Es gibt verschiedene E-Mail-Authentifizierungsprotokolle, aber nur eines hat einen streng geheimen, verschlüsselten digitalen Schlüssel. Eine DKIM-Signatur hilft Postfachanbietern dabei, Ihre Identität als Absender zu überprüfen und gleichzeitig E-Mail-Spoofing-Angriffe zu bekämpfen. Der Schlüssel zur E-Mail-Authentifizierung!
Im Grunde genommen hilft DKIM Ihnen, wichtige Briefe mit unsichtbarer Tinte zu unterschreiben und damit deutlich zu machen, dass die Nachricht von Ihnen und nicht von jemand anderem stammt. Ganz so einfach ist es jedoch nicht.
Schauen wir uns das DomainKeys Identified Mail-Protokoll genauer an.
Warum wir DKIM-Signaturen brauchen
Die Kommunikation mit Menschen per E-Mail ist ein wertvolles Gut. Leider gibt es Cyberkriminelle, die sich das Vertrauen zunutze machen wollen, das Marken bei ihren Kunden und Abonnenten erworben haben.
Betrüger dringen in Posteingänge ein, indem sie sich als E-Mails und Webseiten Ihrer Marke ausgeben und Menschen dazu verleiten, Malware zu installieren oder sensible Informationen preiszugeben. Dazu können Bankkonten, Kreditkartennummern, Sozialversicherungsnummern oder Anmeldeinformationen für Online-Konten gehören. E-Mail-Spoofing führt leicht zu Identitätsdiebstahl.
Verbesserung der Sicherheit des Posteingangs.
Obwohl das Simple Mail Transfer Protocol (SMTP) der Industriestandard für den Versand von E-Mails über das Internet ist, bietet es keinen Mechanismus zur Überprüfung des Absenders, bevor die E-Mail zugestellt wird. Dies ermöglicht es Spammern und Betrügern, Posteingänge mit Junk-E-Mails zu füllen und zu versuchen, vertrauenswürdige Marken zu fälschen oder zu verschleiern.
Authentifizierungsprotokolle haben die E-Mail-Sicherheit in den letzten Jahrzehnten verbessert, indem sie Informationen aus E-Mail-Kopfzeilen mit Datensätzen verknüpfen, die im Domain Name Server (DNS) des Absenders veröffentlicht werden .
Die DKIM-Signatur ist eines dieser Protokolle. Sie erkennt gefälschte Absenderadressen mit Hilfe eines verschlüsselten Schlüssels.
DKIM ist eine Kombination aus DomainKeys, entwickelt von Yahoo, und Identified Internet Mail von Cisco aus dem Jahr 2004. Der Abschnitt DomainKeys dient zur Überprüfung der DNS-Domäne des E-Mail-Absenders, und Identified Internet Mail ist der Teil der digitalen Signatur der Spezifikation.
Die bekanntesten Mailbox-Anbieter wie Google, Apple Mail und Outlook suchen bei der Authentifizierung von E-Mails nach DKIM-Signaturen.
Wie funktioniert eine DKIM-Signatur?
DKIM ermöglicht es Absendern, E-Mail-Nachrichten mit bestimmten Domänen zu verknüpfen, genau wie andere E-Mail-Authentifizierungsmechanismen. Die Legitimität der E-Mail wird durch DNS-Einträge gewährleistet. DKIM hingegen verwendet eine verschlüsselte digitale Signatur, um dies zu erreichen.
Die DomainKeys von DKIM umfassen einen öffentlichen Schlüssel, der im DNS-Eintrag übertragen wird, und einen privaten Schlüssel, der in der Kopfzeile der E-Mail enthalten ist. Die verschlüsselte digitale Signatur ist der private Schlüssel, der für den Absender eindeutig sein sollte und mit dem im DNS übertragenen Schlüssel übereinstimmt.
Eine DKIM-Signatur teilt den Mail Transfer Agents (MTAs) mit, wo sie auf die öffentlichen Schlüsselinformationen zugreifen können, die zur Überprüfung der Identität des Absenders verwendet werden. Wenn die beiden Schlüssel übereinstimmen, ist es wahrscheinlicher, dass die E-Mail an den Posteingang gesendet wird. Wenn sie nicht übereinstimmen oder die E-Mail keine DKIM-Signatur hat, ist es wahrscheinlicher, dass sie abgelehnt oder als Spam eingestuft wird.
DKIM filtert keine E-Mails, sondern unterstützt den empfangenden Server bei der Entscheidung, wie er eingehende Nachrichten am besten filtern kann. Die Spam-Bewertung einer Nachricht wird oft reduziert, wenn die DKIM-Überprüfung erfolgreich ist.
Wie man einen DKIM-Header liest
Sie müssen einen DKIM-Eintrag erstellen und in Ihrem DNS platzieren, um DKIM zu verwenden, um Ihre Marke vor Spoofing und Ihre Abonnenten vor Betrügern zu schützen. Möglicherweise benötigen Sie dazu die Unterstützung Ihrer IT-Abteilung oder Ihres E-Mail-Dienstleisters (ESP).
