Was ist DKIM und warum ist es wichtig?

DKIM ist eine der wichtigsten Sicherheitsmaßnahmen zur Verhinderung von E-Mail-Spoofing. Es hilft empfangenden Mailservern bei der Überprüfung der Rechtmäßigkeit eingehender E-Mails und verhindert, dass gefälschte E-Mails in den Posteingängen der Empfänger landen.

In diesem Artikel erfahren Sie, was DKIM ist, wie es funktioniert und wie Sie es für Ihre Domain einrichten.

Es basiert auf der Public-Key-Kryptographie, durch die eine digitale Signatur erstellt wird. Diese Signatur ist Teil der E-Mail-Header und enthält verschlüsselte Teile der E-Mail. Die Empfänger können diese Signatur mit dem öffentlichen DKIM-Schlüssel vergleichen und die Authentizität der E-Mail überprüfen.

Unten sehen Sie ein Bild von E-Mail-Headern, die eine DKIM-Signatur enthalten.

DKIM stimmt mit den anderen beiden Hauptauthentifizierungsmethoden überein – SPF und DMARC. Alle drei Mechanismen tragen zur E-Mail-Sicherheit bei und verhindern E-Mail-Spoofing und Phishing.

Warum ist DKIM wichtig?

DKIM ist in zweierlei Hinsicht von Vorteil – es hilft, E-Mail-Spoofing zu verhindern und erhöht die Zustellrate von E-Mails.

Normalerweise betreiben Betrüger E-Mail-Spoofing, indem sie behaupten, jemand anderes zu sein. Mit DKIM können Empfänger überprüfen, ob eine E-Mail vom tatsächlichen Domain-Inhaber gesendet wurde, und verhindern, dass gefälschte E-Mails in ihrem Posteingang landen. Somit fügt DKIM eine zusätzliche Sicherheitsebene für Absender und Empfänger hinzu.

Auf der anderen Seite erzwingen viele E-Mail-Dienstleister die DKIM-Authentifizierung, um festzustellen, ob eingehende E-Mails legitim sind. Auch wenn die E-Mails vom eigentlichen Domain-Inhaber angefordert und versandt werden, aber DKIM-Schlüssel fehlen, können sie immer noch vom Mailserver des Empfängers als Spam markiert werden.

Daher verringert die Verwendung von DKIM die Wahrscheinlichkeit, dass gültige E-Mails von Spam-Filtern blockiert werden.

Was ist ein DKIM-Eintrag?

Ein DKIM-Eintrag ist eine Art DNS (Domain Name System)-Eintrag, der einen öffentlichen Schlüssel enthält. Empfänger können die Authentizität eingehender E-Mails überprüfen, indem sie ihre digitalen Signaturen mit diesem öffentlichen Schlüssel abgleichen.

Der DKIM-Eintrag ist normalerweise ein TXT-Eintrag, bei dem der öffentliche Schlüssel im Wert des Eintrags enthalten ist. Das gebräuchlichste Format für den Namen eines Datensatzes ist

default._domainkey.deinedomain.com

Das Präfix „default“ heißt DKIM selector, das für die verschiedenen E-Mail-Dienste unterschiedliche Namen haben kann. Das Präfix „_domainkey“ bedeutet, dass der DNS-Eintrag DKIM ist und immer auf den DKIM-Selektor folgt.

Der Wert des Datensatzes hat normalerweise das folgende Format:

"v=DKIM1; k=rsa; p=PUBLICKEY"

PUBLICKEY ist ein Platzhalter für den eigentlichen öffentlichen Schlüssel des DKIM-Records.

Hier können Sie das endgültige Format eines DKIM TXT-Eintrags sehen, der in DNS-Lookups erscheint.

Abgesehen von einem DNS-TXT-Record könnte der DKIM-Record auch ein DNS CNAME-Record sein. In diesem Fall ist der Wert des DKIM-Eintrags eine Adresse, die zu einem Server führt, auf dem Empfänger den öffentlichen DKIM-Schlüssel der Domain erhalten können. Der DKIM CNAME-Eintrag hat eine ähnliche Adresse:

dkim.server.com

Unten sehen Sie, wie ein DKIM CNAME-Eintrag in DNS-Checkern angezeigt würde.

Der E-Mail-Dienstanbieter bestimmt den Typ des DKIM-DNS-Eintrags, den Sie zu Ihrer DNS-Zone hinzufügen müssen.

Wie funktionieren DKIM-Datensätze?

