Email Häufige Fragen

Was bedeutet DKIM und wie funktioniert es?

DKIM steht für Domain Key Identified Mail und ist im RFC 4871 (früher unter dem Namen Yahoo Domain Keys) spezifiziert. DKIM sichert Emailempfänger dahingehend ab, dass der versendende Server alle ausgehenden Emails mit einer eindeutigen Signatur versieht. Auf diese Weise kann ein Empfänger sicherstellen, dass die erhaltene Email tatsächlich vom vorgegebenen Empfänger stammt.

Ursprünglich für den Einsatz gegen die Spam-Flut entwickelt ist DKIM im Einsatz gegen Phishing noch wesentlich erfolgreicher. Während Spamversender sich nicht immer hinter gefälschten Absenderdaten verstecken, ist es bei Phishing gerade das Prinzip unter gefälschten Absenderdaten zu versenden, schließlich soll die Mail so aussehen, als käme Sie von einer Bank oder einer anderen öffentlichen Institution.

Auch viele Jahre nach der Einführung von PGP, einem Ende-zu-Ende Verschlüsselungsverfahren für Emails, ist dieses oder ähnliche Verfahren unter den Nutzern wenig verbreitet. Bei guten Emailprogrammen ist die mögliche Verschlüsselung und Signatur nur einen oder wenige Klicks entfernt - dennoch nimmt die Verbreitung nicht zu. Auch Vorstöße einzelner Unternehmen oder Gruppen sorgten nur für eine geringe Verbreitung von signiertem und/oder verschlüsseltem Emailverkehr. Für Serverbetreiber wie die Profi Webspace UG bleibt so lediglich die Möglichkeit zumindest zu garantieren, dass eine Email tatsächlich von unseren Systemen versendet wurde, und nicht mit gefälschten Absenderdaten unterwegs ist.

Was passiert beim Einsatz von DKIM?

Nachdem eine Email vom Sender per Emailprogramm oder Webmailer versendet wurde, wird diese durch den sendenden Mailserver verarbetiet. Dieser sucht den Empfänger-Server und leitet diesem die Email weiter. Beim Einsatz von DKIM wird zuvor allerdings im Mailheader ein zusätzliches Feld mit einer DKIM-Signatur eingefügt, welche vom End-Empfänger gegengeprüft werden kann. Eine DKIM-Signatur sieht in der Praxis z.B. so aus:

DKIMSignature: v=1;
a=rsasha256;
c=relaxed/simple;
d=domain.de;
h=date:messageid:contenttype:mimeversion:subject:replyto:from:received:received:received:xvirusscanned;
s=main;
t=1286749000;
bh=1eEgKsQyhJAUUhPhvdk76gajjHHJKJjsfh661fsjhIk=;
b=EAzkzKEQ1GejNT9xOwYsiLePUlYDtJlhCuq6stR5N8DqP
v7+WnaKtp3KFQECgYEAp1TTVWzIS79qADLEUHiIP8mwGbUY
wq64aqYzpjQIm2nKDmNPEHSd/v+yqli=

Die Signatur wird mittels eiens privaten Schlüssels erzeugt, welcher pro Domain auf dem sendenden Mailserver hinterlegt ist. Der zum privaten Schlüssel gehörende Public-Key ist über einen DNS-Eintrag der sendenden Domain im Internet verfügbar und kann vom empfangenden Mailserver abgefragt werden. Mit hilfe dieses Publik-Keys wiederum kann der empfangende Server die Signatur prüfen und dadurch sicherstellen, dass diese Email wirklich von dem vorgegebenen Absender kommt.

Warum DKIM statt anderen Lösungen?

Neben DKIM gibt es auch SPF (Sender Policy Framework), welches jedoch den entscheidenden Nachteil hat, dass eine weitergeleitete Mail nicht mehr dem ursprünglichen Sender zuzuordnen ist, sondern dem weiterleitenden Server. Dadurch wird ein Empfänger diese als gefälscht erkennen und als Spam einsortieren, oder sogar ganz verwerfen. DKIM umgeht dieses Problem, da ein öffentlicher Schlüssel pro Domain angelegt wird und nicht nur für den sendenden Server und dieser Domainname ebenfalls in der Email zusammen mit der Signatur abgelegt wird. So können Empfänger immer gezielt den DNS-Eintrag der passenden Domain prüfen, egal wieviele Weiterleitungen dazwischen lagen.

Wie kann ich DKIM aktivieren?

DKIM ist bei allen unseren Kunden bei allen Domains standardmäßig aktiviert. Voraussetzung ist allerdings, dass der Emailversand über unsere Mailserver läuft, da ansonsten die Emails nicht signiert werden können. Weiterhin müssen die Domains über uns registriert sein - d.h. Emails für Postfächer von extern aufgeschalteten Domains werden nicht DKIM signiert (auch nicht, wenn deren Mailversand über unsere Mailserver läuft). Um zu Prüfen, ob die von Ihnen versendeten Emails tatsächlich DKIM-signiert sind, können Sie den DKIM-Validator nutzen.

Nur noch DKIM signierte Mails empfangen?

Über einen weiteren DNS-Eintrag ist es auch möglich einen empfangenden Server generell anzuweisen nur noch signierte Emails dieser Domain anzunehmen. Diese Funktion ist bei uns nicht generell aktiviert, da dies eventuell zu unerwünschten Nichtzustellungen führt. Natürlich muss der empfangende Server DKIM und die entsprechende Erweiterung (ADSP, Author Domain Signing Praxis) unterstützen, welche dem Empfänger eine Information gibt, wie generell mit den Signaturen einer Domain umgegangen werden soll. Über einen speziellen DNS-Eintrag ist es auf diese Wiese möglich, unsignierte Emails generell als invalide zu erklären. Der entsprechende DNS-Eintrag lautet:

_adsp._domainkey.example.com IN TXT „dkim=all“

Legen Sie hierfür bei der betroffenen Domain einen neuen DNS-Eintrag an uns stellen Sie die folgenden Werte ein: Typ: TXT, Name: _adsp._domainkey, Inhalt: dkim=all, TTL z.B. 3600.

Zurück