DKIM įgyvendinimo vadovas: Dažniausiai pasitaikantys keblumai ir kaip jų išvengti

"Domain Keys Identified Mail" (DKIM) yra labai svarbus el. pašto autentiškumo patvirtinimo protokolas, kuriuo tikrinamas pranešimų vientisumas ir siuntėjo teisėtumas. DKIM yra labai svarbus BIMI (Brand Indicators for Message Identification), nes tik tinkamai patvirtinti el. laiškai gali rodyti jūsų prekės ženklo logotipą gaunamųjų laiškų dėžutėje. Tačiau DKIM sąrankoje pasitaiko keletas įprastų klaidų, kurios gali pakenkti ir saugumui, ir pristatomumui.

• Trūkstamas arba neteisingas viešasis raktas DNS: Jei DKIM viešasis raktas nėra paskelbtas arba yra neteisingai suformatuotas jūsų DNS, autentiškumo nustatymas nepavyks. Visada naudokite DKIM įrašų generatorių ir patikrinkite, ar DNS įrašuose nėra sintaksės klaidų.
• Silpnas arba pasenęs rakto ilgis: Naudojant trumpesnius nei 1024 bitų (pvz., 512 bitų) raktus, jūsų DKIM tampa pažeidžiamas. Naudokite bent 1024 bitų raktus - rekomenduojama naudoti 2048 bitų raktus - ir keiskite juos kas 6-12 mėnesių.
• Suderinimo problemos: DKIM parašo domenas (d= reikšmė) turi sutapti su domenu, nurodytu "From" adrese. Dėl neteisingo suderinimo autentiškumo nustatymas nesėkmingas ir gali būti pažeista DMARC atitiktis.
• Selektoriaus neatitikimas: Jūsų DNS įraše esantis selektorius turi sutapti su el. pašto antraštėje esančiu selektoriumi. Net vieno ženklo neatitikimas gali sukelti nesėkmes.
• Neteisingas formatavimas: DKIM įrašai DNS turi būti viena, vientisa eilutė. Dėl eilučių pertraukų, neišspausdintų kabliataškio ar trūkstamų laukų (pvz., v=DKIM1 arba k=rsa) įrašas bus pripažintas negaliojančiu.
• Pamiršus įjungti DKIM pasirašymą: Nepakanka paskelbti DNS įrašą - įsitikinkite, kad DKIM pasirašymas įjungtas jūsų pašto serveryje arba pas el. pašto paslaugų teikėją.
• Subdomenų ir trečiųjų šalių tiekėjų ignoravimas: Jei laiškus siunčiate iš subdomenų arba naudojate trečiųjų šalių paslaugas, kiekviename iš jų turi būti tinkamai sukonfigūruotas DKIM, kad būtų išvengta autentiškumo patvirtinimo spragų.
• Nevykdoma stebėsena ar testavimas: Reguliariai tikrinkite DKIM nustatymus ir stebėkite DMARC ataskaitas, kad anksti pastebėtumėte problemas. Atlikę bet kokius pakeitimus, siųskite bandomuosius el. laiškus ir patikrinkite, ar DKIM atitinka reikalavimus.

• Naudokite tvirtus, reguliariai sukamus raktus: 1024-2048 bitų.
• Dukart patikrinkite DNS formatavimą ir selektoriaus išlyginimą: Užtikrinkite teisingą sintaksę ir suderintus selektorius.
• Suderinkite DKIM domenus: DKIM paraše nurodytas domenas turėtų sutapti su jūsų "From" adresu.
• Testuokite po kiekvieno atnaujinimo: stebėkite autentifikavimo rezultatus naudodami DMARC ataskaitas.
• Koordinuokite veiksmus su trečiųjų šalių siuntėjais: Užtikrinkite, kad visi tiekėjai teisingai įgyvendintų DKIM.
• Atšaukite senus arba pažeistus raktus: Pašalinkite juos iš DNS, kad būtų išvengta piktnaudžiavimo.

• Patikrinkite, ar nėra DNS sklaidos vėlavimų: Pakeitimai gali užtrukti iki 48 valandų.
• Peržiūrėkite DMARC ir DKIM nesėkmių ataskaitas: Ieškokite užuominų apie tai, kas ir kodėl nepavyksta.
• Patikrinkite, ar po pasirašymo nepakeistas pranešimo turinys: Įsitikinkite, kad persiuntimo ar saugumo priemonės nekeičia pranešimo.
• Pasidomėkite el. pašto paslaugų teikėjo dokumentais: Vadovaukitės konkrečiai platformai būdingomis rekomendacijomis, kad išspręstumėte autentiškumo nustatymo problemas.