SlideShare una empresa de Scribd logo

Introducción a DKIM

Roger Castells
Roger Castells
1 de 30
Descargar para leer sin conexión
Introducción a DKIM Roger Castells Barrancos, CESCA 16 de Noviembre, 2010 Grupos de Trabajo RedIRIS, Córdoba
Agenda Que es DKIM • Historia • Propósitos • RFC Como funciona DKIM • Configuración DNS • Firma • Validación DKIM por el mundo Porque debería usar DKIM
Confianza VS Desconfianza Desconfianza: Buscamos los correos que debemos rechazar. • Blacklists. Confianza: Buscamos los correos que debemos aceptar. • DKIM, SPF, Whitelists.
INCEPTION DKIM (DomainKeys Identified Mail) RFC 4871 Alt-N Technologies, AOL, Brandenburg InternetWorking, Cisco, EarthLink, IBM, Microsoft, PGP Corporation, Sendmail, StrongMail Systems, Tumbleweed, VeriSign and Yahoo! IETF (Internet Engineering Task Force) trabaja para refinar y estandarizar DKIM
Que es DKIM Significa que un correo no es SPAM Garantiza la entrega Valida un correo Autentica el autor o el origen de un mensaje Añade el nombre de dominio a un correo
Propósito de DKIM DKIM permite a una organización tomar la responsabilidad cuando envía un mensaje, de manera que pueda ser validado por el destinatario. La organización puede ser el autor, el lugar de origen, una intermediaria o uno de sus agentes. La reputación de la organización es la base para evaluar la validez del mensaje a entregar.
Que hace DKIM La organización responsable del envío añade una firma digital al mensaje, asociándolo con un nombre de dominio de la organización. La firma se realizará sin la intervención del remitente.
Que significa recibir un correo firmado por DKIM El propietario de un dominio que firma con DKIM está declarando que ellos son de confianza. Esto significa que tu reputación está “en juego”. Los destinatarios que validen de manera exitosa una firma, pueden usar esta información para limitar el spam, phishing,… Ejemplo: Si alguien intenta enviar correos desde nuestro dominio (por ej. cesca.cat) y nosotros firmamos todo nuestro correo con DKIM, todos los correos recibidos y no firmados, serán automáticamente inválidos.
Aspectos a destacar del RFC La firma digital está en la cabecera del mesaje. No confundimos ni al usuario final ni a MUA (Mail User Agent). No hay dependencia en claves públicas y privadas. No hay dependencia en el desarrollo de nuevos protocolos o servicios para la distribución o revocación de claves públicas. Una verificación negativa de firma no fuerza el rechazo del correo. El propósito de DKIM no es la encriptación.
Agenda Que es DKIM • Historia • Propósitos • RFC Como funciona DKIM • Configuración DNS • Firma • Validación DKIM por el mundo Porque debería usar DKIM
Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen DNS
Como funciona DKIM - Generar claves DKIM soporta múltiples algoritmos digitales de firma. Actualmente rsa-sha1 rsa-sha256. DEBEMOS validar ambos y DEBERIAMOS firmar ambos.
Como funciona DKIM -Tamaño de la clave Elegir el tamaño de la clave es un equilibrio entre rendimiento y riesgo. Claves RSA pequeñas pueden sufrir ataques. La recomendación nos propone como mínimo 1024 bits. Existen políticas de verificación referentes al tamaño de la clave. DEBEMOS poder validar firmas de 512 bits a 2048 y DEBERIAMOS ser capaces de validar superiores. Algunos factores a tener en cuenta: • La limitación que nos ofrece el paquete UDP de respuesta DNS de 512 byte. Por ejemplo una clave de 4084 bits podria dar problemas. • Sabemos que claves menores a 1024 bits pueden ser atacadas. • Claves grandes suponen un riesgo de mayor uso de la CPU al verificar o firmar correos. • Las claves se pueden renovar periódicamente. Con lo cual su periodo de validez puede ser corto. • Los objetivos de seguridad de DKIM es modesta comparada con otros sistemas que usan firma digital.
Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" DNS
