DKIM là gì? Hoạt động của DKIM

DKIM có vai trò cực kỳ quan trọng trong việc xác nhận giả mạo và những spam mail và được sử dụng nhiều hiện nay. Cùng tìm hiểu ngay DKIM là gì và cách cấu hình DKIM đơn giản qua bài viết dưới đây.

DKIM là gì?

DKIM là viết tắt của DomainKeys Identified Mail – một phương thức giúp xác nhận Email thông qua chữ ký số giúp tránh email giả mạo. Một kỹ thuật thường được sử dụng trong lừa đảo và spam email.

DKIM cho phép người nhận kiểm tra xem email được xác nhận từ một tên miền cụ thể có thực sự được chủ sở hữu uy quyền hay không? Nó sẽ gắn chữ ký điện tử, được liên kết với tên miền vào mỗi email gửi đi. Hệ thống người nhận có thể xác minh điều này bằng cách tra cứu mã khóa công khai (Public-key cryptography) của người gửi được xuất bản trong DNS.

Bên cạnh đó, DKIM còn cso khả năng chặn các email giả mạo, đây là chức năng được sử dụng nhiều hiện nay. Đối với các thư với mục đích giả mạo, lừa đảo, email spam chứa các mã độc….

• Khóa công khai thường được công bố trên DNS với dưới dạng TXT record.
• Khi gửi email, chữ ký sẽ được chèn lên đầu với trường DKIM-Signature.

Tại sao DKIM lại quan trọng?

Mặc dù DKIM không bắt buộc, nhưng các email được ký bằng DKIM dường như hợp pháp hơn đối với người nhận và ít có khả năng chuyển đến các thư mục Rác hoặc Spam. Giả mạo email từ các miền đáng tin cậy là một kỹ thuật phổ biến cho các chiến dịch spam và lừa đảo độc hại. Và DKIM khiến việc giả mạo email từ các miền sử dụng nó trở nên khó khăn hơn.

DKIM tương thích với cơ sở hạ tầng email hiện có, hoạt động với SPF và DMARC để tạo nhiều lớp bảo mật cho các miền gửi email. Máy chủ thư không hỗ trợ chữ ký DKIM vẫn có thể nhận các thư đã ký mà không gặp bất kỳ sự cố nào. Đó là một giao thức bảo mật tùy chọn và DKIM không phải là một tiêu chuẩn được áp dụng phổ biến.

Mặc dù không bắt buộc, nhưng chúng tôi khuyên bạn nên thêm bản ghi DKIM vào DNS của mình bất cứ khi nào có thể để xác thực thư từ miền của bạn.

Một lợi ích bổ sung của DKIM là các ISP sử dụng nó để xây dựng danh tiếng tên miền của bạn theo thời gian. Khi bạn gửi email và cải thiện các phương pháp gửi (spam và số lần trả lại thấp, mức độ tương tác cao), bạn sẽ giúp miền của mình xây dựng danh tiếng gửi tốt với ISP, điều này giúp cải thiện khả năng gửi.

Bên cạnh việc nắm lí do khiến DKIM trở nên quan trọng thì chúng ta cũng cần biết về những điều DKIM không thực hiện được. Sử dụng DKIM sẽ đảm bảo tin nhắn của bạn không bị thay đổi nhưng nó không mã hóa nội dung tin nhắn của bạn. Nhiều ESP sử dụng TLS để mã hóa thư khi chúng di chuyển giữa người gửi và người nhận, nhưng vẫn có thể gửi thư không được mã hóa nếu máy chủ email từ chối kết nối TLS. Sau khi thư đã được gửi đi, chữ ký DKIM sẽ vẫn còn trong tiêu đề email nhưng sẽ không mã hóa nội dung của thư theo bất kỳ cách nào.

DKIM hoạt động như thế nào?

Tương tự như SPF, DKIM cũng sử dụng các bản ghi DNS dưới dạng TXT record với định dạng đặc biệt. Khi cặp khóa riêng / chung được tạo, khóa chung được thêm vào DNS của tên miền của bạn, ví dụ:

pm._domainkey.domain.com IN TXT “k=rsa\; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDOCTHqIIQhGNISLchxDvv2X8NfkW7MEHGmtawoUgVUb8V1vXhGikCwYNqFR5swP6UCxCutX81B3+5SCDJ3rMYcu3tC/E9hd1phV+cjftSFLeJ+xe+3xwK+V18kM46kBPYvcZ/38USzMBa0XqDYw7LuMGmYf3gA/yJhaexYXa/PYwIDAQAB”

Không giống như SPF, bạn có thể duy trì nhiều bản ghi DKIM cho các nguồn gửi khác nhau. Mỗi bản ghi DKIM được xác định bằng cách sử dụng bộ chọn. Trong trường hợp trên, bộ chọn là pm như một cách để xác định Dấu bưu điện. Bằng cách sử dụng một cặp khóa khác nhau cho mỗi nhà cung cấp, bạn có thể dễ dàng thu hồi hoặc gia hạn các bản ghi DKIM khi cần.

