Was ist DKIM?
DKIM (DomainKeys Identified Mail) ist ein Verfahren, bei dem Domainnamen mit E-Mail-Adressen assoziiert werden. Dadurch kann die Authentizität von E-Mail-Absendern validiert werden.
DKIM basiert auf asymmetrischer Verschlüsselung. Der absendende E-Mail-Server erzeugt einen E-Mail-Header mit einer kryptografischen Signatur des Nachrichteninhalts, der empfangende Server verifiziert diesen Hash mit Hilfe eines im DNS der Domain hinterlegten PublicKey. Stimmen der selbst errechnete und der in der Signatur der E-Mail enthaltene Hash überein, kann davon ausgegangen werden, dass die Nachricht vom echten Absender stammt. Zusätzlich kann man in diesem Fall davon ausgehen, dass zumindest der Nachrichtentext unverändert an den Empfänger übergeben wurde.
Die hosting.de-Mailserver signieren alle Nachrichten standardmäßig unter der Domain “mailerdienst.de”.
Die vollständige Dokumentation zu DKIM finden Sie auf opendkim.org.
Was DKIM beweist und was nicht
DKIM (DomainKeys Identified Mail) lässt ein empfangendes E-Mail-System zwei Sachen bei einer E-Mail-Nachricht überprüfen: Wer hat sie unterschrieben und ob der Inhalt der Nachricht während der Übertragung verändert wurde. Das sendende System fügt den Nachrichten-Headern eine DKIM-Signatur hinzu. Das empfangende System ruft dann den öffentlichen Schlüssel aus dem DNS ab und überprüft, ob die Signatur mit dem Inhalt der Nachricht übereinstimmt. Wenn ja, kann der Empfänger darauf vertrauen, dass der Nachrichtentext und die relevanten Header nach der Signierung nicht verändert wurden.
Es ist wichtig, die Erwartungen richtig zu setzen. DKIM verschlüsselt E-Mails nicht. Nachrichten können weiterhin von Zwischenstellen gelesen werden, es sei denn, es wird eine separate Verschlüsselung verwendet (z. B. TLS während der Übertragung oder End-to-End-Verschlüsselung). DKIM garantiert auch nicht, dass der für Menschen lesbare „Von"-Name an sich vertrauenswürdig ist; es überprüft kryptografische Signaturen, nicht die Absicht des Benutzers. Schließlich verhindert DKIM allein nicht alle Spoofing-Szenarien; seine Stärke steigt deutlich, wenn es mit DMARC kombiniert wird, das definiert, was passieren soll, wenn die Authentifizierung fehlschlägt, und eine Übereinstimmung mit der sichtbaren Absenderdomain erfordert.
DKIM, SPF und DMARC: Wie sie zusammenarbeiten
DKIM ist ein Teil der modernen E-Mail-Authentifizierung. Die meisten Unternehmen setzen DKIM zusammen mit SPF und DMARC ein, weil jeder Mechanismus verschiedene Aspekte der Vertrauenswürdigkeit und Durchsetzung abdeckt.
- SPF überprüft, ob der sendende Server berechtigt ist, im Namen einer Domain zu senden, indem es die sendende IP-Adresse anhand einer in DNS veröffentlichten Richtlinie überprüft.
- DKIM überprüft, ob die Nachricht von einer Domain signiert wurde, die einen passenden öffentlichen Schlüssel in DNS veröffentlicht, und ob der Inhalt der Nachricht nach der Signierung unverändert geblieben ist.
- DMARC verknüpft diese Signale mit der sichtbaren „Von"-Domäne und legt eine Durchsetzungsrichtlinie fest (z. B. überwachen, unter Quarantäne stellen oder ablehnen), wenn die Authentifizierung fehlschlägt.
In der Praxis bedeutet das: SPF überprüft den Sendepfad, DKIM überprüft die Integrität der Nachricht und die Verantwortung für die Signatur, und DMARC legt die Ausrichtung und Durchsetzung fest. Die Verwendung von DKIM ohne DMARC verbessert oft die Zustellbarkeit, bietet aber keine einheitliche Durchsetzungsstrategie für Empfänger. Die Verwendung aller drei sorgt für eine umfassendere Authentifizierung und macht es schwieriger, ihre Domain für Spoofing oder Phishing zu missbrauchen.
DKIM-Ausrichtung und warum Ihre „Signaturdomain" wichtig ist
Eine häufige Quelle für Verwirrung ist, dass die für die DKIM-Signatur verwendete Domain (der Wert „d=" in der DKIM-Signatur) nicht immer mit der Domain übereinstimmt, die in der sichtbaren „Von"-Adresse angezeigt wird. Im Kontext des Artikels können Nachrichten standardmäßig mit einer anderen Domain signiert werden (z. B. einer vom Mailsystem verwendeten Servicedomain). Das ist an sich nicht „falsch", aber es ist wichtig, die Auswirkungen auf die Zustellbarkeit und die Richtlinien zu verstehen.
Die Übereinstimmung ist am wichtigsten, wenn DMARC verwendet wird. DMARC erwartet, dass entweder SPF oder DKIM mit der Domain im „Von"-Header übereinstimmt. Übereinstimmung bedeutet, dass die authentifizierte Domain mit der sichtbaren Absenderdomain übereinstimmt (oder eng mit ihr verbunden ist). Wenn Ihre E-Mails unter einer anderen Signaturdomain signiert sind, kann DKIM zwar weiterhin validieren, aber die DMARC-Übereinstimmung kann je nach Konfiguration und den Überprüfungen des Empfängers fehlschlagen. Die praktische Auswirkung kann eine erhöhte Spam-Platzierung oder Ablehnung bei strengeren Empfängern sein, sobald DMARC-Durchsetzung zum Einsatz kommt.
Für eine konsistente Authentifizierung sollte die DKIM-Signatur idealerweise mit der Domain übereinstimmen, von der gesendet wird, vor allem bei geschäftskritischen E-Mails und Domains mit DMARC-Richtlinien.
So überprüfen Sie, ob DKIM aktiv ist (einfache Überprüfungsschritte)
Sie können die DKIM-Funktion überprüfen, indem Sie eine gesendete E-Mail überprüfen und ihren Header kontrollieren. Dies ist die direkteste und zuverlässigste Überprüfungsmethode, da sie bestätigt, was der Empfänger tatsächlich erhalten hat.
Empfohlene Überprüfungsschritte:
- Schicken Sie eine Test-E-Mail von Ihrer Domain an eine Mailbox, auf die Sie Zugriff haben.
- Öffnen Sie die Nachricht und zeigen Sie den vollständigen Header an (Mail-Clients bieten in der Regel die Option „Original anzeigen" oder „Header anzeigen").
- Suchen Sie nach einem Header namens DKIM-Signature. Dieser zeigt an, dass die Nachricht signiert wurde.
- Suchen Sie nach Authentication-Results und überprüfen Sie das DKIM-Ergebnis:
- Sie sollten ein DKIM-Ergebnis wie pass (oder einen gleichwertigen Erfolgsstatus) sehen.
- Überprüfen Sie, welche Domain zum Signieren der Nachricht verwendet wurde (die DKIM-Signatur enthält ein Feld „d=").
Wenn DKIM erfolgreich ist, Sie aber immer noch Probleme mit der Zustellbarkeit haben, ist der nächste Schritt normalerweise nicht „mehr DKIM". Es geht darum, die Erwartungen an die Ausrichtung zu bestätigen (besonders wenn DMARC konfiguriert ist) und sicherzustellen, dass SPF und DMARC mit der tatsächlichen Art und Weise, wie E-Mails gesendet werden, übereinstimmen.