DKIM ist eine E-Mail-Authentifizierungsmethode, mit der der empfangende Server überprüfen kann, ob eine E-Mail vom Inhaber der E-Mail-Domäne gesendet und autorisiert wurde. Die E-Mail wird mit einer digitalen Signatur versehen, einer Kopfzeile, die der Nachricht hinzugefügt und durch Verschlüsselung gesichert wird.
Wenn eine E-Mail mit einer gültigen DomainKeys Identified Mail-Signatur signiert ist, kann man sicher sein, dass weder der Nachrichtentext noch die Anhänge vom Zeitpunkt des ersten Versands bis zum Eintreffen in Ihrem Posteingang verändert wurden. Das bedeutet, dass Ihr Empfänger, wenn er auf eine gültige DKIM-Signatur prüft, in der Lage ist, die Integrität aller Teile der Nachricht zu überprüfen. Endbenutzer können DKIM-Signaturen nicht sehen, die Validierung erfolgt auf Serverebene.
Geschichte von DKIM
Der DomainKeys Identified Mail (DKIM)-Standard wurde 2007 von einer Koalition von Organisationen wie AOL, Google, Microsoft und Yahoo! entwickelt, um das Problem des E-Mail-Spoofing zu lösen. DKIM verwendet Kryptographie mit öffentlichen Schlüsseln, um zu überprüfen, dass eine E-Mail-Nachricht während der Übertragung nicht manipuliert wurde und dass sie von der Domäne des angeblichen Absenders stammt. Zu diesem Zweck wird jeder E-Mail-Nachricht eine digitale Signatur hinzugefügt, mit der die Authentizität der Nachricht überprüft werden kann.
Im Jahr 2012 hat die Internet Engineering Task Force (IETF) veröffentlichte DomainKeys Identified Mail als offiziellen Standard (RFC 6376). Seitdem wurde es von E-Mail-Diensteanbietern (ESPs) und anderen Organisationen als Mittel zur Gewährleistung der Sicherheit und Integrität von E-Mail-Nachrichten weitgehend übernommen.
Wie DKIM funktioniert
Jede DKIM-signierte E-Mail-Nachricht enthält ein DomainKeys Identified Mail-Signature-Header-Feld, das die folgenden Informationen enthält:
Der Domainname des Absenders
Ein Selektor für den DKIM-Schlüssel, der zum Signieren der Nachricht verwendet wird (z. B. "dkim" oder "20170914")
Der verwendete Signaturalgorithmus (z. B. "rsa-sha256")
Eine kryptografische Signatur, die mit dem privaten Schlüssel des Absenders erstellt wird
Wenn eine Nachricht empfangen wird, kann der empfangende Mailserver die Informationen im DKIM-Signatur-Headerfeld verwenden, um die Authentizität der Nachricht zu überprüfen. Zu diesem Zweck muss er den öffentlichen Schlüssel, der dem Selektor und der Absenderdomäne entspricht, aus einem DNS-Eintrag (einem so genannten TXT-Eintrag) abrufen. Sobald er den öffentlichen Schlüssel hat, kann er ihn verwenden, um die Signatur der Nachricht zu überprüfen und sicherzustellen, dass die Nachricht nicht verfälscht wurde.
Warum DKIM verwenden?
DKIM ist ein wichtiges Instrument zur Bekämpfung von E-Mail-Spoofing. Dabei handelt es sich um eine Art von Cyberangriff, bei dem E-Mails versendet werden, die scheinbar von einem legitimen Absender stammen, in Wirklichkeit aber von einer anderen Quelle. E-Mail-Spoofing kann für eine Vielzahl von böswilligen Zwecken wie Phishing-Angriffe oder die Verbreitung von Malware genutzt werden.
DomainKeys Identified Mail kann dazu beitragen, die Empfänger vor E-Mail-Spoofing-Angriffen zu schützen, indem die Authentizität jeder E-Mail-Nachricht überprüft wird. Durch die Überprüfung, dass jede Nachricht nicht manipuliert wurde und dass sie von der Domäne des angeblichen Absenders stammt, kann DKIM dazu beitragen, dass Empfänger nicht durch gefälschte E-Mails getäuscht werden.