DKIM hoạt động với 2 phần riêng biệt đó là: Chữ ký và xác minh. Một trong số chúng có thể được xử lý bởi một module của tác nhân chuyển thư (MTA).

Tùy thuộc vào hệ thống Mail server khác nhau thì sẽ có những hướng dẫn khác nhau về cấu hình DKIM, tuy nhiên thông thường đều phải thực hiện qua các bước sau:

Ở bên gửi

• Bước 1: Tạo ra cặp khóa private/public, phần mềm OpenSSL có hỗ trợ.
• Bước 2: Chuyển khóa Public lên khai báo bản ghi TXT trên DNS, ứng đúng với domain gửi email.
• Bước 3: Cấu hình Mail server sử dụng khóa Private để ký vào email trước khi gửi email (Lưu ý: Khóa này chỉ lưu trên Mail server nên không thể giả mạo).

Ở bên nhận

• Bước 1: Nhận email từ bên gửi và kiểm tra email có thông điệp được mã hóa do cấu hình DKIM.
• Bước 2: Query DNS để lấy khóa Public của Domain bên gửi rồi giải mã, khi giải mã đúng thì xác nhận nguồn gửi và email đảm bảo, khi giải mã không thấy đúng thì phụ thuộc vào chính sách bên nhận để từ chối hoặc vẫn nhận email.

DKIM ngăn chặn tên miền giả mạo như thế nào?

Riêng DKIM không ngăn được giả mạo tên miền. Có thể ký thư bằng khóa DKIM được liên kết với miền khác với miền được chỉ định trong header “From”.

Tuy nhiên, nếu bạn đã đặt chính sách DMARC cho miền của mình, máy chủ nhận thư sẽ kiểm tra xem khóa DKIM được sử dụng để ký thư có khớp với miền Từ hay không khi xác định tuân thủ DMARC.

DKIM cải thiện khả năng phân phối như thế nào?

Các ISP như Gmail, Yahoo và AOL sử dụng DKIM như một tín hiệu khi xác định liệu một thư có hợp pháp hay không. Thử nghiệm đã phát hiện ra rằng việc sử dụng các phương pháp xác thực email như SPF và DKIM là rất quan trọng đối với khả năng phân phối tốt.

SPF và DMARC có liên quan gì với DKIM?

DKIM đảm bảo tin nhắn không bị thay đổi khi truyền giữa máy chủ gửi và máy chủ nhận. SPF xác thực rằng máy chủ gửi được phép gửi tin nhắn bằng miền ngay từ đầu.

DMARC cung cấp cho chủ sở hữu miền một cơ chế để thông báo cách họ muốn người nhận xử lý các tin nhắn chưa được xác thực. Nó sử dụng DKIM và SPF để xác định xem một tin nhắn có hợp pháp hay không và liệu nó có nên được gửi đến người nhận hay bị chặn.

Cấu hình DKIM

Để thiết lập và cài đặt DKIM cũng tùy thuộc vào từng mail server của bạn, sẽ có những cách thiết lập khác nhau. Thông thường sẽ gồm những bước như sau:

Người nhận:

• Bước 1: Nhận email từ bên gửi và kiểm tra email có thông điệp được mã hóa do cấu hình DKIM.
• Bước 2: Query DNS để lấy Key Public của tên miền bên gửi để giải mã, khi giải mã đúng thì xác nhận nguồn gửi và email đảm bảo. Ngược lại, khi giải mã không đúng thì phục thuộc vào chính sách bên nhận để từ chối hoặc vẫn nhận email.

Người gửi:

• Bước 1: Tạo ra cặp khóa private/public, phần mềm OpenSSL có hỗ trợ.
• Bước 2: Chuyển khóa Public lên khai báo bản ghi TXT trên DNS, ứng đúng với domain gửi email.
• Bước 3: Cấu hình Mail server sử dụng khóa Private để ký vào email trước khi gửi email.

Tại sao tôi nên tạo DKIM?

Mặc dù DKIM không bắt buộc nhưng các email được ký với DKIM hợp pháp hơn đối với người nhận của bạn. Và ít có khả năng chuyển đến các thư mục rác hoặc thư rác.

• Giống như SPF, vượt qua DKIM là bắt buộc đối với xác thực email.
• Báo cáo & Tuân thủ dựa trên tên miền (DMARC). Một tiêu chuẩn mới hơn để giảm giả mạo email được xây dựng dựa trên SPF và DKIM.

• Ngoài việc xác minh tính xác thực của thông báo email. DKIM cũng cung cấp một cách để các ISP theo dõi. Và xây dựng danh tiếng trong lịch sử gửi tên miền của bạn. Đây là lý do tại sao chúng tôi đặc biệt khuyến khích ký DKIM với tên miền của riêng bạn.

• Cho phép bạn xây dựng danh tiếng thay vì sử dụng tên miền gửi của chúng tôi. Danh tiếng này là di động và sẽ giúp bạn kiểm soát danh tiếng của mình và gửi thông lệ qua nhiều nguồn.

Lời kết

Với những kiến thức mà Vietnix chia sẻ, bạn có thể hiểu được định nghĩa DKIM là gì và cách hoạt động của DKIM.

Vietnix tổng hợp