DKIM-signering av utg?ende e-post

DKIM-signering av e-post er tatt i bruk ved UiO og vil fortl?pende bli lagt til p? de fleste av UiOs e-postdomener utover v?ren. Innf?ringen b?r ikke v?re merkbar for vanlige brukere.

?DomainKeys Identified Mail? (DKIM) er en metode hvor e-posten signeres f?r den sendes avg?rde. Dette gj?r at mottakers e-postsystem kan verifisere at e-posten kommer fra UiO og at deler av innholdet ikke har blitt endret.

Denne informasjonen er prim?rt rettet mot IT-personell og andre som er interessert i teknisk informasjon knyttet til e-postsystemet til UiO.

Innf?ringen av DKIM er det naturlige steget etter SPF, og en av anbefalingene til Nasjonal Sikkerhetsmyndighet for grunnleggende sikring av e-post. Det er forel?pig ikke satt noen krav til DKIM-signering av all e-post fra UiO-domener.

DKIM-n?kkel i DNS

For at andre e-postsystemer skal kunne verifisere e-post som er DKIM-signert av UiO publiseres den offentlige n?kkelen i n?kkelparet som brukes for signering. Den f?rste n?kkelen, eller ?selector?, som brukes har navnet key2103. N?kkelen, og dermed navnet, vil byttes ut med jevne mellomrom. N?kkelparet har 2048-bits lengde.

Siden n?kkelen m? publiseres, er det mulig ? sjekke om et domene er klargjort for signering ved ? sl? opp TXT-oppf?ringen for selector._domainkey.<domain>.uio.no i DNS. Dette er publisert for test.uio.no-domenet, hvor det ligger en CNAME-oppf?ringer som peker p? key2103.dkim.uio.no, samt en valgfri ?policy?-oppf?ring som peker p? policy.dkim.uio.no:

# dig -t txt _domainkey.test.uio.no +short
"t=y; o=~; n=https://postkontor.uio.no/dkim"

# dig -t txt key2103._domainkey.test.uio.no +short
"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMII[...]ROkks2jj0+wIDAQAB"

Etterhvert som flere domener f?r aktivert DKIM, s? vil det lages CNAME-oppf?ringer for disse domenene ogs?.

Eksempel p? signatur

Selve DKIM-signaturen inkluderes i meldingshodene, ?headere?, til e-posten. Disse vil normalt ikke vises med mindre man aktivt velger ? vise det i e-postprogrammet man bruker for ? lese e-post. Under er et eksempel p? hvordan en signatur ser ut:

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=test.uio.no
	; s=key2103; h=Message-Id:Subject:From:To:Date:Sender:Reply-To:Cc:
	MIME-Version:Content-Type:Content-Transfer-Encoding:Content-ID:
	Content-Description:Resent-Date:Resent-From:Resent-Sender:Resent-To:Resent-Cc
	:Resent-Message-ID:In-Reply-To:References:List-Id:List-Help:List-Unsubscribe:
	List-Subscribe:List-Post:List-Owner:List-Archive;
	bh=ecGWgWCJeWxJFeM0urOVWP+KOlqqvsQYKOpYUP8nk7I=; b=eT18iIXCbHpQbfMMuZaH1ZmV94
	U2WdKc/DlpLkUmJLmIf0RZfRcOxLgZYrE78cJW+DK+LKc6yivCx5fAKgjeAxl3YgVDldeYD6ykx5M
	z80tme8PoIm5g0/jN/vb2q4ZdTK6wQ/Nh5cOkvF8BOR+4nT6k5iFBr0f0yb18nbuDsIfEOLw+ZI4k
	bdw0vWsqzCrRnjwq+t4o0d8+jv7ml2zQN83PzRaG+7w2YUZj+GNHYfgypIOHggC68zhD8ua1x8D0S
	AONiA8+mqD5UGYpT1H5vkZAcwSbo4gEBFHx/tGcMcUQdEaoGBKInHTWQw0UlTuunjkt8bJmEDO9Dz
	jdgpy4Sg==;

Veien videre

N?r DKIM er rullet ut for alle e-postdomene vi har kontroll p?, vil neste steget v?re ? innf?re DMARC. Mer informasjon vil bli publisert n?r det er p? plass.

Publisert 25. mars 2021 13:31 - Sist endret 18. juni 2021 16:15
Del p? e-post