DKIM schützt die Empfänger nicht nur vor E-Mail-Spoofing, sondern kann auch dazu beitragen, die Zustellbarkeit von E-Mails in einem Unternehmen zu verbessern. Dies liegt daran, dass viele ESPs DomainKeys Identified Mail verwenden, um zu überprüfen
Die Felder im DKIM-Signatur-Header sind wie folgt definiert:
Tag
Beschreibung
V
Version. Die aktuelle Version ist 1.
a
Der verwendete Signaturalgorithmus. In diesem Dokument wird nur der Algorithmus rsa-sha256 definiert.
c
Der/die verwendete(n) Algorithmus(e) zur Kanonisierung von Unterschriften. In diesem Dokument werden zwei Algorithmen zur Kanonisierung von Unterschriften definiert: "simple" und "relaxed".
d
Die Domäne des Unterzeichners. Die Domäne des Absenders der Nachricht.
s
Der Selektor. Eine Zeichenfolge, die den mit der signierenden Domäne verbundenen DomainKeys Identified Mail Public Key Record identifiziert.
t
Zeitstempel der Signatur. Der Zeitstempel der Signatur ist die Anzahl der Sekunden seit dem 1. Januar 1970, in denen die Signatur berechnet wurde.
bh
Der Body-Hash. Ein Hash des Nachrichtentextes.
h
Das Signatur-Header-Feld. Eine durch Doppelpunkte getrennte Liste, die die Header-Felder angibt, die dem Signieralgorithmus vorgelegt werden.
i
Die Identität der Signatur. Eine Zeichenfolge wird verwendet, um den Umfang der Kontrolle anzugeben, die der Unterzeichner über die Nachricht hat. (Dies kann z. B. von einem Unternehmensnutzer verwendet werden, um zu versichern, dass er im Rahmen seiner arbeitsrechtlichen Rechte und Pflichten handelt).
z
Das Feld für die hinteren Kopfzeilen der Signatur. Eine durch Doppelpunkte getrennte Liste, die die Header-Felder angibt, die nach der Signatur erscheinen, d. h. die nachgestellten Header der Signatur.
b
Die Signaturdaten. Eine Unterschrift wird mit dem in der Spalte "aTag".
x
Ein Zeitstempel für den Ablauf der Signatur. Der Ablauf der Signatur
Zusammenfassend lässt sich sagen, dass der DKIM-Signatur-Header verwendet wird, um Nachrichten für die DKIM-Verifizierung zu signieren. Der Header enthält die Version von DomainKeys Identified Mail, die verwendet wird, den Algorithmus, der zur Erzeugung des Hashes verwendet wird, die Kanonisierungsposition für die sendende Domain, den Selektor für den öffentlichen DKIM-Schlüssel, die E-Mail-Domain, die die Nachricht signiert hat, die Identität des Unterzeichners, den Wert eines Body-Hashes und die kryptografische Signatur aller vorhergehenden Informationen.
DKIM-Prüfung
Bei der DKIM-Überprüfung wird zunächst sichergestellt, dass die Versionsnummer der DomainKeys Identified Mail-Spezifikation entspricht, die Identität der Absenderdomäne mit der in der Signatur festgelegten Domäne übereinstimmt und die "h=" Tag enthält das From-Header-Feld. Wenn diese alle überprüft werden, versucht der Empfängerserver, den öffentlichen Schlüssel für die sendende Domäne mithilfe des "d=" und "s=" Tags.
Der öffentliche Schlüssel wird verwendet, um den verschlüsselten Hash zu entschlüsseln, der zusammen mit der Nachricht gesendet wurde. Der empfangende Mailserver berechnet dann seinen eigenen Hash der Nachricht. Wenn die beiden Hashes übereinstimmen, wird die Nachricht durchgelassen.
Verhindert DKIM Spoofing?
DKIM allein kann Spoofing nicht verhindern. DKIM und DMARC arbeiten zusammen, um Spoofing zu verhindern. DomainKeys Identified Mail verwendet Public-Key-Kryptographie, um Nachrichten mit einem privaten Schlüssel zu signieren. Die Signatur wird dann mit einem öffentlichen Schlüssel verifiziert, der aus den DNS-Einträgen des Nachrichtenabsenders abgerufen wird. Auf diese Weise wird sichergestellt, dass nur der Besitzer des privaten Schlüssels Nachrichten versenden kann, die von der Domäne des Nachrichtenabsenders zu stammen scheinen. DMARC verwendet die Ergebnisse der DKIM- und SPF-Prüfungen, um festzustellen, ob eine Nachricht zugestellt werden soll oder nicht. Wenn DKIM oder SPF fehlschlagen, kann DMARC den empfangenden Mailserver anweisen, die Nachricht zurückzuweisen, in Quarantäne zu stellen oder zuzustellen.
Die Rolle von DKIM bei der Zustellbarkeit
Der Hauptvorteil der Verwendung von DomainKeys Identified Mail besteht darin, dass Sie Ihre E-Mails authentifizieren können. Durch die Authentifizierung Ihrer E-Mail teilen Sie Ihren Empfängern mit, dass die Nachricht von Ihnen und nicht von einer anderen Person stammt. Dies ist wichtig, weil es dazu beiträgt, die Zustellbarkeit Ihrer E-Mails zu verbessern.
