Blog
Autenticação de E-mail e Padrões

O que você precisa saber: Assinaturas DKIM

outubro 12, 2023  |  5 min de leitura

O que é uma Assinatura DKIM?

Existem vários protocolos de autenticação de e-mail, mas apenas um possui uma chave digital criptografada ultrassecreta. Uma assinatura DKIM ajuda os provedores de caixa de entrada a verificar sua identidade como remetente, enquanto combate ataques de falsificação de e-mail. A Chave para a Autenticação de E-mails!

Basicamente, o DKIM ajuda você a assinar mensagens importantes com tinta invisível, deixando claro que a mensagem é sua e não de outra pessoa. No entanto, não é tão simples assim.

Vamos analisar mais de perto o protocolo DomainKeys Identified Mail.

Por que precisamos de assinaturas DKIM

Comunicar-se com pessoas por e-mail é um recurso valioso. Infelizmente, cibercriminosos estão à espreita para explorar a confiança que as marcas conquistaram com seus consumidores e assinantes.

Golpistas infiltram caixas de entrada ao se passar pelos e-mails e páginas da sua marca, enganando as pessoas para instalar malware ou revelar informações confidenciais. Isso pode incluir contas bancárias, números de cartão de crédito, números de previdência social ou informações de login de contas online. A falsificação de e-mails leva facilmente ao roubo de identidade.

Melhorando a segurança da caixa de entrada.

Embora o Simple Mail Transfer Protocol (SMTP) seja o padrão da indústria para envio de e-mails pela internet, ele não oferece um mecanismo para verificar o remetente antes da entrega do e-mail. Assim, permite que spammers e golpistas preencham caixas de entrada com lixo eletrônico e tentem falsificar ou disfarçar marcas confiáveis.

Os protocolos de autenticação melhoraram a segurança de e-mails nas últimas décadas ao vincular informações dos cabeçalhos de e-mail aos registros publicados no Servidor de Nomes de Domínio (DNS) do remetente.

A assinatura DKIM é um desses protocolos. Ela detecta endereços de remetente falsificados usando uma chave criptografada.

O DKIM é uma combinação do DomainKeys, desenvolvido pelo Yahoo, e do Identified Internet Mail da Cisco em 2004. A parte do DomainKeys é projetada para verificar o domínio DNS do remetente do e-mail, enquanto o Identified Internet Mail corresponde à parte da assinatura digital da especificação.

Os provedores de caixa de entrada mais proeminentes, como Google, Apple Mail e Outlook, verificam assinaturas DKIM ao autenticar e-mails.

Como funciona uma assinatura DKIM?

O DKIM permite que os remetentes associem mensagens de e-mail a domínios específicos, assim como outros mecanismos de autenticação de e-mail. A legitimidade do e-mail é garantida pelos registros DNS. Por outro lado, o DKIM utiliza uma assinatura digital criptografada para alcançar isso.

O DomainKeys do DKIM inclui uma chave pública que é divulgada no registro DNS e uma chave privada que é incluída no cabeçalho do e-mail. A assinatura digital criptografada é a chave privada, que deve ser única para o remetente e corresponder ao que é divulgado no DNS.

Uma assinatura DKIM informa aos agentes de transferência de e-mail (MTAs) onde acessar as informações da chave pública, que são usadas para validar a identidade do remetente. Se as duas chaves corresponderem, o e-mail tem maior probabilidade de ser entregue na caixa de entrada; se não corresponderem ou se o e-mail não tiver uma assinatura DKIM, é mais provável que seja rejeitado ou filtrado como spam.

O DKIM não filtra e-mails, mas ajuda o servidor receptor a determinar a melhor forma de filtrar mensagens recebidas. A pontuação de spam de uma mensagem geralmente é reduzida quando a verificação DKIM é bem-sucedida.

Como ler um cabeçalho DKIM

Você precisará gerar um registro DKIM e colocá-lo no seu DNS para usar o DKIM e proteger sua marca contra falsificação e seus assinantes contra golpistas. Pode ser necessário obter assistência do seu departamento de TI ou do seu provedor de serviços de e-mail (ESP).

Abaixo está um exemplo de assinatura DKIM (registrada como um campo de cabeçalho RFC2822) para a mensagem assinada:

Vamos analisar os cabeçalhos DKIM um por um. Cada “tag” recebe um valor que contém informações sobre o remetente.

Tags em um cabeçalho DKIM

EtiquetaDescrição
bA assinatura digital real do conteúdo (cabeçalho e corpo) da mensagem de e-mail
bhO hash do corpo
dO domínio de assinatura
sO seletor
vA versão
aO algoritmo de assinatura
cO(s) algoritmo(s) de canonização para cabeçalho e corpo
qO método de consulta padrão
IO comprimento da parte canonizada do corpo que foi assinada
tO carimbo de data e hora da assinatura
xO tempo de expiração
hA lista de campos de cabeçalho assinados é repetida para campos que ocorrem várias vezes

Observação: As tags destacadas acima são obrigatórias. Uma assinatura DKIM que não possua essas tags gerará um erro durante a validação.

