DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der dazu beiträgt, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen.  Es ist eine Form der E-Mail-Authentifizierung , die es einer Organisation ermöglicht, die Verantwortung für eine Nachricht zu übernehmen, auf eine Weise, die vom Empfänger validiert werden kann.

Im Speziellen verwendet es einen Ansatz namens „öffentliche Schlüssel-Kryptografie“, um zu überprüfen, dass eine E-Mail-Nachricht von einem autorisierten Mail-Server gesendet wurde, um Fälschungen zu erkennen und die Zustellung von schädlichen E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll zum Versenden von E-Mails, da es keine Authentifizierungsmechanismen enthält.

Wie funktioniert es ?

Es funktioniert, indem eine digitale Signatur zu den Headern einer E-Mail-Nachricht hinzugefügt wird. Diese Signatur kann gegen einen öffentlichen kryptografischen Schlüssel in den DNS-Einträgen der Organisation validiert werden. Allgemein gesagt funktioniert der Prozess so:

Ein Domaininhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als ein speziell formatiertes TXT-Record in den Gesamt-DNS-Einträgen der Domain.

Wenn eine Mail-Nachricht von einem ausgehenden Mail-Server gesendet wird, generiert der Server einen einzigartigen DKIM-Signatur-Header für die Nachricht der Header umfasst zwei kryptografische Hashes, einen von den angegebenen Headern und einen vom Nachrichteninhalt (oder einem Teil davon). Der Header enthält Informationen darüber, wie die Signatur generiert wurde.

Wenn ein eingehender Mail-Server eine eingehende E-Mail erhält, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und mit einer frisch berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann bewiesen werden, dass die Nachricht echt und im Transit unverändert ist.

Was ist eine DKIM Signatur?

Eine DKIM-Signatur ist ein Header, der zu E-Mail-Nachrichten hinzugefügt wird. Der Header enthält Werte, die es einem empfangenden Mail-Server ermöglichen, die E-Mail-Nachricht zu validieren, indem er den DKIM-Schlüssel des Absenders nachschlägt und ihn verwendet, um die verschlüsselte Signatur zu überprüfen. Es sieht ungefähr so aus:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Ein DKIM-Signaturheader enthält viele Informationen, da er für die automatisierte Verarbeitung gedacht ist. Wie Sie in diesem Beispiel sehen können, enthält der Header eine Liste von Tag=Wert-Paaren. Bemerkenswerte Tags sind „d=“ für die Signaturdomäne, „b=“ für die tatsächliche digitale Signatur und „bh=“ für einen Hash, der durch Neuberechnung mit dem öffentlichen Schlüssel des Absenders verifiziert werden kann.

Signaturen sind definitionsgemäß von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente sind in jedem DKIM-Signaturheader vorhanden.

Wie steht es im Zusammenhang mit SPF, DMARC oder anderen Standards?

DKIM, SPF und DMARC sind alles Standards, die unterschiedliche Aspekte der E-Mail-Authentifizierung ermöglichen. Sie behandeln komplimentäre Probleme.

• SPF erlaubt Absendern zu definieren, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.

• DKIM bietet einen Verschlüsselungsschlüssel und eine digitale Signatur, die bestätigt, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.

• DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmen und ermöglicht es Domaininhabern zu erklären, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.

Benötige ich DKIM?

Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie auf jeden Fall eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Die ordnungsgemäße Konfiguration von E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. Allerdings geht sie allein nicht weit genug; SparkPost und andere E-Mail-Experten empfehlen außerdem, SPF und DMARC zu implementieren, um eine vollständigere E-Mail-Authentifizierungspolitik zu definieren.