Como funciona DKIM - Entrada DNS La entrada DNS es una combinación de: • Selector: Equivale al valor de la etiqueta ‘s=‘ • “._domainkey.” • Signing Domain Identifier. Equivale al valor de la etiqueta ‘d=‘ cesca._domainkey.cesca.cat Formato de la entrada: TXT Parámetros: • v=: Versión de DKIM • p=: Clave pública • g=: Restricción de que usuarios podrían usar el selector • n=: Notas con información relevante. No se interpreta • t=: Estamos testeando DKIM (opción s: No firmamos subdominios) • k=: Tipo de clave
Como funciona DKIM - Entrada DNS cesca._domainkey.cesca.cat IN TXT “v=DKIM1; g=bob; t=y:s; WIZARD k=rsa; n=DKIM mola; http://www.dnswatch.info/dkim/create-dns-record p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ C3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71 P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1X G5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/ SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQI DAQAB;”
Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" bob@cesca.cat DNS
Como funciona DKIM - Canonicalization Hay servidores de correo o relay que modifican el correo. Dos perspectivas: • Una modificación mínima es irrelevante para la autenticación. • Cualquier modificación mínima debe invalidar la firma. Nos llevan a dos políticas: • “simple”: no tolera modificaciones. • “relaxed”: tolera modificaciones. Por ej. reemplazar un espacio blanco en la cabecera.
Como funciona DKIM - ¿Que firmamos? Etiquetas principales: Etiquetas secundarias: • a: algoritmo utilizado para • t: firma de tiempo generar la firma • v: versión • b: la firma • i: información adicional sobre la • bh: el hash del cuerpo natural identidad del usuario o el agente • c: la canonicalization del que firmó el correo mensaje (simple o relaxed) • x: expiración de la firma • d: el dominio firmante • h: lista de cabeceras firmadas • s: el selector • p: clave pública
Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" bob@cesca.cat DNS
Como funciona DKIM - Verificación Un correo sin firma DKIM o un correo firmado incorrectamente con DKIM se trata de la misma manera Las demás opciones de verificación son decisión nuestra: • Requerir que ciertas cabeceras estén firmadas. • Permitir firmas de terceros • Aplicar ADSP (Author Domain Signing Practices)
Como funciona DKIM - ADSP Author Domain Signing Practices Entrada DNS TXT _adsp._domainkey.<from domain> Opciones • Unknown: Firmamos algunos o todos los correos. • All: Todos los correos que provienen del dominio están firmados. Los correos no firmados se deben considerar sospechosos. • Discardable: Todos los correos están firmados por el autor (etiqueta i=). Si la firma no coincide, se descarta. Ejemplo: _adsp._domainkey.cesca.cat IN TXT "dkim=unknown; t=s“ Wizard: http://www.sendmail.org/dkim/wizard
Como funciona DKIM El correo es de cesca.cat El servidor valida la firma DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" bob@cesca.cat DNS
Como funciona DKIM - Resumen Firma Validación Elegir: Computar el hash • Clave privada/pública • Ver los campos firmados • Signing Domain ID en la etiqueta h= • Selector Consultar clave pública • Cabeceras a firmar • A partir de las etiquetas Computar el hash s= y d= Cifrar Descifrar hash Crear firma DKIM Comparar
Agenda Que es DKIM • Historia • Propósitos • RFC Como funciona DKIM • Configuración DNS • Firma • Validación DKIM por el mundo Porque debería usar DKIM
DKIM por el mundo - Datos de Junio 2010 #1 facebookmail.com 18% #2 gmail.com 7% #3 yahoogroups.com 4% #4 yahoo.com 3% #5 linkedin.com 2% #6 google.com 2% Total 37%
Porque deberia utilizar DKIM Es compatible con la estructura actual del correo electrónico y totalmente transparente. Basado en el contenido del correo. La firma digital está en la cabecera del mensaje. No confundimos ni al usuario final ni a MUA (Mail User Agent). Se puede implementar independientemente de los clientes. Se puede implementar incrementalmente.
Enlace de interés http://www.dkim.org/
Nos vemos por los pasillos ?
GRACIAS rcastells@cesca.cat

