Was ist DKIM?
1 min read
Was ist DKIM?
1 min read
Leitfaden Takeaways
DKIM fügt ausgehenden E-Mails eine kryptografische Signatur hinzu, um die Authentizität zu beweisen und Manipulationen zu verhindern.
Empfangsserver validieren diese Signatur mit dem im DNS-Eintrag veröffentlichten öffentlichen Schlüssel.
DKIM arbeitet zusammen mit SPF und DMARC, um ein vollständiges E-Mail-Authentifizierungs-Framework zu erstellen.
Die Implementierung von DKIM verbessert die Zustellbarkeit, schützt den Ruf Ihrer Domain und reduziert das Risiko von Spam und Phishing.
Jedes Unternehmen, das kommerzielle oder transaktionale E-Mails sendet, sollte DKIM als Teil seiner grundlegenden E-Mail-Sicherheit implementieren.
DKIM allein reicht nicht aus—SPF und DMARC sind für den vollständigen Absenderschutz erforderlich.
Q&A Highlights
Was ist DKIM?
DKIM ist ein E-Mail-Authentifizierungsstandard, der eine digitale Signatur zu ausgehenden E-Mails hinzufügt, um zu beweisen, dass die Nachricht autorisiert und unverändert ist.
Wie funktioniert DKIM?
Der Absender signiert jede Nachricht mit einem privaten Schlüssel, und Empfänger validieren sie mit dem öffentlichen Schlüssel, der im DNS gespeichert ist.
Was ist eine DKIM-Signatur?
Ein spezieller E-Mail-Header, der kryptografische Hashes des Nachrichteninhalts und ausgewählter Header enthält und zur Überprüfung der Authentizität verwendet wird.
Warum ist DKIM wichtig für die Zustellbarkeit von E-Mails?
DKIM reduziert Spam-Verdächtigungen, verbessert den Ruf der Domain und erhöht die Wahrscheinlichkeit, dass Ihre E-Mails die Inboxen erreichen.
Wie unterscheidet sich DKIM von SPF?
SPF validiert wer berechtigt ist, E-Mails zu senden; DKIM bestätigt, dass die Nachricht selbst nicht gefälscht oder verändert wurde.
Wie stehen DKIM und DMARC zueinander?
DMARC verwendet die DKIM- (und SPF-) Ergebnisse, um die Richtlinien des Domaininhabers durchzusetzen, wie fehlgeschlagene Nachrichten behandelt werden sollten.
Brauchen alle Unternehmen DKIM?
Ja—jedes Unternehmen, das Marketing- oder Transaktions-E-Mails sendet, sollte DKIM zur Sicherheit und Zustellbarkeit implementieren.
Reicht DKIM alleine aus?
Nein. Für vollständigen Schutz und optimale Posteingangsplatzierung sollten Sie SPF und DMARC zusammen mit DKIM implementieren.
Verständnis von DKIM
DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der E-Mail-Absender und Empfänger vor Spam, Spoofing und Phishing schützt. Es ist eine Form der E-Mail-Authentifizierung , die einer Organisation ermöglicht, die Verantwortung für eine Nachricht in einer Weise zu übernehmen, die vom Empfänger validiert werden kann.
Insbesondere verwendet es einen Ansatz namens „Public Key Kryptographie“, um zu überprüfen, dass eine E-Mail-Nachricht von einem autorisierten Mail-Server gesendet wurde, um Fälschungen zu erkennen und die Zustellung schädlicher E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll zum Senden von E-Mails, da es selbst keine Authentifizierungsmechanismen enthält.
DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der E-Mail-Absender und Empfänger vor Spam, Spoofing und Phishing schützt. Es ist eine Form der E-Mail-Authentifizierung , die einer Organisation ermöglicht, die Verantwortung für eine Nachricht in einer Weise zu übernehmen, die vom Empfänger validiert werden kann.
Insbesondere verwendet es einen Ansatz namens „Public Key Kryptographie“, um zu überprüfen, dass eine E-Mail-Nachricht von einem autorisierten Mail-Server gesendet wurde, um Fälschungen zu erkennen und die Zustellung schädlicher E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll zum Senden von E-Mails, da es selbst keine Authentifizierungsmechanismen enthält.
DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der E-Mail-Absender und Empfänger vor Spam, Spoofing und Phishing schützt. Es ist eine Form der E-Mail-Authentifizierung , die einer Organisation ermöglicht, die Verantwortung für eine Nachricht in einer Weise zu übernehmen, die vom Empfänger validiert werden kann.
