DKIM - Segurança de E-mail

Para que serve e como configurar o DKIM (antigo DomainKeys)? Postado por Flávio Lucarelli on 02 October 2007 05:48 PM

A tecnologia DKIM (DomainKeys Identified Mail), originalmente projetada por Mark Delany do Yahoo!, tornou-se rapidamente um sucesso entre os programadores e os desenvolvedores de servidores de email. Trata-se de uma proposta de sistema de autenticação de emails usada para validar e garantir a autenticidade do domínio de um remetente de email, bem como a consistência e a integridade das mensagens. O IceWarp Server suporta o DKIM (mais recente) e não o original Domain Keys. O DKIM executa funções análogas às do SPF (Sender Policy Framework, sistema de diretivas do remetente) porque impede a falsificação de domínios de remetentes de email. No entanto, a tecnologia DKIM é mais complexa que a SPF, pois também pode garantir que o conteúdo do email não tenha sido alterado de forma alguma durante o trânsito SMTP. Estas são as principais vantagens dessa tecnologia: O destinatário poderá confiar na origem do email e no conteúdo da mensagem se a análise do DKIM for concluída. Aumento na eficiência das listas negras e brancas de domínios. Controle anti-spam mais eficaz, além de opções de ações automatizadas que podem ser executadas nos resultados da análise do DKIM. Agora, os proprietários de domínios abusivos podem ser rastreados. O DKIM é inteiramente compatível com todos os servidores baseados em SMTP e DNS. Como configurar No IceWarp, em Configurações Globais/Domínios, ativar DKIM. Na aba DKIM de um domínio, especifique: Seletor: m512 Dominio: seudominio.com.br Clique em "Gravar Chave Privada". Clique em "Obter dados do seletor" e use o conteúdo retornado em uma entrada do tipo TXT no seu DNS server com o mesmo nome usado para o seletor (ex: m512_domainkey.seudominio.com.br). Você pode verificar o registrando usando o DNS Query Tool do IceWarp e também testar enviando email para o Yahoo ou Gmail e verificando os headers da mensagem enviada/recebida em um desses sistemas. Outras informações técnicas O processo de assinatura do DKIM é, em essência, muito fácil. Ele funciona aplicando um hash ao corpo da mensagem de email enviada (usando, por exemplo, o algoritmo SHA1) e criptografando o resultado com a chave privada RSA. A versão preliminar original de Mark Delany também inclui codificação adicional desses dados altamente criptografados com Base64. Em seguida, a seqüência de caracteres resultante é inserida em uma mensagem de email como primeiro cabeçalho de mensagem chamado "DomainKey-Signature:”. No lado receptor do processo de comunicação, o servidor SMTP que recebe uma mensagem como essa usa o nome de domínio de origem, a seqüência de caracteres _domainkey e um seletor do cabeçalho da mensagem e começa a pesquisar o registro TXT do DNS no DNS. O resultado dessa pesquisa no DNS também inclui a chave pública RSA do domínio de origem. O servidor SMTP destinatário com o DKIM pode, portanto, decifrar o valor do hash de cabeçalho e calcular o valor de hash para o resto da mensagem de email (corpo). Se esses dois valores forem correspondentes, o remetente do email será realmente do domínio de origem, e o conteúdo não terá sido alterado durante a transmissão pela Internet. Além dessa incrível transparência, o IceWarp AntiSpam tira muito proveito da tecnologia DKIM. O AntiSpam é baseado no “método de incremento de pontuação” e, portanto, obtém facilmente benefícios do DKIM. Basicamente, pode haver somente três resultados com a descriptografia do email recebido e a correspondência de valor de hash: Os valores do cabeçalho decifrado e do hash recalculado do corpo da mensagem correspondem. Isso é característico de mensagens de email autênticas e, portanto, não é adicionado nenhum valor à pontuação de mensagem total pelo Antispam. A assinatura DKIM é inválida ou inexistente, mas o domínio de origem tem um registro TXT no DNS. Isso é suspeito e característico de mensagens de email forjadas e deveria haver um aviso sobre esse comportamento. A pontuação total de mensagens do IceWarp AntiSpam é incrementada. Não há registro DNS para o domínio e não há "DomainKey-Signature:" (Assinatura DomainKey:) no cabeçalho de mensagem; portanto, o status é unknown (desconhecido) e a ação executada varia dependendo das configurações do MIAS. Há também algumas possíveis desvantagens no uso do DKIM. Estes são alguns dos principais problemas: Atualmente o DNS não é seguro, mas espera-se que os problemas de segurança sejam resolvidos pelo DNS seguro, cuja versão preliminar é chamada DNSSEC. O DKIM cria um carga DNS adicional; portanto, se você é um operador de servidor DNS, prepare-se para um aumento nas consultas. Acesso não-autorizado à sua chave privada, o que resulta em acesso não-autorizado à sua identidade. Aumento no desgaste da CPU devido ao cálculo intensivo do hash de verificação. De qualquer modo, as desvantagens são baseadas na evolução técnica e, portanto, não há necessidade de adiar a implementação do DomainKeys. Para maiores detalhes, acesse http://dkim.org. Para testar seu DKIM, acesse http://dkimcore.org/c/keycheck. Outra opção é enviar um email para o Gmail e procurar pelo DKIM=pass, conforme exemplo abaixo, do header: Authentication-Results: mx.google.com; spf=pass (google.com: domain of joseildo@lucanet.com.br designates 64.235.47.125 as permitted sender) smtp.mail=joseildo@lucanet.com.br; dkim=pass header.i=@lucanet.com.br DKIM-Signature: a=rsa-sha1; t=1258049798; x=1258654598; s=m512; d=lucanet.com.br; c=relaxed/relaxed; v=1; ... Existem, ainda sistemas que permitem testar seu DKIM enviando um email para eles: Alguns enderecos de email para onde voce pode enviar email para testar DKIM. dkim-test@dell.icewarp.com check-auth@verifier.port25.com sa-test@sendmail.net Você receberá e-mail de volta com status do seu DKIM (bem como SPF). Ressaltamos que já vimos problemas para operacionalizar o DKIM quando se usa o servidor de DNS da Microsoft, por não comportar o tamanho do registro do tipo TXT usado pelo DKIM. Temos sucesso em outros servidores de DNS, como SimpleDNS.