Víte, že je ve skutečnosti poměrně jednoduché zneužít Vaši e-mailovou adresu, a tedy Vaším jménem rozesílat nevyžádanou poštu (SPAM)? Jednou z metod, jak se bránit proti zneužití vlastní e-mailové adresy, je systém DKIM. Jak tento systém funguje, co dokáže  a co nedokáže? Jak ho aktivovat pro své e-mailové adresy? To se dozvíte v následujícím textu.

Co DKIM dělá?

DKIM je technologie, která dokáže ověřovat, zda je odesílatel pošty oprávněn odesílat jménem určité domény (třeba @vasedomena.cz). Jinak řečeno, pokud je DKIM u Vašich schránek aktivní, pak je každá odchozí zpráva automaticky elektronicky podepsána a server příjemce si potom může podle tohoto podpisu ověřit, že zpráva pochází skutečně od odesílatele, za kterého se vydává. Když se naopak někdo pokusí odeslat SPAM (třeba jménem neco@vasedomena.cz), nezná jedinečný elektronický podpis pro Vaši doménu a příjemce pak snadno zjistí, že zpráva není podepsaná a jedná se tedy s největší pravděpodobností o nevyžádanou poštu.

Jak funguje podepisování e-mailových zpráv? Co je to DKIM klíč?

Aby mohl každý příjemce pošty, respektive přijímající server, provést ověření odesílatele s pomocí DKIM, potřebuje vědět, jak se má který odesílatel "správně podepsat”. DKIM funguje za pomoci tzv. elekronických podpisů, tedy vlastně asymetrické kryptografie, která vždy vyžaduje jedinečnou dvojici klíčů: veřejný a soukromý. Soukromý klíč je uložen na serveru, kde jsou umístěny Vaše e-mailové schránky. Když pak odesíláte e-mail, je zpráva tímto klíčem elektronicky podepsána. Veřejný klíč je uložen jako DNS záznam ve veřejném systému DNS, takže se k němu může kdykoliv dostat kterýkoliv příjemce pošty a tím si ověřit, zda přijímaná zpráva pochází od odesílatele, od kterého sama tvrdí, že je, nebo zda byla adresa odesílatele podvržena. Jako DKIM klíč se tedy většinou označuje veřejná část klíče uložená jako DNS záznam k doméně, na které je zřízena schránka, která poštu odesílá.

Co DKIM nedělá?

DKIM jako odesílatele neověřuje konkrétní schránku (např. nekdo@vasedomena.cz), ale pouze doménu, na které je odesílající schránka zřízena (např. @vasedomena.cz). Podle DKIM tedy nelze jednoznačně ověřit identitu konkrétního uživatele, ale pouze to, jestli e-mailovou zprávu z konkrétní domény (např. @vasedomena.cz) odesílá server, na kterém jsou schránky pro tuto doménu skutečně umístěné. Proti zneužití Vaší e-mailové adresy taková metoda naprosto postačuje, přičemž neklade žádné nároky na uživatele. Jinak řečeno, svou e-mailovou schránku používáte i po zavedení DKIM stále stejným způsobem.

Je DKIM stoprocentní ochranou proti SPAMu?

Bohužel není. Pokud nějaký e-mailový server přijímá zprávu, většinou nastává jeden ze tří stavů:

1. Zpráva je podepsaná DKIM a podpis souhlasí s DKIM klíčem v DNS. → Zpráva je přijata a doručena do schránky příjemce.

2. Zpráva je nepodepsaná nebo podepsaná DKIM a podpis nesouhlasí s DKIM klíčem v DNS. → Zpráva je označena jako SPAM.

3. Zpráva je nebo není podepsaná a v DNS se nenachází DKIM klíč, tedy daný odesílatel buď DKIM vůbec nepoužívá nebo ho nemá správně nastaven. → Zpráva je přijata a doručena do schránky příjemce jako v prvním případě.

Aby tedy byl DKIM jistou ochranou proti SPAMu, musely by být zprávy, které spadají pod bod 3, označovány jako SPAM. I když DKIM zavádí stále více poskytovatelů placených (vetšina předních českých webhosterů) i neplacených (Seznam.cz, Gmail) e-mailových služeb, stále toto zabezpečení většina schránek nevyužívá. Zatím tedy DKIM celosvětově významně pomáhá zmenšit množství SPAMu, ale nedokáže ho úplně eliminovat.

Co musím udělat pro to, aby byla moje pošta zabezpečená DKIM? 

Výhodou DKIM je to, že po uživateli nevyžaduje žádnou součinnost. Odesílající server sám zprávy podepisuje a přijímající server sám podpisy kontroluje a podle toho došlou poštu rovnou třídí na vyžádanou a nevyžádanou.

Aktivace DKIM:

Pokud máte zakoupenu variantu webhostingu přes www.ignum.cz pak jej najdete po přihlášení do webmailu https://e-mail.ignum.cz k administrativní schránce root přes menu Nastavení → Administrace → Správa domény.

Pokud máte Webcloud variantu pak na Webcloud.cz je DKIM klíč k dispozici ve Vašem účtu na https://webcontrol.webcloud.cz/ → Seznam hostingů → Editovat (ikona s tužkou a papírem) → DKIM.

Získaný DNS záznam je pak potřeba nastavit v administraci https://puvodni.domena.cz v sekci EDITACE DNS ZÁZNAMŮ (případně u poskytovatele DNS serverů vaší domény) .

Kde si ověřím, že DNS záznam pro DKIM je pro mou doménu správně nastaven? 

Využít můžete třeba službu MX Toolbox, kde do vyhledávacího pole zadáte Vaši doménu (bez „www”), za ni dvojtečku a za dvojtečku „ignum” (bez uvozovek) a potvrdíte tlačítkem „DKIM Lookup”. Pro doménu ověření DKIM na doméně @vasedomena.cz tedy zadáte „vasedomena.cz:ignum” (bez uvozovek). Pokud se Vám zeleně vypíše podoba DKIM klíče, je nastavení v DNS v pořádku a ověřování podepsaných zpráv by mělo fungovat správně.

Zajímá mě podrobnější a techničtější popis DKIM. Kde ho najdu?

Například v článku na Lupa.cz nebo v článku na anglické Wikipedii.