Insbesondere verwendet es einen Ansatz namens „Public Key Kryptographie“, um zu überprüfen, dass eine E-Mail-Nachricht von einem autorisierten Mail-Server gesendet wurde, um Fälschungen zu erkennen und die Zustellung schädlicher E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll zum Senden von E-Mails, da es selbst keine Authentifizierungsmechanismen enthält.
Wie funktioniert es?
Es funktioniert, indem eine digitale Signatur zu den Kopfzeilen einer E-Mail-Nachricht hinzugefügt wird. Diese Signatur kann anhand eines öffentlichen kryptografischen Schlüssels in den Domain Name System (DNS)-Datensätzen der Organisation validiert werden. Allgemein gesagt funktioniert der Prozess folgendermaßen:
Ein Domaininhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Datensatz in den DNS-Datensätzen der Domain.
Wenn eine Mail-Nachricht von einem ausgehenden Mail-Server gesendet wird, generiert der Server eine einzigartige DKIM-Signatur und fügt sie als Kopfzeile der Nachricht hinzu. Diese Kopfzeile enthält zwei kryptografische Hashes, einen von den angegebenen Kopfzeilen und einen vom Nachrichtentext (oder einem Teil davon). Die Kopfzeile enthält Informationen darüber, wie die Signatur erzeugt wurde.
Wenn ein eingehender Mail-Server eine eintreffende E-Mail erhält, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und mit einer frisch berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann nachgewiesen werden, dass die Nachricht authentisch und während der Übertragung unverändert ist.
Es funktioniert, indem eine digitale Signatur zu den Kopfzeilen einer E-Mail-Nachricht hinzugefügt wird. Diese Signatur kann anhand eines öffentlichen kryptografischen Schlüssels in den Domain Name System (DNS)-Datensätzen der Organisation validiert werden. Allgemein gesagt funktioniert der Prozess folgendermaßen:
Ein Domaininhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Datensatz in den DNS-Datensätzen der Domain.
Wenn eine Mail-Nachricht von einem ausgehenden Mail-Server gesendet wird, generiert der Server eine einzigartige DKIM-Signatur und fügt sie als Kopfzeile der Nachricht hinzu. Diese Kopfzeile enthält zwei kryptografische Hashes, einen von den angegebenen Kopfzeilen und einen vom Nachrichtentext (oder einem Teil davon). Die Kopfzeile enthält Informationen darüber, wie die Signatur erzeugt wurde.
Wenn ein eingehender Mail-Server eine eintreffende E-Mail erhält, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und mit einer frisch berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann nachgewiesen werden, dass die Nachricht authentisch und während der Übertragung unverändert ist.
Es funktioniert, indem eine digitale Signatur zu den Kopfzeilen einer E-Mail-Nachricht hinzugefügt wird. Diese Signatur kann anhand eines öffentlichen kryptografischen Schlüssels in den Domain Name System (DNS)-Datensätzen der Organisation validiert werden. Allgemein gesagt funktioniert der Prozess folgendermaßen:
Ein Domaininhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Datensatz in den DNS-Datensätzen der Domain.
Wenn eine Mail-Nachricht von einem ausgehenden Mail-Server gesendet wird, generiert der Server eine einzigartige DKIM-Signatur und fügt sie als Kopfzeile der Nachricht hinzu. Diese Kopfzeile enthält zwei kryptografische Hashes, einen von den angegebenen Kopfzeilen und einen vom Nachrichtentext (oder einem Teil davon). Die Kopfzeile enthält Informationen darüber, wie die Signatur erzeugt wurde.
Wenn ein eingehender Mail-Server eine eintreffende E-Mail erhält, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und mit einer frisch berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann nachgewiesen werden, dass die Nachricht authentisch und während der Übertragung unverändert ist.
Was ist eine DKIM-Signatur?
Eine DKIM-Signatur ist ein Header, der zu E-Mail-Nachrichten hinzugefügt wird. Der Header enthält Werte, die es einem empfangenden Mailserver ermöglichen, die E-Mail-Nachricht zu validieren, indem er den DKIM-Schlüssel eines Absenders nachschlägt und ihn zur Überprüfung der verschlüsselten Signatur verwendet. Sie sieht in etwa so aus:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh
Ein DKIM-Signatur-Header enthält viele Informationen, da er für die automatisierte Verarbeitung vorgesehen ist. Wie Sie in diesem Beispiel sehen können, enthält der Header eine Liste von Tag-Wert-Paaren. Bemerkenswerte Tags sind „d=“ für die signierende Domäne, „b=“ für die tatsächliche digitale Signatur und „bh=“ für einen Hash, der durch erneutes Berechnen mit dem öffentlichen Schlüssel des Absenders überprüft werden kann.
