Comitê Gestor da Internet no Brasil
CGI.br Registro CERT.br
 

DKIM

 
 

DKIM é uma especificação do IETF que define um mecanismo para autenticação de e-mail baseado em criptografia de chaves públicas. Através do uso do DKIM, uma organização assina digitalmente as mensagens que envia, permitindo ao receptor confirmar a autenticidade da mensagem. Para verificar a assinatura digital, a chave pública é obtida por meio de consulta ao DNS do domínio do assinante.

Ao contrário do SPF, que verifica somente o envelope, o DKIM verifica o cabeçalho da mensagem. Esta técnica acarreta um custo computacional adicional por mensagem, tanto para o MTA remetente quanto para o receptor.

Para habilitar DKIM é necessário:

  • criar um par de chaves pública e privada (o OpenSSL pode ser usado para isso);
  • deixar a chave pública disponível via DNS, de forma semelhante à publicação da política do SPF;
  • colocar a chave privada no MTA responsável pelo envio das mensagens;

Para utilizar DKIM no envio de mensagens basta assinar cada mensagem enviada com a chave privada colocada no MTA. Esta assinatura é enviada como um campo adicional do cabeçalho.

Para verificar a autenticidade de uma mensagem recebida é necessário:

  • obter a chave pública do domínio do From:, via DNS,
  • verificar a assinatura da mensagem;

O resultado da verificação da assinatura pode chegar a uma das três conclusões:

  • a assinatura é válida, a mensagem vem realmente do domínio indicado no campo From: e pode então ser avaliada por outras técnicas anti-spam;
  • a assinatura não é válida, a mensagem pode ser marcada como suspeita ou ser recusada;
  • o domínio do remetente não possui um registro DKIM, não sendo possível usar a informação de DKIM como critério de decisão.

Mais detalhes sobre DKIM, bem como softwares de suporte, podem ser obtidos em:

Os documentos de referência são as seguintes RFCs:

RFC 4686: Analysis of Threats Motivating DomainKeys Identified Mail (DKIM)
     J. Fenton, September 2006
     http://tools.ietf.org/html/rfc4686
     
RFC 5585: DomainKeys Identified Mail (DKIM) Service Overview
     T. Hansen, D. Crocker, P. Hallam-Baker 
     July 2009
     http://tools.ietf.org/html/rfc5585

RFC 5617: DomainKeys Identified Mail (DKIM) Author Domain Signing Practices (ADSP)
     E. Allman, J. Fenton, M. Delany, J. Levine  August 2009
     http://tools.ietf.org/html/rfc5617

RFC 5863: DomainKeys Identified Mail (DKIM)  Development, Deployment and Operations
    T. Hansen, E. Siegel, P. Hallam-Baker, D. Crocker  May 2010
    http://tools.ietf.org/html/rfc5863

RFC 6376: DomainKeys Identified Mail (DKIM) Signatures
    D. Crocker, Ed., T. Hansen, Ed., M. Kucherawy, Ed.  September 2011
    http://tools.ietf.org/html/rfc6376


Para fins de histórico do desenvolvimento deste padrão pode-se consultar:

 
  Creative Commons License
Válido XHTML - CSS