Wenn Ihre E-Mail authentifiziert ist, ist es wahrscheinlicher, dass sie in den Posteingang und nicht in den Spam-Ordner zugestellt wird. Dies liegt daran, dass die Authentifizierung einer der Faktoren ist, anhand derer Internetdienstanbieter entscheiden, ob eine E-Mail an den Posteingang zugestellt werden soll oder nicht.
Ein weiterer Vorteil der Verwendung von DomainKeys Identified Mail ist, dass sie Ihnen helfen kann, Spam-Filter zu umgehen. Denn viele Spam-Filter verwenden DomainKeys Identified Mail, um festzustellen, ob eine E-Mail Spam ist oder nicht. Wenn eine E-Mail nicht authentifiziert ist, wird sie mit größerer Wahrscheinlichkeit als Spam markiert.
Schließlich kann die Verwendung von DKIM Ihnen helfen, einen besseren Ruf bei Internetdienstleistern aufzubauen. Denn Internetdienstanbieter verwenden DKIM häufig, um den Ruf des Absenders zu ermitteln.
Zusammenhang zwischen SPF, DKIM und DMARC
SPF und DMARC werden zur Authentifizierung von E-Mail-Absendern verwendet. DKIM wird für die Authentifizierung von E-Mail-Nachrichten verwendet.
SPF überprüft die IP-Adresse des Absenders, um sicherzustellen, dass sie mit der IP-Adresse übereinstimmt, die berechtigt ist, E-Mails an die Domäne des Absenders zu senden.
DKIM verwendet kryptografische Signaturen, um E-Mail-Nachrichten zu authentifizieren. Die Signatur wird in die Kopfzeile der Nachricht eingefügt. Der Empfänger kann anhand der Signatur überprüfen, ob die Nachricht während der Übertragung nicht verändert wurde und ob sie von einem autorisierten Absender stammt.
DMARC prüft die SPF- und DomainKeys Identified Mail-Authentifizierungsergebnisse für eine Nachricht und bestimmt auf der Grundlage der konfigurierten Richtlinien des Absenders, ob die Nachricht zugestellt, unter Quarantäne gestellt oder zurückgewiesen werden soll.
Wie man einen DKIM-Schlüssel einrichtet
Die Einrichtung für DomainKeys Identified Mail ist gleich, unabhängig davon, welchen ESP oder Mailserver Sie verwenden. Sie benötigen einen sicher gespeicherten privaten Schlüssel und müssen den öffentlichen Schlüssel in den DNS-Einträgen Ihrer Domäne freigeben. Wie SPF verwendet auch DKIM DNS-TXT-Einträge mit einem speziellen Format.
Es gilt allgemein als beste Praxis, die DKIM-Schlüssel regelmäßig zu wechseln. Der DKIM-Standard empfiehlt, die Schlüssel vierteljährlich zu erneuern, und empfiehlt außerdem, alte DKIM-Schlüssel als Teil des Rotationsprozesses zu widerrufen. Am einfachsten lässt sich dies bewerkstelligen, indem man neue Schlüssel hinzufügt und alte ein paar Tage später aus den DNS-Einträgen entfernt. Skysnag ist einer der wenigen ESPs, der dies einfach handhabt, indem er Ihren alten privaten Schlüssel aktiv hält, während Ihr neuer öffentlicher Schlüssel propagiert wird.
Der beste Weg, die E-Mails Ihrer Domain zu schützen, ist die Verwendung von DomainKeys Identified Mail in Kombination mit SPF und DMARC. Weitere Informationen darüber, wie diese Protokolle zusammenarbeiten, um Ihre Domain zu schützen, finden Sie in unseren anderen Leitfäden.
Schlussfolgerung
Die automatisierte DKIM-Lösung von Skysnag hilft Ihnen, Ihre DKIM-Einträge zu inspizieren und zu verifizieren und gleichzeitig die Herkunft und den Inhalt von E-Mail-Nachrichten zu untersuchen, um die Menge an Spam, Phishing und anderen schädlichen E-Mails zu reduzieren. In Verbindung damit stellt die automatische Software von Skysnag sicher, dass Ihre DKIM-Einträge korrekt konfiguriert sind. Starten Sie mit Skysnag und melden Sie sich noch heute für eine kostenlose Testversion an
Überprüfen Sie die DMARC-Sicherheitskonformität Ihrer Domain
Durchsetzung von DMARC, SPF und DKIM in Tagen - nicht Monaten
Skysnag hilft vielbeschäftigten Technikern bei der Durchsetzung von DMARC, reagiert auf Fehlkonfigurationen bei SPF oder DKIM, was die Zustellbarkeit von E-Mails erhöht, und verhindert E-Mail-Spoofing und Identitätsnachahmung.