Signaturen sind definitionsgemäß von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente werden in jedem DKIM-Signatur-Header vorhanden sein.
Komponente | Was es ist | Warum es wichtig ist |
|---|---|---|
Öffentlicher Schlüssel (DNS TXT) | Kryptografischer Schlüssel, der im DNS veröffentlicht wird | Wird von empfangenden Servern verwendet, um die DKIM-Signatur zu überprüfen |
DKIM-Signatur-Header | Metadaten, die zu ausgehender E-Mail hinzugefügt werden | Beweist, dass die Nachricht legitim und unverändert ist |
d= (signierende Domäne) | Identifiziert, welche Domäne die E-Mail signiert hat | Ermöglicht Überprüfungen auf Domänenebene bezüglich Reputation und Ausrichtung |
b= (Signatur) | Der tatsächliche kryptografische Signaturblock | Bestätigt, dass die E-Mail nicht manipuliert wurde |
bh= (Body Hash) | Hash des Nachrichteninhalts | Bestätigt die Integrität des Nachrichteninhalts |
Selektoren | Referenz zum richtigen DKIM-Schlüssel (s=) | Erlaubt Schlüsselrotation und mehrere Signaturschlüssel |
DKIM + SPF + DMARC | Kombiniertes Authentifizierungs-Ökosystem | Stellt die Legitimität des Absenders sicher, verhindert Spoofing und verbessert die Zustellbarkeit |
Eine DKIM-Signatur ist ein Header, der zu E-Mail-Nachrichten hinzugefügt wird. Der Header enthält Werte, die es einem empfangenden Mailserver ermöglichen, die E-Mail-Nachricht zu validieren, indem er den DKIM-Schlüssel eines Absenders nachschlägt und ihn zur Überprüfung der verschlüsselten Signatur verwendet. Sie sieht in etwa so aus:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh
Ein DKIM-Signatur-Header enthält viele Informationen, da er für die automatisierte Verarbeitung vorgesehen ist. Wie Sie in diesem Beispiel sehen können, enthält der Header eine Liste von Tag-Wert-Paaren. Bemerkenswerte Tags sind „d=“ für die signierende Domäne, „b=“ für die tatsächliche digitale Signatur und „bh=“ für einen Hash, der durch erneutes Berechnen mit dem öffentlichen Schlüssel des Absenders überprüft werden kann.
Signaturen sind definitionsgemäß von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente werden in jedem DKIM-Signatur-Header vorhanden sein.
Komponente | Was es ist | Warum es wichtig ist |
|---|---|---|
Öffentlicher Schlüssel (DNS TXT) | Kryptografischer Schlüssel, der im DNS veröffentlicht wird | Wird von empfangenden Servern verwendet, um die DKIM-Signatur zu überprüfen |
DKIM-Signatur-Header | Metadaten, die zu ausgehender E-Mail hinzugefügt werden | Beweist, dass die Nachricht legitim und unverändert ist |
d= (signierende Domäne) | Identifiziert, welche Domäne die E-Mail signiert hat | Ermöglicht Überprüfungen auf Domänenebene bezüglich Reputation und Ausrichtung |
b= (Signatur) | Der tatsächliche kryptografische Signaturblock | Bestätigt, dass die E-Mail nicht manipuliert wurde |
bh= (Body Hash) | Hash des Nachrichteninhalts | Bestätigt die Integrität des Nachrichteninhalts |
Selektoren | Referenz zum richtigen DKIM-Schlüssel (s=) | Erlaubt Schlüsselrotation und mehrere Signaturschlüssel |
DKIM + SPF + DMARC | Kombiniertes Authentifizierungs-Ökosystem | Stellt die Legitimität des Absenders sicher, verhindert Spoofing und verbessert die Zustellbarkeit |
Eine DKIM-Signatur ist ein Header, der zu E-Mail-Nachrichten hinzugefügt wird. Der Header enthält Werte, die es einem empfangenden Mailserver ermöglichen, die E-Mail-Nachricht zu validieren, indem er den DKIM-Schlüssel eines Absenders nachschlägt und ihn zur Überprüfung der verschlüsselten Signatur verwendet. Sie sieht in etwa so aus:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh
Ein DKIM-Signatur-Header enthält viele Informationen, da er für die automatisierte Verarbeitung vorgesehen ist. Wie Sie in diesem Beispiel sehen können, enthält der Header eine Liste von Tag-Wert-Paaren. Bemerkenswerte Tags sind „d=“ für die signierende Domäne, „b=“ für die tatsächliche digitale Signatur und „bh=“ für einen Hash, der durch erneutes Berechnen mit dem öffentlichen Schlüssel des Absenders überprüft werden kann.
