir), s=selector1 (seçici), h=from:to:subject (imzalanmış başlıklar), bh=<gövde hashı> ve b=<base64 imzası>.
Alan sahibi, karşılık gelen açık anahtarı bir DNS TXT kaydı olarak <selector>._domainkey.<domain> üzerinde yayınlar. Gmail, Outlook, Yahoo Mail veya RFC 6376 uyumlu herhangi bir MTA mesajı aldığında, bu kayıt için DNS sorgusu yapar, açık anahtarı alır ve kriptografik imzayı doğrular. Geçerli bir imza pass DKIM sonucunu üretir.
Seçiciler (s= etiketi), bir alanın aynı anda birden fazla DKIM anahtarı yayınlamasına izin verir — hizmet kesintisi olmadan anahtarları döndürmek veya farklı gönderim sistemleri arasında anahtarları izole etmek için yararlıdır.
Karşılaştığınız Yerler
DKIM, herhangi bir e-postaya bağlı hizmet için temel bir teslimat gereksinimidir. Amazon SES, SendGrid (Twilio’nun parçası), Mailgun (Sinch’in parçası), Postmark ve SparkPost gibi işlemsel e-posta sağlayıcıları, alan doğrulama sırasında zorunlu bir yapılandırma adımı olarak DKIM imzalamayı dahil eder.
E-posta onaylı oylar gönderen yarışma platformları için, DKIM imzalama özellikle önemlidir çünkü onay e-postaları büyük posta kutusu sağlayıcıları — Google Workspace / Gmail, Microsoft Outlook ve Exchange Online Protection, Yahoo Mail, Apple iCloud Mail ve ProtonMail — tarafından uygulanan kimlik doğrulama kontrollerini geçmelidir.
Pratik Örnekler
votes.example.com alanı için DKIM seçicisi s=contest ile yapılandırılmış bir yarışma platformu, açık anahtarı contest._domainkey.votes.example.com üzerinde yayınlar. Her giden onay e-postası, karşılık gelen özel anahtarla imzalanmış bir DKIM-Signature başlığı taşır. Bir seçmenin Gmail hesabı mesajı aldığında, Gmail’in gelen filtresi DNS sorgusu yapar, imzayı doğrular, geçişi kaydeder ve sonucu spam sınıflandırıcısına iletir.
Bir yarışma yöneticisi, RFC 8301’i okuduktan sonra 1024-bit RSA anahtarından (artık kriptografik olarak yeterli kabul edilmiyor) 2048-bit RSA anahtarına döndürür. Eski seçici, aktarımdaki herhangi bir mesajı kapsamak için yedi gün boyunca aktif tutulur, ardından DNS’den kaldırılır.
İlgili Kavramlar
DKIM, gönderim sunucusunun IP adresini doğrulayan SPF Record ve SPF ve DKIM sonuçlarına dayalı bir politika eylemi ve raporlama mekanizması tanımlayan DMARC ile birlikte çalışır. Yarışma operasyonları bağlamı için, DKIM hatalarının pratik sonuçları E-posta Onaylı Oy içinde açıklanmıştır.
