introducción a dkim
DESCRIPTION
TRANSCRIPT
![Page 1: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/1.jpg)
IntroducciIntroduccióón a DKIMn a DKIM
Roger Castells Barrancos, CESCA
16 de Noviembre, 2010
Grupos de Trabajo RedIRIS, Córdoba
![Page 2: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/2.jpg)
AgendaAgenda
� Que es DKIM
• Historia
• Propósitos
• RFC
� Como funciona DKIM
• Configuración DNS
• Firma
• Validación
� DKIM por el mundo
� Porque debería usar DKIM
![Page 3: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/3.jpg)
Confianza VS DesconfianzaConfianza VS Desconfianza
� Desconfianza: Buscamos los correos que debemos rechazar.
• Blacklists.
� Confianza: Buscamos los correos que debemos aceptar.
• DKIM, SPF, Whitelists.
![Page 4: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/4.jpg)
INCEPTIONINCEPTION
� DKIM (DomainKeys Identified Mail)
� RFC 4871
� Alt-N Technologies, AOL, Brandenburg InternetWorking, Cisco, EarthLink, IBM, Microsoft, PGP Corporation, Sendmail, StrongMail Systems, Tumbleweed,
VeriSign and Yahoo!
� IETF (Internet Engineering Task Force) trabaja para refinar y estandarizar DKIM
![Page 5: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/5.jpg)
Que es DKIMQue es DKIM
� Significa que un correo no es SPAM
� Garantiza la entrega
� Valida un correo
� Autentica el autor o el origen de un mensaje
�Añade el nombre de dominio a un correo
![Page 6: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/6.jpg)
PropPropóósito de DKIMsito de DKIM
� DKIM permite a una organización tomar la responsabilidad cuando envía un mensaje, de manera que pueda ser
validado por el destinatario.
� La organización puede ser el autor, el lugar de origen, una
intermediaria o uno de sus agentes.
� La reputación de la organización es la base para evaluar la
validez del mensaje a entregar.
![Page 7: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/7.jpg)
Que hace DKIMQue hace DKIM
� La organización responsable del envío añade una firma digital al mensaje, asociándolo con un nombre de dominio
de la organización.
� La firma se realizará sin la intervención del remitente.
![Page 8: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/8.jpg)
Que significa recibir un correo firmado por DKIMQue significa recibir un correo firmado por DKIM
� El propietario de un dominio que firma con DKIM estádeclarando que ellos son de confianza. Esto significa que
tu reputación está “en juego”.
� Los destinatarios que validen de manera exitosa una firma,
pueden usar esta información para limitar el spam, phishing,…
� Ejemplo: Si alguien intenta enviar correos desde nuestro
dominio (por ej. cesca.cat) y nosotros firmamos todo nuestro correo con DKIM, todos los correos recibidos y no
firmados, serán automáticamente inválidos.
![Page 9: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/9.jpg)
Aspectos a destacar del RFCAspectos a destacar del RFC
� La firma digital está en la cabecera del mesaje. No confundimos ni al usuario final ni a MUA (Mail User Agent).
� No hay dependencia en claves públicas y privadas.
� No hay dependencia en el desarrollo de nuevos protocolos
o servicios para la distribución o revocación de claves públicas.
� Una verificación negativa de firma no fuerza el rechazo del correo.
� El propósito de DKIM no es la encriptación.
![Page 10: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/10.jpg)
AgendaAgenda
� Que es DKIM
• Historia
• Propósitos
• RFC
� Como funciona DKIM
• Configuración DNS
• Firma
• Validación
� DKIM por el mundo
� Porque debería usar DKIM
![Page 11: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/11.jpg)
Como funciona DKIMComo funciona DKIM
Servidor destino DNS
Servidor origen
DNS
DKIM cesca.cat
![Page 12: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/12.jpg)
Como funciona DKIM Como funciona DKIM -- Generar clavesGenerar claves
� DKIM soporta múltiples algoritmos digitales de firma.