Signaturen sind definitionsgemäß von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente werden in jedem DKIM-Signatur-Header vorhanden sein.
Komponente | Was es ist | Warum es wichtig ist |
|---|---|---|
Öffentlicher Schlüssel (DNS TXT) | Kryptografischer Schlüssel, der im DNS veröffentlicht wird | Wird von empfangenden Servern verwendet, um die DKIM-Signatur zu überprüfen |
DKIM-Signatur-Header | Metadaten, die zu ausgehender E-Mail hinzugefügt werden | Beweist, dass die Nachricht legitim und unverändert ist |
d= (signierende Domäne) | Identifiziert, welche Domäne die E-Mail signiert hat | Ermöglicht Überprüfungen auf Domänenebene bezüglich Reputation und Ausrichtung |
b= (Signatur) | Der tatsächliche kryptografische Signaturblock | Bestätigt, dass die E-Mail nicht manipuliert wurde |
bh= (Body Hash) | Hash des Nachrichteninhalts | Bestätigt die Integrität des Nachrichteninhalts |
Selektoren | Referenz zum richtigen DKIM-Schlüssel (s=) | Erlaubt Schlüsselrotation und mehrere Signaturschlüssel |
DKIM + SPF + DMARC | Kombiniertes Authentifizierungs-Ökosystem | Stellt die Legitimität des Absenders sicher, verhindert Spoofing und verbessert die Zustellbarkeit |
Wie ist es mit SPF, DMARC oder anderen Standards verbunden?
DKIM, SPF und DMARC sind alle Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie adressieren komplementäre Probleme.
SPF ermöglicht es Absendern, festzulegen, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
DKIM bietet einen Verschlüsselungsschlüssel und eine digitale Signatur, die verifizieren, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.
DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmenwerk und erlaubt es Domainbesitzern zu erklären, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.
DKIM, SPF und DMARC sind alle Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie adressieren komplementäre Probleme.
SPF ermöglicht es Absendern, festzulegen, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
DKIM bietet einen Verschlüsselungsschlüssel und eine digitale Signatur, die verifizieren, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.
DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmenwerk und erlaubt es Domainbesitzern zu erklären, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.
DKIM, SPF und DMARC sind alle Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie adressieren komplementäre Probleme.
SPF ermöglicht es Absendern, festzulegen, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.
DKIM bietet einen Verschlüsselungsschlüssel und eine digitale Signatur, die verifizieren, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.
DMARC vereint die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmenwerk und erlaubt es Domainbesitzern zu erklären, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.
Brauche ich DKIM?
Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie definitiv eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu verifizieren, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Das richtige Konfigurieren von E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. Allein geht es jedoch nur so weit; SparkPost und andere E-Mail-Experten empfehlen auch die Implementierung von SPF und DMARC, um eine vollständigere E-Mail-Authentifizierungsstrategie zu definieren.
Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie definitiv eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu verifizieren, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Das richtige Konfigurieren von E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. Allein geht es jedoch nur so weit; SparkPost und andere E-Mail-Experten empfehlen auch die Implementierung von SPF und DMARC, um eine vollständigere E-Mail-Authentifizierungsstrategie zu definieren.
Wenn Sie ein Unternehmen sind, das kommerzielle oder transaktionale E-Mails sendet, müssen Sie definitiv eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu verifizieren, dass eine E-Mail tatsächlich von Ihnen oder Ihrem Unternehmen stammt. Das richtige Konfigurieren von E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. Allein geht es jedoch nur so weit; SparkPost und andere E-Mail-Experten empfehlen auch die Implementierung von SPF und DMARC, um eine vollständigere E-Mail-Authentifizierungsstrategie zu definieren.
Abonnieren Sie unseren Newsletter.
Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.
Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.
Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.
Abonnieren Sie unseren Newsletter.
Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.
Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.
Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.
Abonnieren Sie unseren Newsletter.
Bleiben Sie mit Bird auf dem Laufenden durch wöchentliche Updates in Ihrem Posteingang.
Durch die Übermittlung stimmen Sie zu, dass Bird Sie bezüglich unserer Produkte und Dienstleistungen kontaktieren darf.
Sie können sich jederzeit abmelden. Weitere Informationen zur Datenverarbeitung finden Sie in Birds Datenschutzerklärung.
