DomainKeys Identified Mail, oder DKIM, ist ein technischer Standard, der E-Mail-Absender und -Empfänger vor Spam, Spoofing und Phishing schützt.  Es ist eine Form der E-Mail-Authentifizierung , die es einer Organisation ermöglicht, die Verantwortung für eine Nachricht auf eine Weise zu beanspruchen, die vom Empfänger überprüft werden kann.

Insbesondere verwendet es einen Ansatz namens „public key cryptography“, um zu überprüfen, ob eine E-Mail-Nachricht von einem autorisierten Mailserver gesendet wurde, um Fälschungen zu erkennen und die Zustellung schädlicher E-Mails wie Spam zu verhindern. Es ergänzt SMTP, das grundlegende Protokoll, das zum Senden von E-Mails verwendet wird, da es selbst keine Authentifizierungsmechanismen enthält.

Wie funktioniert es?

Es funktioniert, indem es eine digitale Signatur zu den Kopfzeilen einer E-Mail-Nachricht hinzufügt. Diese Signatur kann gegen einen öffentlichen kryptografischen Schlüssel in den DNS-Einträgen der Organisation überprüft werden. Im Allgemeinen funktioniert der Prozess so:

Ein Domaininhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Datensatz in den DNS-Einträgen der Domain.

Wenn eine Mail-Nachricht von einem ausgehenden Mailserver gesendet wird, generiert der Server eine eindeutige DKIM-Signatur-Kopfzeile und fügt sie der Nachricht hinzu. Diese Kopfzeile enthält zwei kryptografische Hashes, einer von angegebenen Kopfzeilen und einer vom Nachrichtenkörper (oder einem Teil davon). Die Kopfzeile enthält Informationen darüber, wie die Signatur generiert wurde.

Wenn ein eingehender Mailserver eine eingehende E-Mail erhält, sucht er den öffentlichen DKIM-Schlüssel des Absenders im DNS. Der eingehende Server verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und mit einer neu berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann die Nachricht als authentisch und während des Transports unverändert nachgewiesen werden.

Was ist eine DKIM-Signatur?

Eine DKIM-Signatur ist eine Kopfzeile, die E-Mail-Nachrichten hinzugefügt wird. Die Kopfzeile enthält Werte, die es einem empfangenden Mailserver ermöglichen, die E-Mail-Nachricht zu validieren, indem er den DKIM-Schlüssel des Absenders nachschlägt und verwendet, um die verschlüsselte Signatur zu überprüfen. Sie sieht ungefähr so aus:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Eine DKIM-Signatur-Kopfzeile packt viele Informationen, da sie für die automatisierte Verarbeitung vorgesehen ist. Wie Sie in diesem Beispiel sehen können, enthält die Kopfzeile eine Liste von tag=value Teilen. Bedeutende Tags sind „d=“ für die signierende Domain, „b=“ für die eigentliche digitale Signatur und „bh=“ für einen Hash, der durch Neuberechnung mit dem öffentlichen Schlüssel des Absenders überprüft werden kann.

Signaturen sind per Definition von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente werden in jeder DKIM-Signatur-Kopfzeile vorhanden sein.

Wie steht es im Zusammenhang mit SPF, DMARC oder anderen Standards?

DKIM, SPF und DMARC sind alles Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie adressieren komplementäre Themen.

• SPF ermöglicht es Absendern zu definieren, welche IP-Adressen berechtigt sind, E-Mails für eine bestimmte Domain zu senden.

• DKIM stellt einen Verschlüsselungsschlüssel und eine digitale Signatur bereit, die bestätigt, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.

• DMARC vereinheitlicht die SPF- und DKIM-Authentifizierungsmechanismen in einem gemeinsamen Rahmen und ermöglicht es Domaininhabern, zu erklären, wie sie möchten, dass E-Mails von dieser Domain behandelt werden, wenn sie einen Autorisierungstest nicht bestehen.

Brauche ich DKIM?

Wenn Sie ein Unternehmen sind, das geschäftliche oder transaktionale E-Mails sendet, müssen Sie unbedingt eine oder mehrere Formen der E-Mail-Authentifizierung implementieren, um zu überprüfen, dass eine E-Mail wirklich von Ihnen oder Ihrem Unternehmen stammt. Das richtige Konfigurieren von E-Mail-Authentifizierungsstandards ist einer der wichtigsten Schritte, die Sie unternehmen können, um Ihre Zustellbarkeit zu verbessern. Allerdings geht es alleine nur so weit; SparkPost und andere E-Mail-Experten empfehlen auch die Implementierung von SPF und DMARC, um eine vollständigere E-Mail-Authentifizierungsrichtlinie zu definieren.