DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der hilft, E-Mail-Absender und Empfänger vor Spam, Spoofing und Phishing zu schützen. Es ist eine Form der E-Mail-Authentifizierung , die es einer Organisation ermöglicht, die Verantwortung für eine Nachricht in einer Weise zu übernehmen, die vom Empfänger validiert werden kann.

Insbesondere verwendet es einen Ansatz, der als „Public Key Cryptography“ bekannt ist, um zu überprüfen, dass eine E-Mail-Nachricht von einem autorisierten Mailserver gesendet wurde, um Fälschungen zu erkennen und die Zustellung von schädlichen E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll zum Senden von E-Mails, da es selbst keine Authentifizierungsmechanismen enthält.

Wie funktioniert es?

Es funktioniert, indem es den Kopfzeilen einer E-Mail-Nachricht eine digitale Signatur hinzufügt. Diese Signatur kann gegen einen öffentlichen kryptografischen Schlüssel in den DNS-Einträgen der Organisation validiert werden. Im Allgemeinen funktioniert der Prozess so:

Ein Domaininhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Eintrag in den gesamten DNS-Einträgen der Domain.

Wenn eine Mailnachricht von einem ausgehenden Mailserver gesendet wird, generiert der Server eine einzigartige DKIM-Signaturkopfzeile und fügt sie der Nachricht hinzu. Diese Kopfzeile enthält zwei kryptografische Hashes, einer von spezifizierten Kopfzeilen und einer vom Nachrichtenkörper (oder einem Teil davon). Die Kopfzeile enthält Informationen darüber, wie die Signatur generiert wurde.

Wenn ein eingehender Mailserver eine eingehende E-Mail empfängt, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und sie mit einer frisch berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann die Nachricht als authentisch und unverändert im Transit nachgewiesen werden.

Was ist eine DKIM-Signatur?

Eine DKIM-Signatur ist eine Kopfzeile, die E-Mail-Nachrichten hinzugefügt wird. Die Kopfzeile enthält Werte, die es einem empfangenden Mailserver ermöglichen, die E-Mail-Nachricht zu validieren, indem er den DKIM-Schlüssel des Absenders abruft und ihn zur Überprüfung der verschlüsselten Signatur verwendet. Es sieht ungefähr so aus:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Eine DKIM-Signaturkopfzeile enthält viele Informationen, da sie für die automatische Verarbeitung bestimmt ist. Wie in diesem Beispiel zu sehen ist, enthält die Kopfzeile eine Liste von tag=value-Teilen. Zu den bemerkenswerten Tags gehören „d=“ für die signierende Domain, „b=“ für die eigentliche digitale Signatur und „bh=“ für einen Hash, der verifiziert werden kann, indem er mit dem öffentlichen Schlüssel des Absenders neu berechnet wird.

Signaturen sind definitionsgemäß von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente werden in jeder DKIM-Signaturkopfzeile vorhanden sein.

Wie steht sie im Zusammenhang mit SPF, DMARC oder anderen Standards?

DKIM, SPF und DMARC sind alles Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie behandeln sich ergänzende Themen.

• SPF ermöglicht es Absendern, zu definieren, welche IP-Adressen für eine bestimmte Domain E-Mails senden dürfen.

• DKIM stellt einen Verschlüsselungsschlüssel und eine digitale Signatur bereit, die bestätigen, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.

• DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in ein gemeinsames Framework und ermöglicht es Domaininhabern zu erklären, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Authentifizierungstest nicht bestehen.

Brauche ich DKIM?

Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie definitiv eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Die ordnungsgemäße Konfiguration von E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte zur Verbesserung Ihrer Zustellbarkeit. Allerdings geht es alleine nur so weit; SparkPost und andere E-Mail-Experten empfehlen daher auch die Implementierung von SPF und DMARC, um eine vollständigere E-Mail-Authentifizierungsrichtlinie zu definieren.