DKIM - DomainKeys Identified Mail

DKIM je technologie digitálního podpisu e-mailových zpráv. Slouží jak k identifikaci podepisujícího, tak i autentičnosti zprávy, tzn. že nedošlo při přenosu ke změně zprávy. Podpisy jsou také jedním z prvků na které se váže reputace odesílatele.

Technologie DKIM se stala v čechách středem pozornosti 1. dubna 2015, kdy Seznam.cz zavedl povinné podepisování zpráv pomocí DKIM. Ani tehdy se však nejednalo o novinku, ale technologii lety prověřenou. Podepisování zpráv pomocí DKIM v té době již několik let vyžadovala většina předních zahraníčních poskytovatelů e-mailových služeb.

DKIM byl původně vytvořen společností Yahoo pod názvem DomainKey, ale následně byl rozšířen a standardizizován do podoby DKIM. Hlavním cílem podepisování je v první řadě určení zodpovědnosti odesílatele a verifikace této zodpovědnosti. Ten kdo podepisuje zprávu však nemusí být původcem samotné zprávy a často jím ani není. Proto se tak často liší domény v DKIM podpisech zpráv od domény odesílatele - podpis totiž zpracovává mail server, nikoliv e-mailový klient a tak se často lze setkat s tím, že všichni zákazníci jednoho poskytovatele mají zprávy podepsané stejným klíčem.

Tato přirozená vlastnost DKIM má své výhody, ale i slabiny. Fakt, že zprávu může podepsat kdokoliv, umožňuje jednoduché a plošné nasazení DKIMu. Na druhou právě tato vlastnost brání tomu, aby se samotný podpis dal považovat za průkaz autorizované zprávy - tzn. není možné na základě platného DKIM podpisu dovozovat, že odesílatelem zprávy - tím kdo je v hlavičce jako From - je autor zprávy. DKIM nikdy není důkazem důvěryhodnosti, pouze důkazem autentičnosti zprávy ve vztahu k podepisující doméně.

Jako se všemi novými technologiemi i v případě DKIM existovala velká očekávání nad rámec této technologie způsobená nepochopením a špatnou implementací. Opatřit zprávu DKIM podpisem může kdokoliv, stačí nastavit správně DNS záznam s veřejným klíčem a na mail server doplnit privátní klíč, který se má používat.

DKIM je však klíčem k budování a udržení reputace. DKIM podepisující domény používají antispamové systémy pro identifikaci zodpovědnosti. Chybějící či neplatný DKIM podpis tak může mít za následek, že budou zprávy doručovány do složky spam, případně nebudou doručovány vůbec. Neznamená to však, že validně podepsané zprávy budou automaticky zvýhodněné, ale pouze že na ně při neutrální reputaci nebudou uplatněné restrikce. Naopak při pozitivní reputaci, mohou být zprávy patřičně odměněny zvýšenou doručitelností.

Snadná implementace a zodpovědnost podepisující strany stojí i za tím, proč je DKIM identifikátor používán např. u FBL (Feedback Loop) - systému pro zpětnou vazbu uživatelských reakcí. E-mailové služby Seznam.cz, Yahoo.com, Gmail a mnoho dalších tak na základě DKIM podpisu poskytuje podepisující straně dodatečné informace o doručovaných zprávách a reakcích adresátů, především pak spam hlášeních. E-mail marketingové služby pak zpravidla používají dvojí podepisování odesílaných zpráv a to jak DKIM klíčem domény odesílatele, tak DKIM klíčem vlastním, což jim následně umožňuje získat tuto zpětnou vazbu od příjemců.

Pokud jste doposud váhali s nasazením DKIM podepisování vašich zpráv, měli byste rychle tuto technologii implementovat, neboť za dveřmi je další technologie DMARC. Ta spojuje výhody DKIM s SPF a umožňuje tak autorizovat důvěryhodné zdroje zpráv, a poskytnout vlastníkům domén informace o e-mailových tocích a chránit tak svoje domény před zneužitím.