Nachfolgend finden Sie ein Beispiel für eine DKIM-Signatur (aufgezeichnet als RFC2822-Header-Feld) für die signierte Nachricht:
Wir werden die DKIM-Header einzeln aufschlüsseln. Jeder "tag" wird ein Wert zugewiesen, der Informationen über den Absender enthält **.**
Tags in einer DKIM-Kopfzeile
Tag
Beschreibung
b
Die eigentliche digitale Signatur des Inhalts (Kopfzeile und Text) der E-Mail-Nachricht
bh
die Körperhash
d
der Unterschriftsbereich
s
der Selektor
v
die Version
a
der Signieralgorithmus
c
den/die Kanonisierungsalgorithmus(e) für Header und Body
q
die Standardabfragemethode
I
die Länge des kanonisierten Teils des Körpers, der signiert wurde
t
den Zeitstempel der Unterschrift
x
die Verfallszeit
h
die Liste der signierten Kopffelder wird für Felder, die mehrfach vorkommen, wiederholt
Anmerkung: Die oben hervorgehobenen Tags sind erforderlich. Eine DKIM-Signatur, in der diese Tags fehlen, führt bei der Validierung zu einem Fehler **.**
Diesem DKIM-Header können wir entnehmen, dass:
Die digitale Signatur lautet **dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR.**
Diese Signatur wird mit der Signatur der Absenderdomäne verglichen.
Der Body-Hash ist nicht aufgeführt.
Der Unterschriftsbereich ist Beispiel.com. Es ist die Domäne, die die Nachricht gesendet (und signiert) hat.
Der Selektor ist jun2005.eng.
Die Version ist nicht aufgeführt.
Der Signieralgorithmus lautet rsa-sha1Es erzeugt die Signatur.
Der/die Kanonisierungsalgorithmus(s) für den Header und den Body sind entspannt/einfach.
Die Standardabfragemethode ist DNS. Sie wird verwendet, um den Schlüssel in der signierenden Domäne zu suchen **.**
Die Länge des kanonisierten Teils des Körpers, der signiert wurde, wird nicht aufgeführt. Die signierende Domäne kann einen Schlüssel aus dem gesamten Textkörper oder nur aus einem Teil davon erzeugen. Dieser Teil wäre mit eingeschlossen worden.
Der Zeitstempel der Signatur lautet 1117574938. Dies ist das Datum, an dem sie unterzeichnet wurde.
Die Verfallszeit **ist 1118006938.**Dies liegt daran, dass eine bereits signierte E-Mail wiederverwendet werden kann, um "Fälschung" die Unterschrift, werden die Unterschriften auf Ablauf gesetzt.
Die Liste der signierten Header-Felder enthält from:to:subject:date. Es ist die Liste der Felder, die signiert wurden "unterzeichnet" um zu überprüfen, dass sie nicht verändert wurden.
Wir sind uns bewusst, dass dies eine Menge technischer Informationen ist. Glücklicherweise gibt es für E-Mail-Vermarkter Tools zur Erstellung von DKIM-Einträgen.
So überprüfen Sie eine DKIM-Signatur
DNS-Einträge und DKIM-Signaturen können schwer zu verstehen sein. Es gibt Internet-Tools, mit denen Sie überprüfen können, ob Ihre E-Mail-Authentifizierungsmechanismen richtig konfiguriert sind.
Das Senden einer E-Mail an ein Gmail-Konto ist eine weitere Möglichkeit, DKIM zu testen. Öffnen Sie die E-Mail in der Gmail-Webanwendung, klicken Sie auf den Abwärtspfeil neben dem "Antwort" Taste (oben rechts in der E-Mail)und wählen Sie "Original zeigen". Wenn Sie sehen "signiert von: Ihr Domänenname" im Original, ist Ihre DKIM-Signatur gültig. Bedenken Sie jedoch, dass Sie die DKIM-Signatur nur sehen können, wenn Sie Zugriff auf die E-Mail haben, an die Sie sie senden. Die einzige Möglichkeit zur Überprüfung aller
Verbessern Sie die Zustellbarkeit, bevor Sie auf Senden drücken
Es gibt zahlreiche zwingende Gründe für die Verwendung von E-Mail-Authentifizierungsprotokollen. Ganz oben auf der Liste steht die Verbesserung der Zustellbarkeit. Wenn Sie keine E-Mail-Authentifizierung verwenden, ist es wahrscheinlicher, dass Mailbox-Anbieter Ihre Nachrichten in Junk-Mail- und Spam-Ordner filtern.
Um dies besser zu verstehen:
DKIM verwendet einen privaten Schlüssel zur Authentifizierung von E-Mails:
1- Der sendende Dienst veröffentlicht seinen öffentlichen Schlüssel im DNS-Eintrag
2- Der sendende Dienst verwendet den privaten Schlüssel, um die Nachricht zu signieren, den DKIM-Signatur-Header zu erzeugen und ihn an die gesendete E-Mail anzuhängen
3- "d tag" = Absenderdomäne / s-Tag = Subdomain -
4- die empfangende Dienststelle (Gmail) wird THE DNS EXAMPLE abfragen: s.domainkey.domain.com um den öffentlichen Schlüssel zu erhalten
5- die empfangende Dienststelle (Gmail) validiert dann die DKIM-Signatur, die an die E-Mail angehängt ist, mit dem erhaltenen öffentlichen Schlüssel, wenn die Signatur gültig ist -> DKIM Passes
Schlussfolgerung
Skysnag automatisiert DMARC, SPF und DKIM für Sie, um die Zustellbarkeit von E-Mails zu erhöhen. Vermeiden Sie daher E-Mail-Spoofing-Angriffe mit der automatisierten Software von Skysnag, mit der Sie die Gültigkeit von E-Mails bestätigen können. Melden Sie sich noch heute über diesen Link für eine kostenlose Testversion an und stellen Sie sicher, dass die DKIM-Signatur Ihres Unternehmens korrekt eingerichtet ist.
Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain
Durchsetzung von DMARC, SPF und DKIM in Tagen - nicht Monaten
Skysnag hilft vielbeschäftigten Technikern bei der Durchsetzung von DMARC, reagiert auf Fehlkonfigurationen bei SPF oder DKIM, was die Zustellbarkeit von E-Mails erhöht, und verhindert E-Mail-Spoofing und Identitätsnachahmung.
