Blog

O Google não está aceitando sua autenticação DKIM tão bem feita (e por que isso é algo bom)

Return Path | 13 novembro, 2012

Se você percebeu que a autenticação DKIM do seu email foi recusada recentemente, você não é o único. O Google anunciou que começará a não aceitar chaves DKIM de 512 bits ou menos.

Há pouco tempo, um matemático quebrou a frágil chave DKIM de 512 bits do Google e se passou por seus fundadores (Sergey Brin e Larry Page) via email. Um artigo publicado no site “Wired.com” sobre este caso deu início a uma corrida na indústria de email para criar novas chaves DKIM com mais de 512 bits. O Google está levando a sério essa questão de segurança ao exigir que todos os remetentes utilizem chaves de 1024 bits. A primeira fase inclui recusar chaves com 512 bits ou menos. Chaves de 768 bits ainda serão aceitas por mais algumas semanas. O Google também anunciou que começará a notificar usuários de emails com chaves frágeis ainda esta semana.

A falha de chaves DKIM no Google pode impactar negativamente os remetentes de algumas formas. Aqueles que incluíram o botão “Cancelar Assinatura” no cabeçalho e também chaves DKIM com falha não oferecem a opção de cancelamento quando o destinatário marca o email como spam, o que pode gerar uma elevação na taxa de reclamações. Além disso, usuários de Gmail que optaram pela exibição de emails confiáveis na caixa de entrada talvez não vejam o ícone e percam a confiança de abrir seus emails. Ninguém terá o email bloqueado por falha de DKIM, mas existe um pequeno risco, caso tenha publicado uma política de DMARC e aconteçam falhas tanto do DKIM quanto do SPF.

Para determinar se o DKIM de seus emails está sendo recusado devido a uma chave fraca, ou se você precisa fazer upgrade de uma chave de 768 bits, faça o seguinte:

  1. Envie um email teste para o Gmail ou para seus seeds da Return Path. Cheque se o cabeçalho contém a seguinte linha: Authentication-Results: mx.google.com; spf=pass (google.com: domain of xxx@xxxxx.xxx designates xxx.xxx.xxx.xxx as permitted sender) smtp.mail= xxx@xxxxx.xxx; dkim=pass header.i=xxxxxx.xxxIf it says dkim=pass. Se tiver, você não precisa se preocupar, por enquanto. Se disser dkim=fail, você precisa fazer um upgrade em sua chave imediatamente.
  2. Envie um email para checkmyauth@auth.returnpath.net para cada um de seus domínios DKIM de confiança. Nosso DKIM reflector envia um relatório e o notifica se você assinou com uma chave DKIM com menos de 1024 bits.

Na Return Path, também planejamos realizar uma validação manual ad hoc de comprimentos de chave para os clientes de nossas soluções de anti-phishing, mediante solicitação. Se você não for um cliente, é possível usar o DKIM reflector mencionado acima, ou entre em contato conosco e veja como podemos ajudar.

Your browser is out of date.
For a better Return Path experience, click a link below to get the latest version.