Recomendados

DOMINIOS EN INTERNET
DOMINIOS EN INTERNETDOMINIOS EN INTERNET
DOMINIOS EN INTERNETgabu1490
 
05 n309 16755
05 n309 1675505 n309 16755
05 n309 16755Roshni Jose
 
Nursing dissertation writing help
Nursing dissertation writing helpNursing dissertation writing help
Nursing dissertation writing helpchanakya research
 
Common Culinary Terms (Sandwiches)
Common Culinary Terms (Sandwiches)Common Culinary Terms (Sandwiches)
Common Culinary Terms (Sandwiches)lukehemmings
 
Nursing research statement
Nursing research statementNursing research statement
Nursing research statementNursing Path
 
List of research projects cmc vellore
List of research projects cmc velloreList of research projects cmc vellore
List of research projects cmc velloreBP KOIRALA INSTITUTE OF HELATH SCIENCS,, NEPAL
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1Sergim
 
[SOS 2009] Informatica64: Hay una carta para ti
[SOS 2009] Informatica64: Hay una carta para ti[SOS 2009] Informatica64: Hay una carta para ti
[SOS 2009] Informatica64: Hay una carta para tiChema Alonso
 

Recomendados

DOMINIOS EN INTERNET
DOMINIOS EN INTERNETDOMINIOS EN INTERNET
DOMINIOS EN INTERNETgabu1490
 
05 n309 16755
05 n309 1675505 n309 16755
05 n309 16755Roshni Jose
 
Nursing dissertation writing help
Nursing dissertation writing helpNursing dissertation writing help
Nursing dissertation writing helpchanakya research
 
Common Culinary Terms (Sandwiches)
Common Culinary Terms (Sandwiches)Common Culinary Terms (Sandwiches)
Common Culinary Terms (Sandwiches)lukehemmings
 
Nursing research statement
Nursing research statementNursing research statement
Nursing research statementNursing Path
 
List of research projects cmc vellore
List of research projects cmc velloreList of research projects cmc vellore
List of research projects cmc velloreBP KOIRALA INSTITUTE OF HELATH SCIENCS,, NEPAL
 
20120926 web perf-dns_v1
20120926 web perf-dns_v120120926 web perf-dns_v1
20120926 web perf-dns_v1Sergim
 
[SOS 2009] Informatica64: Hay una carta para ti
[SOS 2009] Informatica64: Hay una carta para ti[SOS 2009] Informatica64: Hay una carta para ti
[SOS 2009] Informatica64: Hay una carta para tiChema Alonso
 
Soluciones Profesionales de Correo con Software Libre
Soluciones Profesionales de Correo con Software LibreSoluciones Profesionales de Correo con Software Libre
Soluciones Profesionales de Correo con Software LibreJavier Turégano Molina
 
Presentación http https-dns
Presentación http https-dnsPresentación http https-dns
Presentación http https-dnsDavid Vargas
 
Anti-phishing warriors
Anti-phishing warriorsAnti-phishing warriors
Anti-phishing warriorsEventos Creativos
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
Introducción a Protocol Buffers
Introducción a Protocol BuffersIntroducción a Protocol Buffers
Introducción a Protocol BuffersEnrique Zamudio López
 
Crear un correo con dominio propio
Crear un correo con dominio propioCrear un correo con dominio propio
Crear un correo con dominio propiopeluche1977
 
ION Costa Rica - Introduction to DNSSEC
ION Costa Rica - Introduction to DNSSECION Costa Rica - Introduction to DNSSEC
ION Costa Rica - Introduction to DNSSECDeploy360 Programme (Internet Society)
 
Protocolos SSL/TLS
Protocolos SSL/TLSProtocolos SSL/TLS
Protocolos SSL/TLSDani Gutiérrez Porset
 

Más contenido relacionado

Similar a Introducción a DKIM

Soluciones Profesionales de Correo con Software Libre
Soluciones Profesionales de Correo con Software LibreSoluciones Profesionales de Correo con Software Libre
Soluciones Profesionales de Correo con Software LibreJavier Turégano Molina
 
Presentación http https-dns
Presentación http https-dnsPresentación http https-dns
Presentación http https-dnsDavid Vargas
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKIdsantosc
 
Crear un correo con dominio propio
Crear un correo con dominio propioCrear un correo con dominio propio
Crear un correo con dominio propiopeluche1977
 

Similar a Introducción a DKIM (8)

Soluciones Profesionales de Correo con Software Libre
Soluciones Profesionales de Correo con Software LibreSoluciones Profesionales de Correo con Software Libre
Soluciones Profesionales de Correo con Software Libre
 
Presentación http https-dns
Presentación http https-dnsPresentación http https-dns
Presentación http https-dns
 
Anti-phishing warriors
Anti-phishing warriorsAnti-phishing warriors
Anti-phishing warriors
 
Infraestructura PKI
Infraestructura PKIInfraestructura PKI
Infraestructura PKI
 
Introducción a Protocol Buffers
Introducción a Protocol BuffersIntroducción a Protocol Buffers
Introducción a Protocol Buffers
 
Crear un correo con dominio propio
Crear un correo con dominio propioCrear un correo con dominio propio
Crear un correo con dominio propio
 
