DKIM-signering av utgående e-post

DKIM-signering av e-post er tatt i bruk ved UiO og vil fortløpende bli lagt til på de fleste av UiOs e-postdomener utover våren. Innføringen bør ikke være merkbar for vanlige brukere.

«DomainKeys Identified Mail» (DKIM) er en metode hvor e-posten signeres før den sendes avgårde. Dette gjør at mottakers e-postsystem kan verifisere at e-posten kommer fra UiO og at deler av innholdet ikke har blitt endret.

Denne informasjonen er primært rettet mot IT-personell og andre som er interessert i teknisk informasjon knyttet til e-postsystemet til UiO.

Innføringen av DKIM er det naturlige steget etter SPF, og en av anbefalingene til Nasjonal Sikkerhetsmyndighet for grunnleggende sikring av e-post. Det er foreløpig ikke satt noen krav til DKIM-signering av all e-post fra UiO-domener.

DKIM-nøkkel i DNS

For at andre e-postsystemer skal kunne verifisere e-post som er DKIM-signert av UiO publiseres den offentlige nøkkelen i nøkkelparet som brukes for signering. Den første nøkkelen, eller «selector», som brukes har navnet key2103. Nøkkelen, og dermed navnet, vil byttes ut med jevne mellomrom. Nøkkelparet har 2048-bits lengde.

Siden nøkkelen må publiseres, er det mulig å sjekke om et domene er klargjort for signering ved å slå opp TXT-oppføringen for selector._domainkey.<domain>.uio.no i DNS. Dette er publisert for test.uio.no-domenet, hvor det ligger en CNAME-oppføringer som peker på key2103.dkim.uio.no, samt en valgfri «policy»-oppføring som peker på policy.dkim.uio.no:

# dig -t txt _domainkey.test.uio.no +short
"t=y; o=~; n=https://postkontor.uio.no/dkim"

# dig -t txt key2103._domainkey.test.uio.no +short
"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMII[...]ROkks2jj0+wIDAQAB"

Etterhvert som flere domener får aktivert DKIM, så vil det lages CNAME-oppføringer for disse domenene også.

Eksempel på signatur

Selve DKIM-signaturen inkluderes i meldingshodene, «headere», til e-posten. Disse vil normalt ikke vises med mindre man aktivt velger å vise det i e-postprogrammet man bruker for å lese e-post. Under er et eksempel på hvordan en signatur ser ut:

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=test.uio.no
	; s=key2103; h=Message-Id:Subject:From:To:Date:Sender:Reply-To:Cc:
	MIME-Version:Content-Type:Content-Transfer-Encoding:Content-ID:
	Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
	:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
	List-Subscribe:List-Post:List-Owner:List-Archive;
	bh=ecGWgWCJeWxJFeM0urOVWP+KOlqqvsQYKOpYUP8nk7I=; b=eT18iIXCbHpQbfMMuZaH1ZmV94
	U2WdKc/DlpLkUmJLmIf0RZfRcOxLgZYrE78cJW+DK+LKc6yivCx5fAKgjeAxl3YgVDldeYD6ykx5M
	z80tme8PoIm5g0/jN/vb2q4ZdTK6wQ/Nh5cOkvF8BOR+4nT6k5iFBr0f0yb18nbuDsIfEOLw+ZI4k
	bdw0vWsqzCrRnjwq+t4o0d8+jv7ml2zQN83PzRaG+7w2YUZj+GNHYfgypIOHggC68zhD8ua1x8D0S
	AONiA8+mqD5UGYpT1H5vkZAcwSbo4gEBFHx/tGcMcUQdEaoGBKInHTWQw0UlTuunjkt8bJmEDO9Dz
	jdgpy4Sg==;

Veien videre

Når DKIM er rullet ut for alle e-postdomene vi har kontroll på, vil neste steget være å innføre DMARC. Mer informasjon vil bli publisert når det er på plass.

Publisert 25. mars 2021 13:31 - Sist endret 25. mars 2021 13:31