DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen.  Es ist eine Form der E-Mail-Authentifizierung , die es einer Organisation ermöglicht, die Verantwortung für eine Nachricht auf eine Weise zu übernehmen, die vom Empfänger validiert werden kann.

Genauer gesagt verwendet es einen Ansatz namens „Public Key Kryptographie“, um zu überprüfen, dass eine E-Mail-Nachricht von einem autorisierten Mail-Server gesendet wurde, um Fälschungen zu erkennen und die Zustellung schädlicher E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll zum Versenden von E-Mails, da es selbst keine Authentifizierungsmechanismen enthält.

Wie funktioniert es?

Es funktioniert, indem eine digitale Signatur zu den Kopfzeilen einer E-Mail-Nachricht hinzugefügt wird. Diese Signatur kann mit einem öffentlichen kryptografischen Schlüssel in den DNS-Einträgen der Organisation validiert werden. Ganz allgemein funktioniert der Prozess so:

Ein Domain-Inhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Eintrag in den gesamten DNS-Einträgen der Domain.

Wenn eine E-Mail-Nachricht von einem ausgehenden Mail-Server gesendet wird, generiert der Server eine einzigartige DKIM-Signatur-Kopfzeile und fügt sie der Nachricht hinzu. Diese Kopfzeile enthält zwei kryptografische Hashes, einen von bestimmten Kopfzeilen und einen vom Nachrichtenkörper (oder einem Teil davon). Die Kopfzeile enthält Informationen darüber, wie die Signatur generiert wurde.

Wenn ein eingehender Mail-Server eine ankommende E-Mail erhält, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und mit einer frisch berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann die Nachricht als authentisch und unverändert während der Übertragung nachgewiesen werden.

Was ist eine DKIM-Signatur?

Eine DKIM-Signatur ist eine Kopfzeile, die E-Mail-Nachrichten hinzugefügt wird. Die Kopfzeile enthält Werte, die es einem empfangenden Mail-Server ermöglichen, die E-Mail-Nachricht zu validieren, indem er den DKIM-Schlüssel des Absenders nachschlägt und ihn verwendet, um die verschlüsselte Signatur zu überprüfen. Es sieht ungefähr so aus:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Eine DKIM-Signatur-Kopfzeile enthält viele Informationen, da sie für die automatisierte Verarbeitung gedacht ist. Wie Sie in diesem Beispiel sehen können, enthält die Kopfzeile eine Liste von Tag=Wert-Teilen. Wichtige Tags sind „d=“ für die signierende Domain, „b=“ für die tatsächliche digitale Signatur und „bh=“ für einen Hash, der durch eine Neuberechnung mit dem öffentlichen Schlüssel des Absenders verifiziert werden kann.

Signaturen sind per Definition von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente sind in jeder DKIM-Signatur-Kopfzeile vorhanden.

Wie ist es mit SPF, DMARC oder anderen Standards verbunden?

DKIM, SPF und DMARC sind alles Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie befassen sich mit ergänzenden Themen.

• SPF ermöglicht es Absendern, zu definieren, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.

• DKIM stellt einen Verschlüsselungsschlüssel und eine digitale Signatur bereit, die verifiziert, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.

• DMARC vereint die Authentifizierungsmechanismen von SPF und DKIM in einem gemeinsamen Rahmen und ermöglicht es Domain-Inhabern, festzulegen, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.

Brauche ich DKIM?

Wenn Sie als Unternehmen kommerzielle oder Transaktions-E-Mails versenden, müssen Sie definitiv eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Eine korrekte Konfiguration der E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. Allerdings reicht es alleine nicht aus; SparkPost und andere E-Mail-Experten empfehlen auch, SPF und DMARC zu implementieren, um eine umfassendere E-Mail-Authentifizierungsrichtlinie festzulegen.