DKIM, kurz für DomainKeys Identified Mail, ist eine Methode zur Authentifizierung von E-Mails. Dieses Verfahren ermöglicht es, dass der Empfänger überprüfen kann, ob eine E-Mail tatsächlich von dem in der Nachricht angegebenen Absender stammt und während des Transports nicht verändert wurde. Die Überprüfung des DKIM-Eintrags durch den Empfänger erfolgt anhand einer kryptografischen Authentifizierung.
Beim Versenden einer Nachricht wird dem Nachrichtenkopf (Header) der E-Mail vom absendenden Mailserver anhand des privaten Schlüssels automatisch eine DKIM-Signatur hinzugefügt, die einen Hash-Wert des Nachrichteninhalts sowie der Headerinformationen (FROM, Datum, Betreff, Reply-To, Absender, Empfänger, usw.) enthält. Dabei ist wichtig, dass Felder bei der Übertragung unverändert bleiben, da die DKIM-Authentifizierung ansonsten fehlschlägt. Wenn der empfangende Mailserver DKIM unterstützt und eingehende Nachrichten danach durchsucht, dann wird er folgendermaßen reagieren:
Wie ein Mailserver reagiert, wenn er eine ungültige Signatur entdeckt, hängt von der Konfiguration des empfangenden Mailservers bzw. vom DMARC-Eintrag der absendenden Domain ab.
DKIM können Sie mit EuropeanMX nur verwenden, wenn Sie den ausgehenden Filter für Ihre Domain verwenden!
Zusätzlich zum Inhalt Ihrer Nachricht werden die folgenden Headerinformationen von uns signiert:
Die Verwendung von DKIM für Ihre ausgehende Nachrichten bietet verschiedene Vorteile, z. B.:
Versucht ein Spammer Ihre Domain oder Ihre E-Mail-Adresse für die Zusendung seiner Nachrichten zu missbrauchen, dann verringert DKIM die Chance, dass die Nachricht auch tatsächlich beim Empfänger ankommt. Eingehende Nachrichten werden von den meisten Maildiensten (wie z.B. Yahoo!, GMail, Web.de) auf eine gültige DKIM-Signatur überprüft.
DKIM und SPF arbeiten zusammen, um die Sicherheit von E-Mails zu gewährleisten, indem sie das Abfangen und Verfälschen von Nachrichten verhindern. Beide sind Bestandteile von DMARC (Domain-based Message Authentication, Reporting, and Conformance), erfüllen aber unterschiedliche Funktionen. DKIM stellt sicher, dass die Daten in einer E-Mail nicht von Dritten manipuliert wurden. SPF hingegen verhindert E-Mail-Spoofing durch Überprüfung der Absenderdomain.
Ein SPF-Eintrag wird durch einen TXT-Eintrag im DNS der Domain konfiguriert, ähnlich wie bei DKIM. Dieser Eintrag listet alle E-Mail-Server auf, die berechtigt sind, E-Mails im Namen der Domain zu versenden. Falls ein Angreifer versucht, gefälschte E-Mail-Header zu verwenden, ermöglicht der SPF-Eintrag dem E-Mail-Server des Empfängers, solche betrügerischen Nachrichten zu erkennen und zu blockieren, bevor sie den Posteingang erreichen.
Während SPF dafür sorgt, dass gefälschte E-Mails nicht zugestellt werden, kann es nicht verhindern, dass ein Angreifer eine Nachricht verfälscht. Ohne DKIM könnte ein Angreifer eine E-Mail abfangen und den Inhalt ändern, bevor sie den Empfänger erreicht. DKIM ergänzt SPF, indem es die Authentizität des Absenders bestätigt und sicherstellt, dass die Nachricht während der Übertragung unverändert bleibt.
Gemeinsam erhöhen DKIM und SPF die Sicherheit des E-Mail-Systems. Da E-Mails das Hauptkommunikationsmittel im Internet sind, waren sie lange Zeit ein leichtes Ziel für Angreifer, die Identitäten und Zugangsdaten stehlen wollten. Mit DKIM und SPF stehen nun effektive Sicherheitsstrategien zur Verfügung, die Teil der DMARC-Richtlinien sind.