Podemos ver a partir deste cabeçalho DKIM que:

A assinatura digital é **dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR.**

Esta assinatura é comparada à do domínio do remetente.

  • O hash do corpo não está listado.
  • O domínio de assinatura é example.com. É o domínio que enviou (e assinou) a mensagem.
  • O seletor é jun2005.eng.
  • A versão não está listada.
  • O algoritmo de assinatura é rsa-sha1. Ele gera a assinatura.
  • O(s) algoritmo(s) de canonização para o cabeçalho e o corpo são relaxed/simple.
  • O método de consulta padrão é DNS. Ele é usado para localizar a chave no domínio de assinatura.
  • O comprimento da parte canonizada do corpo que foi assinada não está listado. O domínio de assinatura pode criar uma chave a partir de todo o corpo ou apenas de uma seção dele. Essa seção teria sido incluída.
  • O carimbo de data e hora da assinatura é 1117574938. Este é o momento em que foi assinada.
  • O tempo de expiração é 1118006938. Isso ocorre porque um e-mail já assinado pode ser reutilizado para “falsificar” a assinatura; portanto, as assinaturas são configuradas para expirar.
  • A lista de campos de cabeçalho assinados inclui from:to:subject:date. É a lista de campos que foram “assinados” para verificar se não foram modificados.

Sabemos que é muita informação técnica. Felizmente, existem ferramentas disponíveis para profissionais de marketing por e-mail criarem registros DKIM.

Como verificar uma assinatura DKIM

Registros DNS e assinaturas DKIM podem ser difíceis de entender. Existem ferramentas na internet que podem ajudá-lo a verificar se seus mecanismos de autenticação de e-mail estão configurados corretamente.

Use a ferramenta gratuita Skysnag DKIM Record Check para verificar a assinatura DKIM

Enviar um e-mail para uma conta do Gmail é outra forma de testar o DKIM. Abra o e-mail no aplicativo web do Gmail, clique na seta para baixo ao lado do botão “responder(no canto superior direito do e-mail) e selecione “mostrar original“. Se você vir “signed-by: seu nome de domínio” no original, sua assinatura DKIM é válida. No entanto, tenha em mente que você só verá a assinatura DKIM se tiver acesso ao e-mail para o qual está enviando. A única forma de verificar todas

Melhore a entregabilidade antes de clicar em enviar

Existem inúmeras razões convincentes para usar protocolos de autenticação de e-mail. Melhorar a entregabilidade está no topo da lista. Se você não usar autenticação de e-mail, os provedores de caixa de entrada têm mais chances de filtrar suas mensagens para pastas de lixo eletrônico e spam.

Para entender isso melhor:

O DKIM usa uma chave privada para autenticar e-mails:

1- O serviço de envio publica sua chave pública no registro DNS

2- O serviço de envio usará a chave privada para assinar a mensagem, gerar o cabeçalho de assinatura DKIM e anexá-lo ao e-mail enviado.

3- “tag d” = domínio do remetente / “tag s” = subdomínio

4- O serviço receptor (Gmail) consultará o DNS, por exemplo: s.domainkey.domain.com, para obter a chave pública.

5- O serviço receptor (Gmail) então validará a assinatura DKIM anexada ao e-mail usando a chave pública obtida, se a assinatura for válida. -> DKIM Aprovado

Conclusão

O Skysnag automatiza DMARC, SPF e DKIM para aumentar a entregabilidade de e-mails. Dito isso, evite ataques de falsificação de e-mail com o software automatizado do Skysnag, que permite confirmar a validade dos e-mails. Inscreva-se usando este link para um teste gratuito hoje mesmo e garanta que a assinatura DKIM da sua organização esteja configurada corretamente.

Assine nossa newsletter

Recursos Relacionados

"Revele os perigos ocultos das atualizações manuais de DNS para a segurança de e-mail e entenda por que o gerenciamento automatizado é essencial para evitar erros de configuração, falhas de autenticação e interrupções."

Atualizações manuais de DNS: riscos para a segurança de e-mail

"Discover why businesses should automate DMARC for better compliance, enhanced email security, and greater control. Learn how automation simplifies enforcement and protects against phishing threats.

Por que as empresas devem automatizar o DMARC: conformidade, segurança e controle

"Uncover the hidden cost of email authentication failures on marketing campaigns. Learn how issues with SPF, DKIM, and DMARC reduce deliverability, damage brand reputation, and lower ROI."

O Custo Oculto das Falhas de Autenticação de E-mail em Campanhas de Marketing

OBTENHA UMA DEMONSTRAÇÃO PERSONALIZADA

Pronto para ver o Skysnag em ação?

O Skysnag protege sua organização contra ciberameaças e fornece uma visão cristalina do seu ambiente de e-mail.

Solicitar uma demonstração
Demonstração do Painel

Verifique a conformidade de segurança DMARC do seu domínio.