DomainKeys to technologia uwierzytelniania poczty e-mail używana przez niektóre serwery pocztowe do weryfikacji pochodzenia wiadomości. Pomaga zapobiegać spamerom i oszustom, określając, czy wiadomość została sfałszowana tak, aby wyglądała, jakby pochodziła z domeny, z której w rzeczywistości nie pochodziła. Do przeprowadzenia weryfikacji wykorzystywana jest popularna technika szyfrowania znana jako kryptografia klucza publicznego. Jest to w dużej mierze przestarzały standard i został zastąpiony podobnym, ale niekompatybilnym systemem DomainKeys Identified Mail (DKIM).
Usługi poczty e-mail nie zostały pierwotnie zaprojektowane z myślą o bezpieczeństwie, w wyniku czego osobie o złych intencjach stosunkowo łatwo jest manipulować różnymi aspektami wiadomości e-mail na swoją korzyść. Często nagłówki, części wiadomości zawierające adresy do iz adresów oraz inne informacje są fałszowane. Spamerzy stosują ten rodzaj manipulacji, aby ich wiadomości e-mail wyglądały, jakby pochodziły z legalnego źródła, takiego jak bank lub serwis aukcyjny. DomainKeys to jedna z kilku metod, które zostały opracowane do sprawdzania autentyczności wiadomości e-mail.
DomainKeys sprawdza, czy wiadomość e-mail pochodzi z domeny, z której rzekomo pochodzi. Chociaż system nie może zweryfikować tożsamości indywidualnego nadawcy, można go wykorzystać do sprawdzenia, czy wiadomości od organizacji takich jak banki są legalne, a nie od oszusta. Niektóre z najpopularniejszych usług poczty internetowej wykorzystywały ten system do wyświetlania ikony klucza lub innego logo obok adresu nadawcy w skrzynce odbiorczej. Z punktu widzenia nadawcy użycie tej techniki może zmniejszyć prawdopodobieństwo, że legalna poczta zostanie poddana niektórym technologiom filtrowania spamu.
Aby klucze domeny działały, serwery poczty e-mail zarówno nadawcy, jak i odbiorcy muszą je obsługiwać. System opiera się na kryptografii klucza publicznego, schemacie szyfrowania, w którym generowane są matematycznie powiązane klucze publiczne i prywatne. Klucz publiczny jest przechowywany w pliku tekstowym, który jest dostępny za pośrednictwem wpisu systemu nazw domen (DNS) dla danej domeny. Na serwerze pocztowym obsługującym tę technologię klucz prywatny jest umieszczany w nagłówkach wychodzących wiadomości e-mail. Ponieważ klucze są matematycznie powiązane, klucz prywatny można porównać z kluczem publicznym, aby zweryfikować autentyczność nadawcy.
Niektóre części systemu DomainKeys zostały połączone z podobną Identyfikowaną pocztą internetową, tworząc DKIM. Połączona specyfikacja została powszechnie przyjęta i zasadniczo służy jako zamiennik kluczy DomainKeys. Jednak starsze systemy są nadal dostępne do celów historycznych i nadal mogą być używane na serwerach pocztowych. Wiele usług poczty e-mail obsługuje zarówno DKIM, jak i jego poprzedników, aby umożliwić obsługę starszych systemów, które nie zostały jeszcze zaktualizowane. Termin klucze domeny jest również błędnie używany przez niektórych w odniesieniu do standardu DKIM.