ION Costa Rica - Introduction to DNSSEC
ION Costa Rica - Introduction to DNSSECION Costa Rica - Introduction to DNSSEC
ION Costa Rica - Introduction to DNSSEC
 
Protocolos SSL/TLS
Protocolos SSL/TLSProtocolos SSL/TLS
Protocolos SSL/TLS
 

Introducción a DKIM

  • 1. Introducción a DKIM Roger Castells Barrancos, CESCA 16 de Noviembre, 2010 Grupos de Trabajo RedIRIS, Córdoba
  • 2. Agenda Que es DKIM • Historia • Propósitos • RFC Como funciona DKIM • Configuración DNS • Firma • Validación DKIM por el mundo Porque debería usar DKIM
  • 3. Confianza VS Desconfianza Desconfianza: Buscamos los correos que debemos rechazar. • Blacklists. Confianza: Buscamos los correos que debemos aceptar. • DKIM, SPF, Whitelists.
  • 4. INCEPTION DKIM (DomainKeys Identified Mail) RFC 4871 Alt-N Technologies, AOL, Brandenburg InternetWorking, Cisco, EarthLink, IBM, Microsoft, PGP Corporation, Sendmail, StrongMail Systems, Tumbleweed, VeriSign and Yahoo! IETF (Internet Engineering Task Force) trabaja para refinar y estandarizar DKIM
  • 5. Que es DKIM Significa que un correo no es SPAM Garantiza la entrega Valida un correo Autentica el autor o el origen de un mensaje Añade el nombre de dominio a un correo
  • 6. Propósito de DKIM DKIM permite a una organización tomar la responsabilidad cuando envía un mensaje, de manera que pueda ser validado por el destinatario. La organización puede ser el autor, el lugar de origen, una intermediaria o uno de sus agentes. La reputación de la organización es la base para evaluar la validez del mensaje a entregar.
  • 7. Que hace DKIM La organización responsable del envío añade una firma digital al mensaje, asociándolo con un nombre de dominio de la organización. La firma se realizará sin la intervención del remitente.
  • 8. Que significa recibir un correo firmado por DKIM El propietario de un dominio que firma con DKIM está declarando que ellos son de confianza. Esto significa que tu reputación está “en juego”. Los destinatarios que validen de manera exitosa una firma, pueden usar esta información para limitar el spam, phishing,… Ejemplo: Si alguien intenta enviar correos desde nuestro dominio (por ej. cesca.cat) y nosotros firmamos todo nuestro correo con DKIM, todos los correos recibidos y no firmados, serán automáticamente inválidos.
  • 9. Aspectos a destacar del RFC La firma digital está en la cabecera del mesaje. No confundimos ni al usuario final ni a MUA (Mail User Agent). No hay dependencia en claves públicas y privadas. No hay dependencia en el desarrollo de nuevos protocolos o servicios para la distribución o revocación de claves públicas. Una verificación negativa de firma no fuerza el rechazo del correo. El propósito de DKIM no es la encriptación.
  • 10. Agenda Que es DKIM • Historia • Propósitos • RFC Como funciona DKIM • Configuración DNS • Firma • Validación DKIM por el mundo Porque debería usar DKIM
  • 11. Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen DNS
  • 12. Como funciona DKIM - Generar claves DKIM soporta múltiples algoritmos digitales de firma. Actualmente rsa-sha1 rsa-sha256. DEBEMOS validar ambos y DEBERIAMOS firmar ambos.
  • 13. Como funciona DKIM -Tamaño de la clave Elegir el tamaño de la clave es un equilibrio entre rendimiento y riesgo. Claves RSA pequeñas pueden sufrir ataques. La recomendación nos propone como mínimo 1024 bits. Existen políticas de verificación referentes al tamaño de la clave. DEBEMOS poder validar firmas de 512 bits a 2048 y DEBERIAMOS ser capaces de validar superiores. Algunos factores a tener en cuenta: • La limitación que nos ofrece el paquete UDP de respuesta DNS de 512 byte. Por ejemplo una clave de 4084 bits podria dar problemas. • Sabemos que claves menores a 1024 bits pueden ser atacadas. • Claves grandes suponen un riesgo de mayor uso de la CPU al verificar o firmar correos. • Las claves se pueden renovar periódicamente. Con lo cual su periodo de validez puede ser corto. • Los objetivos de seguridad de DKIM es modesta comparada con otros sistemas que usan firma digital.
  • 14. Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" DNS