� Actualmente rsa-sha1 rsa-sha256.
� DEBEMOS validar ambos y DEBERIAMOS firmar ambos.
![Page 13: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/13.jpg)
Como funciona DKIM Como funciona DKIM --TamaTamañño de la claveo de la clave
� Elegir el tamaño de la clave es un equilibrio entre rendimiento y riesgo.
� Claves RSA pequeñas pueden sufrir ataques.
� La recomendación nos propone como mínimo 1024 bits.
� Existen políticas de verificación referentes al tamaño de la clave.
� DEBEMOS poder validar firmas de 512 bits a 2048 y DEBERIAMOS ser capaces de validar superiores.
� Algunos factores a tener en cuenta:
• La limitación que nos ofrece el paquete UDP de respuesta DNS de 512 byte. Por ejemplo una clave de 4084 bits podria dar problemas.
• Sabemos que claves menores a 1024 bits pueden ser atacadas.
• Claves grandes suponen un riesgo de mayor uso de la CPU al verificar o firmar correos.
• Las claves se pueden renovar periódicamente. Con lo cual su periodo de validez puede ser corto.
• Los objetivos de seguridad de DKIM es modesta comparada con otros sistemas que usan firma digital.
![Page 14: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/14.jpg)
Como funciona DKIMComo funciona DKIM
cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQIDAQAB;"
Servidor destino DNS
Servidor origen
DNS
DKIM cesca.cat
![Page 15: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/15.jpg)
Como funciona DKIM Como funciona DKIM -- Entrada DNSEntrada DNS
� La entrada DNS es una combinación de:• Selector: Equivale al valor de la etiqueta ‘s=‘
• “._domainkey.”
• Signing Domain Identifier. Equivale al valor de la etiqueta ‘d=‘
cesca._domainkey.cesca.cat
� Formato de la entrada: TXT
� Parámetros:
• v=: Versión de DKIM
• p=: Clave pública
• g=: Restricción de que usuarios podrían usar el selector
• n=: Notas con información relevante. No se interpreta
• t=: Estamos testeando DKIM (opción s: No firmamos subdominios)
• k=: Tipo de clave
![Page 16: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/16.jpg)
Como funciona DKIM Como funciona DKIM -- Entrada DNSEntrada DNS
cesca._domainkey.cesca.cat
IN TXT
“v=DKIM1;
g=bob;
t=y:s;
k=rsa;
n=DKIM mola;
p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQIDAQAB;”
WIZARD
http://www.dnswatch.info/dkim/create-dns-record
![Page 17: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/17.jpg)
Como funciona DKIMComo funciona DKIM
cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQIDAQAB;"
Servidor destino DNS
DKIM cesca.cat
Servidor origen
![Page 18: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/18.jpg)
Como funciona DKIM Como funciona DKIM -- CanonicalizationCanonicalization
� Hay servidores de correo o relay que modifican el correo.
� Dos perspectivas:
• Una modificación mínima es irrelevante para la autenticación.
• Cualquier modificación mínima debe invalidar la firma.
� Nos llevan a dos políticas:
• “simple”: no tolera modificaciones.
• “relaxed”: tolera modificaciones. Por ej. reemplazar un espacio blanco en la cabecera.
![Page 19: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/19.jpg)
Como funciona DKIM Como funciona DKIM -- ¿¿Que firmamos?Que firmamos?
� Etiquetas principales:
• a: algoritmo utilizado para generar la firma
• b: la firma
• bh: el hash del cuerpo natural
• c: la canonicalization del
mensaje (simple o relaxed)
• d: el dominio firmante
• h: lista de cabeceras firmadas
• s: el selector
• p: clave pública
� Etiquetas secundarias:
• t: firma de tiempo
• v: versión
• i: información adicional sobre la
identidad del usuario o el agente
que firmó el correo
• x: expiración de la firma
![Page 20: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/20.jpg)
Como funciona DKIMComo funciona DKIM
cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQIDAQAB;"
Servidor destino DNS
DKIM cesca.cat
Servidor origen
![Page 21: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/21.jpg)
Como funciona DKIM Como funciona DKIM -- VerificaciVerificacióónn
� Un correo sin firma DKIM o un correo firmado incorrectamente con DKIM se trata de la misma manera
� Las demás opciones de verificación son decisión nuestra:
• Requerir que ciertas cabeceras estén firmadas.
