DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der hilft, E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing zu schützen.  Es ist eine Form der E-Mail-Authentifizierung , die es einer Organisation ermöglicht, die Verantwortung für eine Nachricht zu übernehmen, auf eine Weise, die vom Empfänger validiert werden kann.

Genauer gesagt verwendet es einen Ansatz namens „Public-Key-Kryptographie“, um zu überprüfen, dass eine E-Mail-Nachricht von einem autorisierten Mailserver gesendet wurde, um Fälschungen zu erkennen und die Zustellung schädlicher E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll zum Versenden von E-Mails, da es selbst keine Authentifizierungsmechanismen enthält.

Wie funktioniert es?

Es funktioniert, indem es eine digitale Signatur zu den Kopfzeilen einer E-Mail-Nachricht hinzufügt. Diese Signatur kann gegen einen öffentlichen kryptografischen Schlüssel in den Domain Name System (DNS)-Einträgen der Organisation validiert werden. Allgemein gesagt funktioniert der Prozess folgendermaßen:

Ein Domain-Inhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Eintrag in den DNS-Einträgen der Domain.

Wenn eine E-Mail-Nachricht von einem ausgehenden Mailserver gesendet wird, erzeugt der Server einen einzigartigen DKIM-Signaturkopf und fügt ihn der Nachricht hinzu. Dieser Kopf enthält zwei kryptografische Hashes, einen der angegebenen Kopfzeilen und einen des Nachrichtentextes (oder eines Teils davon). Der Kopf enthält Informationen darüber, wie die Signatur generiert wurde.

Wenn ein eingehender Mailserver eine eingehende E-Mail empfängt, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und sie mit einer neu berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann die Nachricht als authentisch und während der Übertragung unverändert nachgewiesen werden.

Was ist eine DKIM-Signatur?

Eine DKIM-Signatur ist ein Kopf, der zu E-Mail-Nachrichten hinzugefügt wird. Der Kopf enthält Werte, die es einem empfangenden Mailserver ermöglichen, die E-Mail-Nachricht durch Nachschlagen des DKIM-Schlüssels des Absenders zu validieren und sie zur Überprüfung der verschlüsselten Signatur zu verwenden. Es sieht ungefähr so aus:

DKIM-Signature: v=1; 
  a=rsa-sha256; 
  c=relaxed/relaxed; 
  d=sparkpost.com; 
  s=google; 
  h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; 
  bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; 
  b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Ein DKIM-Signaturkopf enthält viele Informationen, da er für die automatisierte Verarbeitung bestimmt ist. Wie in diesem Beispiel zu sehen ist, enthält der Kopf eine Liste von Tag=Wert-Teilen. Bemerkenswerte Tags sind „d=“ für die unterzeichnende Domain, „b=“ für die eigentliche digitale Signatur und „bh=“ für einen Hash, der durch Neuberechnung mit dem öffentlichen Schlüssel des Absenders verifiziert werden kann.

Signaturen sind definitionsgemäß von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente werden in jedem DKIM-Signaturkopf vorhanden sein.

Wie steht es in Beziehung zu SPF, DMARC oder anderen Standards?

DKIM, SPF und DMARC sind alles Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie adressieren sich ergänzende Themen.

• SPF ermöglicht es Absendern zu definieren, welche IP-Adressen E-Mails für eine bestimmte Domain senden dürfen.

• DKIM bietet einen Verschlüsselungsschlüssel und eine digitale Signatur, die überprüft, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.

• DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmen und ermöglicht es Domain-Inhabern anzugeben, wie sie möchten, dass E-Mails dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.

Benötige ich DKIM?

Wenn Sie ein Unternehmen sind, das kommerzielle oder Transaktions-E-Mails versendet, müssen Sie definitiv eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu verifizieren, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Die richtige Konfiguration von E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. Jedoch reicht dies alleine nur begrenzt; SparkPost und andere E-Mail-Experten empfehlen auch die Implementierung von SPF und DMARC, um eine vollständigere E-Mail-Authentifizierungsrichtlinie zu definieren.