DKIM je IETF specifikace, jedna z metod (částečné) e-mailové autentizace, a jejím základem je použití asymetrické kryptografie. Odesílatel připojí podepsané otisky (vybrané části hlavičky e-mailu a tělo zprávy) do hlavičky e-mailu. Příjemce vytvoří dotaz na zjištění veřejného klíče přímo na TXT záznam uložený v DNS a ověří shodnost dešifrovaných otisků uvedených v příchozím e-mailu s vypočtenými otisky zprávy.

Při použití DKIM může organizace digitálně podepisovat všechny odesílané zprávy, které jsou při příjmu kontrolovány na pravost zprávy a digitálního klíče, a to dotazem na DNS záznam, kde získá veřejný klíč.

Obr. 1: Ověřování pravosti domény odesílatele dle DKIM

V případě DKIM nejsou šifrovací klíče zapouzdřeny do žádných certifikátů. To je samozřejmě na jednu stranu slabina, která je řešitelná použitím DNSSEC, na druhou stranu je to značné usnadnění pro implementaci (podpisové klíče můžou být vygenerovány například pomocí nástroje OpenSSL).

Účelem DKIM není zajištění integrity zprávy. Často nejde zaručit integritu autora zprávy, ani platnou poštovní schránku. Platný podpis pouze značí, že zpráva byla odeslána a podepsána vlastníkem dvojice klíčů dle DNS záznamu. Technicky DKIM poskytuje pouze metodu pro ověření identity doménového jména.

ADSP – rozšíření DKIM

Na rozdíl od technologie Sender Policy Framework (SPF), která kontroluje pouze obálku mailu, DKIM kontroluje záhlaví zprávy. Samotné podepisování odchozích e-mailů a jejich ověřování serverem příjemce nemá velké praktické přínosy bez odpovídající politiky, managementu a technického zázemí. Tyto rozšíření technologie DKIM přináší technologie Author Domain Signing Practices (ADSP), která na DKIM navazuje. ADSP podporuje veřejnou distribuci a kontrolu identity domény. V rámci ADSP jsou definovány tři politiky podepisování:

• Politika unknown, tedy neznámá politika. Podepisování není vyžadované, ale je podporované.
• Politika all znamená, že všechny emaily z dané domény musí být podepsané. E-maily, kterým podpis chybí, jsou označené jako podezřelé a příjemce je může podrobit přísnější kontrole. E maily ale nejsou odmítnuty (zahozeny) v případě chybějícího podpisu.
• Politika discardable vynucuje podepisování všech e-mailů z dané domény a v případě chybějícího podpisu jsou tyto e-maily zahozeny.

Servery, které respektují ADSP politiku ostatních domén, jsou schopny pomocí DKIM ověřit odesílatele e-mailu, který má uvedenou shodnou doménu odesílatele s příjemcem. Tento systém využívá například platební systém PayPal. Nasazením ADSP na straně serveru příjemce je možné ochránit uživatele před podvodnými e-maily, které předstírají, že pocházejí z domény PayPal.com.

Výhody DKIM

U DKIM podepisování i ověřování zajišťuje poskytovatel emailových služeb a funguje zcela transparentně, tedy nemá žádné požadavky na uživatele. Správný DKIM podpis může přinést např. zvýhodnění v případě filtrů spamu, bonusové body na SpamAssassin, apod. Není nutné nastavovat whitelist na vlastní doméně, který např. neřeší e-maily s podvrhnutou adresou stejnou jako je adresa příjemce a příjemci mají možnost ověřit, že e-mail odešel skutečně z uvedené domény. V závis¬losti na nastavení může DKIM garanto¬vat doménu odesíla¬tele a autenti¬citu některých hlaviček: např. adresu odesílatele, předmět a adresu příjemce.

Technologie DKIM tak přináší další vrstvu ochrany v e-mailové komunikaci a vzhledem na její relativně jednoduché nasazení ji některé společnosti již používají. DKIM implementovala i společnost Google do emailové služby GMail, která emaily podepisuje a zároveň ve svém rozhraní zvýrazňuje přijaté emaily s platným podpisem. V ČR emaily podepisuje pomocí DKIM společnost Seznam.cz. Oba výše uvedení nabízejí tuto funkci pouze na bezplatných e-mailových službách na doménách gmail.com nebo seznam.cz.

DKIM lze kombinovat s technologii Domain Name System Security Extensions (DNSSEC) nebo SPF. DNSSEC podporuje spolehlivost DKIM tím, že garantuje integritu samotných DNS záznamů na doméně. SPF je odlišná technologie, která je určena pouze k ověřování IP adres odesílacích serverů, nedokáže garantovat integritu emailu, pokud došlo cestou k jeho modifikaci. Při použití jiného odesílacího SMTP serveru nebo při automatickém přeposílání emailů hrozí, že bude email zahozen nebo znevýhodněn na spamfiltru příjemce. U DKIM k žádnému znevýhodňování nedochází.

Shrnutí

Lze tedy konstatovat, že DKIM a ADSP je přínosná technologie, která pomáhá k ochraně e-mailové identity. Praktické použití lze hodnotit jako pozitivní při filtrování nevyžádané pošty, problémy s nevyžádanými emaily, ale vyřešit zcela nedokáže. Pro zlepšení bezpečnosti v emailové komunikaci by pomohlo, pokud by e-maily podepisovali sami uživatelé a na nepodepsané emaily by se automaticky nahlíželo s nedůvěrou, avšak v tomto případě je velkou nevýhodou právě lidský faktor.

Jan Tomek Autor článku je IT Security Technical Specialist ve společnosti AEC.