• Permitir firmas de terceros
• Aplicar ADSP (Author Domain Signing Practices)
![Page 22: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/22.jpg)
Como funciona DKIM Como funciona DKIM -- ADSPADSP
� Author Domain Signing Practices
� Entrada DNS TXT
_adsp._domainkey.<from domain>
� Opciones
• Unknown: Firmamos algunos o todos los correos.
• All: Todos los correos que provienen del dominio están firmados. Los correos no firmados se deben considerar sospechosos.
• Discardable: Todos los correos están firmados por el autor
(etiqueta i=). Si la firma no coincide, se descarta.
� Ejemplo:
_adsp._domainkey.cesca.cat IN TXT "dkim=unknown; t=s“
� Wizard:
http://www.sendmail.org/dkim/wizard
![Page 23: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/23.jpg)
Como funciona DKIMComo funciona DKIM
cesca._domainkey.cesca.cat. IN TXT "v=DKIM1; t=y; p=MIGfMA0GCSqGS
Ib3DQEBAQUAA4GNADCBiQKBgQC3/gYJ+kqtqDOdyY+sEY60KoRp9YNU5cnp413xvse71P02PImphuXd11aZym0x9b91LB8gCE27H1M+/Sj4Tk1XG5mmmcMru2Ze9bXf1vqSiG6QlyVIf3ifUX9WbqHuaxq/SusHteThK7TC90v9atvgwpXfCEMoB15/+6HN05YdYQIDAQAB;"
Servidor destino DNS
DKIM cesca.cat
Servidor origen
DNS
El servidor valida la firma DKIM
El correo
es de
cesca.cat
![Page 24: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/24.jpg)
Como funciona DKIM Como funciona DKIM -- ResumenResumen
Firma
�Elegir:
• Clave privada/pública
• Signing Domain ID
• Selector
• Cabeceras a firmar
�Computar el hash
�Cifrar
�Crear firma DKIM
Validación
�Computar el hash
• Ver los campos firmados en la etiqueta h=
�Consultar clave pública
• A partir de las etiquetas
s= y d=
�Descifrar hash
�Comparar
![Page 25: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/25.jpg)
AgendaAgenda
� Que es DKIM
• Historia
• Propósitos
• RFC
� Como funciona DKIM
• Configuración DNS
• Firma
• Validación
� DKIM por el mundo
� Porque debería usar DKIM
![Page 26: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/26.jpg)
DKIM por el mundo DKIM por el mundo -- Datos de Junio 2010Datos de Junio 2010
#1 facebookmail.com 18%
#2 gmail.com 7%
#3 yahoogroups.com 4%
#4 yahoo.com 3%
#5 linkedin.com 2%
#6 google.com 2%
Total 37%
![Page 27: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/27.jpg)
Porque deberia utilizar DKIMPorque deberia utilizar DKIM
� Es compatible con la estructura actual del correo electrónico y totalmente transparente.
� Basado en el contenido del correo.
� La firma digital está en la cabecera del mensaje. No
confundimos ni al usuario final ni a MUA (Mail User Agent).
� Se puede implementar independientemente de los clientes.
� Se puede implementar incrementalmente.
![Page 28: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/28.jpg)
Enlace de interEnlace de interééss
http://www.dkim.org/
![Page 29: Introducción a DKIM](https://reader033.vdocuments.mx/reader033/viewer/2022050904/547b7edab479599f098b4dc7/html5/thumbnails/29.jpg)
Nos vemos por los pasillosNos vemos por los pasillos
?