DKIM (DomainKeys Identified Mail) on sähköpostin autentikointiprotokolla, joka lisää jokaiseen lähtevään viestiin digitaalisen allekirjoituksen. Vastaanottavan palvelimen voi vahvistaa allekirjoituksen lähettäjän julkisella avaimella, mikä todentaa että viesti todella tulee väitetystä lähteestä ja että sitä ei ole muokattu matkan varrella.
Miten DKIM toimii teknisesti
DKIM perustuu julkisen avaimen kryptografiaan. Lähettävä sähköpostipalvelin lisää jokaiseen viestiin piilotetun DKIM-allekirjoituksen, joka luodaan yksityisellä avaimella. Tämä allekirjoitus sisältää tarkistussumman viestin sisällöstä ja otsaketiedoista. Vastaanottava palvelin hakee julkisen avaimen lähettäjän domainin DNS-tietueista ja vahvistaa allekirjoituksen.
Jos vahvistus onnistuu, vastaanottaja tietää että a) viesti todella tulee väitetyltä domainilta, ja b) viestiä ei ole muokattu lähettämisen jälkeen. Jos allekirjoitus ei täsmää, viesti on joko väärennetty tai sitä on muokattu matkan varrella, ja se merkitään epäilyttäväksi tai hylätään.
Miksi DKIM on välttämätön
DKIM on nykyään de facto -standardi kaupallisessa sähköpostimarkkinoinnissa. Suuret sähköpostipalveluntarjoajat kuten Gmail ja Outlook vaativat DKIM:iä (yhdessä SPF:n ja DMARC:n kanssa) viestien postilaatikkoon toimittamiseen. Ilman DKIM:iä viestisi päätyvät todennäköisesti roskapostiin tai blokataan kokonaan.
DKIM suojaa myös brändisi mainetta. Se estää sähköpostien väärentämisen ja Man-in-the-Middle -hyökkäykset, joissa joku muokkaa viestisi sisältöä sen matkalla vastaanottajalle. Kun asiakkaasi saavat viestin, jossa on kelvollinen DKIM-allekirjoitus, he voivat luottaa että se todella tulee sinulta eikä huijarilta.
DKIM:n konfigurointi
DKIM-konfiguraatio vaatii kahta vaihetta. Ensiksi sähköpostimarkkinointityökalusi (Mailchimp, HubSpot, Klaviyo jne.) generoi parin avaimia: yksityisen avaimen, jota se käyttää allekirjoitusten luomiseen, ja julkisen avaimen, jonka se antaa sinulle. Toiseksi lisäät julkisen avaimen domainisi DNS-asetuksiin TXT-tietueena.
Useimmat sähköpostimarkkinointityökalut tarjoavat step-by-step -ohjeet DKIM:n konfigurointiin. Tyypillisesti ne antavat valmiin DNS-tietueen, jonka kopioit domainin DNS-hallintaan. Tietue näyttää esimerkiksi tältä: k=rsa; p=MIGfMA0GCSqGSIb3DQEBA... (pitkä merkkijono). Tietueen nimi on muotoa selektor._domainkey.yritys.fi.
DKIM ja SPF yhdessä
DKIM ja SPF toimivat yhdessä tarjoamaan vahvan autentikoinnin. SPF tarkistaa että lähettävällä palvelimella on oikeus lähettää kyseisen domainin nimissä. DKIM tarkistaa että viesti todella tulee väitetyltä domainilta ja on muuttumaton. Molemmat ovat välttämättömiä – pelkkä SPF tai pelkkä DKIM ei riitä nykyvaatimusten täyttämiseen.
DMARC-policy (kolmas autentikointiprotokolla) hyödyntää sekä SPF:ää että DKIM:iä määrittämällä mitä tapahtuu, jos kumpikaan ei läpäise tarkistusta. Yhdessä nämä kolme (SPF, DKIM, DMARC) muodostavat modernin sähköpostin autentikointistandardin, jota kaikki ammattimaiset lähettäjät käyttävät.
Yhteenveto
DKIM (DomainKeys Identified Mail) on autentikointiprotokolla, joka lisää sähköpostiin digitaalisen allekirjoituksen todentamaan viestin alkuperän ja muuttumattomuuden. Se perustuu julkisen avaimen kryptografiaan ja konfigurointi tapahtuu lisäämällä julkinen avain DNS-tietueisiin. DKIM on nykyään välttämätön kaupallisessa sähköpostimarkkinoinnissa ja toimii yhdessä SPF:n ja DMARC:n kanssa muodostaen vahvan autentikointikokonaisuuden.