A DKIM aláírás fejléc mező egy különleges fejlécben elhelyezni minden egyes e-mail üzenetet, amely információt tartalmaz a feladó az üzenet, valamint a nyilvános kulcs hely szükséges az ellenőrzés. Ezt a fejléc mezőt minden olyan postafiók-szolgáltató igényli, amely a DKIM-et használja személyazonosságának igazolására, beleértve az AOL-t, a Gmail-t, Outlook.com és a Yahoo!.,
íme egy példa a DKIM signature fejlécre:
a DKIM signature fejléc különböző információs elemekből áll, amelyeket a tag=value pairs használata képvisel. A címke általában egyetlen betű, amelyet egyenlő jel (=) követ. Az egyes címkék értéke egy adott információt jelöl a feladóról, az üzenetről és a nyilvános kulcs helyéről.
számos címke áll a feladó rendelkezésére; egyes címkék szükségesek, más címkék pedig opcionálisak., A szükséges címke hiánya a DKIM aláírásban ellenőrzési hibát okoz a postafiók-szolgáltatónál, miközben hiányzik egy opcionális címke.
fontos megjegyezni, hogy azokat a címkéket, amelyek szerepelnek a DKIM aláírásban, és nincs hozzájuk társított érték, üres értéknek kell tekinteni. A DKIM aláírásban nem szereplő címkéket azonban alapértelmezett értéknek kell tekinteni.
szükséges címkék
Az alábbiakban a DKIM aláírási fejléc szükséges címkéi találhatók. A címkéket hiányzó DKIM-aláírások hibát fognak tapasztalni az ellenőrzési folyamat során.,
- v = az aláírási specifikáció verzióját jelzi. Az értéket mindig 1-re kell állítani.
- a= az aláírás létrehozásához használt algoritmust jelöli. Az értéknek rsa-sha256-nak kell lennie. A csökkentett CPU képességekkel rendelkező feladók rsa-sha1-et használhatnak. Az rsa-sha1 használata azonban a potenciális biztonsági kockázatok miatt nem ajánlott.
- s= a tartományhoz használt választó rekordnevet jelzi a nyilvános kulcs megtalálásához a DNS-ben. Az érték a feladó által létrehozott név vagy szám.,
- itt egy példa a DNS választó rekord. Az ebben a példában látható címkék csak ebben a rekordban jelennek meg a DNS-en belül, nem pedig az e-mail fejlécben: <választó (s=)._domainkey.tartomány (d=)>. TXT v=DKIM1; k=rsa; p=<nyilvános kulcs>
- b= a H= címkében felsorolt fejlécek hash-adatai; ezt a hash-t DKIM aláírásnak is nevezik, és kódolják Base64-ben.,
- bh= az üzenet törzsének számított hashja. Az érték egy karakterlánc, amely a hash algoritmus által meghatározott hash-t ábrázolja.
- d= azt a tartományt jelöli, amelyet a választó rekord (s=) használ a nyilvános kulcs megkereséséhez. Az érték a feladó tulajdonában lévő domain név.
- h= azon fejlécek listája, amelyeket az aláírási algoritmusban használnak a B= címkében található hash létrehozásához., A H= címkében szereplő fejlécek sorrendje az a sorrend, amelyben a DKIM aláírása során bemutatták őket, ezért az a sorrend is, amelyben az ellenőrzés során be kell mutatni őket. Az érték azoknak a fejlécmezőknek a listája, amelyek nem változnak vagy nem távolíthatók el.
opcionális és ajánlott címkék
Az alábbiakban felsoroljuk azokat az opcionális címkéket,amelyeket a DKIM signature fejlécébe ajánlunk. DKIM aláírások hiányzik ezek a címkék nem fog hibát találni az ellenőrzés során, de ajánlott, mint egy eszköz, hogy segítsen azonosítani spam.
a spamküldők általában nem állítják be az időértékeket., Az üres vagy helytelen időértékek, például az e-mail időbélyeg előtti lejárati idő, egyes postafiók-szolgáltatók elutasítják az üzenetet.
- t= a DKIM aláírási időbélyeg. Ez azt jelenti, hogy jelezze az üzenet elküldésének idejét. A formátum a másodpercek száma 00: 00: 00-tól 1970.január 1-jén az UTC időzónában.
- x = a DKIM aláírás lejárati ideje a fenti formátumban. A címke értékének nagyobbnak kell lennie, mint az időbélyeg címke értéke, ha mindkettőt a DKIM aláírásban használják., A DKIM aláírások érvénytelennek tekinthetők, ha a hitelesítő hitelesítési ideje meghaladja a lejárati dátumot, ezért ne állítsa túl hamar a lejárati dátumot.
teljes tesztelés annak érdekében, hogy ezek a címkék megfelelően működjenek, és hogy a lejárati idő ne legyen túl hamar beállítva a telepítés után.
opcionális címkék
Az alábbiakban azok az opcionális címkék találhatók, amelyek nem szükségesek a DKIM aláírásban.,
- c= az a kanonikalizációs algoritmus, amely meghatározza a postafiók-szolgáltatónak, hogy milyen szintű módosítások lehetnek jelen, mivel az e-mail tranzitban van a postafiók-szolgáltatóval. A módosítások magukban foglalhatják a szóközt vagy a vonalcsomagolást. Néhány e-mail szerver kisebb módosításokat hajt végre az e-mailen a szállítás során, ami érvénytelenítheti az aláírást.
- Itt az az érték, ami meghatározza, hogy milyen szintű tolerancia a célkiszolgálón kellett volna, amikor egy üzenetet ezek a kisebb módosítások: érték1/érték2.,
Value1 jelenti az üzenet fejlécét, a value2 pedig az üzenet testét. Value1 és value2 lehet címkézni, mint “egyszerű”, amely tolerálja nagyon kevés, ha van ilyen, módosítás, vagy” nyugodt”, amely tolerálja a közös módosításokat.
- i= a felhasználó vagy ügynök személyazonosságát jelzi. Az érték egy e-mail cím, amely tartalmazza a D= címkében meghatározott domaint vagy aldomaint.,
opcionális és nem ajánlott címkék
- l= az üzenet törzséből származó karakterek száma, amelyeket a test hash (bh=) kiszámításához használtak. Ha ez az érték nincs ott, akkor feltételezzük, hogy az egész üzenettestet használták. Nem javasoljuk, hogy használja ezt a címkét, mert nehéz lehet ellenőrizni, ami ellenőrzési hibákhoz vezethet.
- z= az üzenet eredeti fejléceinek listája, és eltérhet a H= címkében felsorolt fejlécektől., Ezt a címkét egyes postafiók-szolgáltatók használhatják az ellenőrzési hiba diagnosztizálása során. Értéke nincs jól meghatározva.
fel nem ismert címkék
az RFC 6376-ban nem meghatározott címkék nem tartoznak a DKIM protokollba, ezért az ellenőrzési folyamat során figyelmen kívül kell hagyni őket. Nem minden postafiók-szolgáltató hagyja figyelmen kívül a fel nem ismert címkéket, ezért előfordulhat, hogy hiba lép fel az ellenőrzési folyamat során.
a DKIM aláírással kapcsolatos teljes információt a DKIM weboldalán vagy az RFC 6376 – on talál.
Vélemény, hozzászólás?