  • 15. Como funciona DKIM - Entrada DNS La entrada DNS es una combinación de: • Selector: Equivale al valor de la etiqueta ‘s=‘ • “._domainkey.” • Signing Domain Identifier. Equivale al valor de la etiqueta ‘d=‘ cesca._domainkey.cesca.cat Formato de la entrada: TXT Parámetros: • v=: Versión de DKIM • p=: Clave pública • g=: Restricción de que usuarios podrían usar el selector • n=: Notas con información relevante. No se interpreta • t=: Estamos testeando DKIM (opción s: No firmamos subdominios) • k=: Tipo de clave
  • 16. Como funciona DKIM - Entrada DNS cesca._domainkey.cesca.cat IN TXT “v=DKIM1; g=bob; t=y:s; WIZARD k=rsa; n=DKIM mola; http://www.dnswatch.info/dkim/create-dns-record p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ C3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71 P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1X G5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/ SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQI DAQAB;”
  • 17. Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" bob@cesca.cat DNS
  • 18. Como funciona DKIM - Canonicalization Hay servidores de correo o relay que modifican el correo. Dos perspectivas: • Una modificación mínima es irrelevante para la autenticación. • Cualquier modificación mínima debe invalidar la firma. Nos llevan a dos políticas: • “simple”: no tolera modificaciones. • “relaxed”: tolera modificaciones. Por ej. reemplazar un espacio blanco en la cabecera.
  • 19. Como funciona DKIM - ¿Que firmamos? Etiquetas principales: Etiquetas secundarias: • a: algoritmo utilizado para • t: firma de tiempo generar la firma • v: versión • b: la firma • i: información adicional sobre la • bh: el hash del cuerpo natural identidad del usuario o el agente • c: la canonicalization del que firmó el correo mensaje (simple o relaxed) • x: expiración de la firma • d: el dominio firmante • h: lista de cabeceras firmadas • s: el selector • p: clave pública
  • 20. Como funciona DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" bob@cesca.cat DNS
  • 21. Como funciona DKIM - Verificación Un correo sin firma DKIM o un correo firmado incorrectamente con DKIM se trata de la misma manera Las demás opciones de verificación son decisión nuestra: • Requerir que ciertas cabeceras estén firmadas. • Permitir firmas de terceros • Aplicar ADSP (Author Domain Signing Practices)
  • 22. Como funciona DKIM - ADSP Author Domain Signing Practices Entrada DNS TXT _adsp._domainkey.<from domain> Opciones • Unknown: Firmamos algunos o todos los correos. • All: Todos los correos que provienen del dominio están firmados. Los correos no firmados se deben considerar sospechosos. • Discardable: Todos los correos están firmados por el autor (etiqueta i=). Si la firma no coincide, se descarta. Ejemplo: _adsp._domainkey.cesca.cat IN TXT "dkim=unknown; t=s“ Wizard: http://www.sendmail.org/dkim/wizard
  • 23. Como funciona DKIM El correo es de cesca.cat El servidor valida la firma DKIM Servidor destino DNS DKIM cesca.cat Servidor origen cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY6 0KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8 gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifU X9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN0 5YdYQIDAQAB;" bob@cesca.cat DNS
  • 24. Como funciona DKIM - Resumen Firma Validación Elegir: Computar el hash • Clave privada/pública • Ver los campos firmados • Signing Domain ID en la etiqueta h= • Selector Consultar clave pública • Cabeceras a firmar • A partir de las etiquetas Computar el hash s= y d= Cifrar Descifrar hash Crear firma DKIM Comparar
  • 25. Agenda Que es DKIM • Historia • Propósitos • RFC Como funciona DKIM • Configuración DNS • Firma • Validación DKIM por el mundo Porque debería usar DKIM
  • 26. DKIM por el mundo - Datos de Junio 2010 #1 facebookmail.com 18% #2 gmail.com 7% #3 yahoogroups.com 4% #4 yahoo.com 3% #5 linkedin.com 2% #6 google.com 2% Total 37%
  • 27. Porque deberia utilizar DKIM Es compatible con la estructura actual del correo electrónico y totalmente transparente. Basado en el contenido del correo. La firma digital está en la cabecera del mensaje. No confundimos ni al usuario final ni a MUA (Mail User Agent). Se puede implementar independientemente de los clientes. Se puede implementar incrementalmente.
  • 28. Enlace de interés http://www.dkim.org/
  • 29. Nos vemos por los pasillos ?