Först PGP, sedan S/MIME och nu DKIM, eller?

2011-11-18

PGP och S/MIME är de vanligaste metoderna för att skydda sina epostmeddelanden mot otillåten modifiering under transport från avsändare till mottagare. De kräver dock att man har tillgång till en web-of-trust eller PKI.

För några år sedan publicerades DKIM (DomainKeys Identified Mail) där avsändaren skapar en signatur över sitt meddelande samt utvalda eposthuvuden. Signaturen skickas sedan med som ett eget eposthuvud. Meddelandet ser därför fortfarande helt normalt ut, även för en mottagare som inte förstår DKIM. Den mottagare som däremot kan hantera DKIM hämtar den publika nyckeln från avsändarens DNS och verifierar meddelandets integritet. Domännamnssystemet används då som en form av PKI.

Lika lätt som signaturen lades till i epostmeddelandet, lika lätt kan det tas bort av någon på vägen. Därför finns ADSP (Author Domain Signing Practices). Detta är en metod där avsändaren publicerar sin DKIM-policy i sin DNS.  En mottagare letar först efter denna information för att veta om det ska finnas en signatur eller inte. Vidare kan man vara riktigt strikt och be mottagaren att kasta meddelanden som inte kan valideras.

När jag arbetade med DKIM under 2008 så var det bara ett fåtal domäner i Sverige som använde det. DKIM hade dock bara funnits i ett år då. Nu, tre år senare, så ser det rätt lovande ut. Exempelvis är det 27 % av de 500 mest besökta domänerna i världen som använder DKIM. Stödet finns även utbrett i epost- och antispamlösningarna.

De senaste årens erfarenheter och interoperabilitetstester har nyligen utmynnat i en uppdaterad standard (RFC6366). Detta som ett led i dess mognadsprocess och dess plats som ett verktyg i din antispam-verktygslåda.

Nu när aktörer och tillverkare på marknaden; så som Gmail, Hotmail, Yahoo, och Halon; har stöd för DKIM samt att standarden har mognat så är det god tid att börja signera och verifiera DKIM i de egna systemen. Signering och verifiering kan ske direkt ute hos klienterna, men allt som oftast så sköts detta centralt i organisationen i de inkommande och utgående epostservrarna. Mer information om DKIM går att finna här (http://www.dkim.org/).