DMARC definiert zudem, wie mit Nachrichten verfahren wird, die die Validierung nicht bestehen. Große Unternehmen können DMARC-Richtlinien so konfigurieren, dass verdächtige Nachrichten in Quarantäne gehalten werden, bis ein Administrator sie überprüft hat. Legitime Nachrichten, die fälschlicherweise in Quarantäne geraten sind, können dann freigegeben werden, um sicherzustellen, dass wichtige Kommunikation nicht verloren geht oder gelöscht wird. Nach ausreichendem Testen der Sicherheitsregeln kann DMARC so eingestellt werden, dass Nachrichten, die die DKIM- oder SPF-Prüfung nicht bestehen, automatisch gelöscht oder abgewiesen werden.
DKIM, SPF und DMARC werden oft fälschlicherweise als austauschbar betrachtet, obwohl sie unterschiedliche, sich ergänzende Methoden zur Verbesserung der E-Mail-Sicherheit darstellen. DMARC fungiert dabei als Regelwerk, das festlegt, wie mit E-Mails zu verfahren ist, die die DKIM- und SPF-Prüfungen nicht bestehen.
DMARC bietet drei Handlungsoptionen für den Fall einer nicht bestandenen DKIM-Überprüfung: Quarantäne, Ablehnung und Keine Aktion. Der DMARC-Prozess entscheidet, welche dieser Optionen angewendet wird, basierend auf den Einstellungen des E-Mail-Administrators, der die DMARC-Richtlinien konfiguriert.
Die "Keine Aktion"-Option bedeutet, dass die Nachricht trotz des Validierungsfehlers in den Posteingang zugestellt wird. Diese Einstellung wird oft von Sicherheitsadministratoren verwendet, die verdächtige Nachrichten überprüfen müssen.
Viele Administratoren bevorzugen die Quarantäne-Option für E-Mails, die die Validierung nicht bestehen. Solche Nachrichten werden in einem sicheren Bereich gesammelt, auf den normale Benutzer keinen Zugriff haben, und können später vom Administrator geprüft werden. Diese Überprüfung hilft festzustellen, ob das Unternehmen Ziel von Phishing-Angriffen ist oder ob die SPF- und DKIM-Einstellungen falsch konfiguriert sind. Falls das E-Mail-System Künstliche Intelligenz (KI) verwendet, kann der Administrator durch die manuelle Prüfung die KI weiter trainieren und verbessern.
Wenn DMARC auf Ablehnung eingestellt ist, werden E-Mails, die die DKIM-Validierung nicht bestehen, vom Server abgewiesen und nicht zugestellt. Diese Vorgehensweise ist auf öffentlichen E-Mail-Diensten wie Gmail üblich, wo Millionen von E-Mails, die die SPF- und DKIM-Prüfungen nicht bestehen, abgelehnt werden, um Benutzer vor Phishing, Hacking und anderen Identitätsdiebstahlversuchen zu schützen.
Eine Anleitung wie Sie sich in das Admin-Panel von EuropeanMX einloggen können, finden Sie in unserem FAQ-Artikel "Wie kann ich mich in das Admin-Panel (Webinterface des Filters) einloggen?".
Damit der öffentliche Schlüssel nun vom empfangenden Mailserver abgerufen werden kann, muss dieser in den DNS-Einstellungen Ihrer Domain propagiert werden. Gemäß unserem Beispiel muss der Eintrag dann wie folgt aussehen:
test._domainkey.example.com IN TXT v=DKIM1; g=*; k=rsa; p=[public key in one line];
Der Eintrag muss als TXT-Record erfolgen. Ersetzen Sie "test" durch den Namen des Selektors aus Schritt 2 sowie "public key in one line" durch den öffentlichen Schlüssel, den Sie zurvor generiert haben.
Nachdem der Schlüssel nun von empfangenden Mailservern abgerufen werden kann, muss noch der ausgehende Benutzer im Webinterface mit dem DKIM-Selektor verknüpft werden.
Sobald der Benutzer mit dem DKIM-Selektor verknüpft wurde, wird im Header jeder ausgehendenden Nachricht, die mit diesem Benutzer authentifiziert wurde, die DKIM-Signatur hinzugefügt (vorausgesetzt, Sie verwenden kein eigenes DKIM-Zertifikat). Der empfangende Mailserver kann anhand des öffentlichen Schlüssels die Signatur dekodieren und die Echtheit bestätigen.