Senden einer signierten DKIM-Nachricht

Wenn DKIM aktiviert ist, wird jede von Ihnen gesendete E-Mail mit einer digitalen Signatur signiert. Diese Signatur enthält ausgewählte Teile der E-Mail, die gehasht und mit dem privaten DKIM-Schlüssel des E-Mail-Servers verschlüsselt sind.

Vor dem Versenden einer E-Mail fügt der Postausgangsserver die Signatur zu den E-Mail-Headern hinzu. Es ist wichtig zu beachten, dass DKIM nicht die E-Mail-Nachricht selbst verschlüsselt, sondern nur die digitale Signatur.

Überprüfen einer signierten DKIM-Nachricht

Wenn ein E-Mail-Empfänger eine E-Mail erhält, kann sein E-Mail-Server den öffentlichen Schlüssel nachschlagen, der mit dem DKIM-Eintrag der Domäne der E-Mail verknüpft ist. Der E-Mail-Server verwendet den öffentlichen Schlüssel, um die Signatur der E-Mail zu überprüfen und zu entschlüsseln. Wenn die Signatur gültig ist, kann der Empfänger sicher sein, dass die E-Mail von der Domain, von der sie zu stammen behauptet, gesendet wurde und dass sie während der Übertragung nicht verändert wurde.

Wie verhindert DKIM Domain-Spoofing?

E-Mail-Spoofing ist eine betrügerische Taktik, bei der Angreifer E-Mails versenden, die sich als vertrauenswürdige Marken oder Einzelpersonen ausgeben. Das Endziel für sie ist es, das Vertrauen ihrer Opfer zu gewinnen und sie dazu zu bringen, sensible Informationen preiszugeben.

Da Betrüger jedoch keinen Zugriff auf den autorisierten Mailserver der Domain haben, die sie vorgeben, können sie den privaten DKIM-Schlüssel nicht verwenden. Aus diesem Grund enthalten ihre E-Mails keine gültige digitale Signatur, die dem öffentlichen DKIM-Schlüssel entspricht.

Wenn DKIM aktiviert ist, können Empfänger überprüfen, ob eine E-Mail vom Server der beanspruchten Domain stammt, indem sie die Signatur mit dem öffentlichen Schlüssel der Domain aus dem DKIM DNS-Eintrag vergleichen. Der Empfänger kann daraus schließen, dass die E-Mail gefälscht ist, wenn die Signatur nicht mit dem öffentlichen Schlüssel übereinstimmt.

Wie füge ich meiner Domain einen DKIM-Eintrag hinzu?

Der DKIM-Eintrag ist ein DNS-Eintrag, der einen E-Mail-Server autorisiert, E-Mails von Ihrer Domain zu senden. Ihr E-Mail-Dienst muss seine Details bereitstellen, damit Sie ihn zur DNS-Zone Ihrer Domain hinzufügen können. Der DKIM-Eintrag könnte ein TXT- oder CNAME-DNS-Eintrag sein.

Sobald Sie den Eintrag haben, müssen Sie auf die Systemsteuerung zugreifen, wo Sie Ihre DNS-Zone verwalten. Wenn Ihre Domain auf SiteGround-Nameserver verweist, navigieren Sie zu Site Tools > Domain > DNS-Zonen-Editor.

Wie füge ich einen DKIM TXT-Eintrag hinzu

Im Abschnitt Neuen Datensatz erstellen, wählen Sie TXT, um den DKIM TXT-Eintrag hinzuzufügen.

Jeder DKIM-Eintrag hat eine eindeutige Kennung, die als DKIM selector bezeichnet wird. Es ist ein Präfix des DNS-Eintrags Ihrer Domain, gefolgt von einem weiteren Präfix _domainkey. Beide müssen im Name Feld des TXT Datensatzes im Format:

DKIM selector._domainkey.deinedomain.com

In Site Tools wird die Domain automatisch an den Namen des Eintrags angehängt. Wenn Sie den Namen eingeben, lassen Sie Ihren Domain-Namen weg und fügen Sie nur den Teil ein:

DKIM selector._domainkey

Geben Sie im Feld Wert den DKIM-Datensatzwert ein. Um den Eintrag zu bestätigen, klicken Sie auf die Schaltfläche ERSTELLEN.

Einmal erstellt, erscheint der Eintrag in Ihrem DNS-Zonen-Editor.

Wie füge ich einen DKIM CNAME-Eintrag hinzu

Wenn der erforderliche DKIM-Eintrag vom Typ CNAME ist, wählen Sie im Abschnitt Neuen Eintrag erstellen CNAME.

Geben Sie im Feld Name den DKIM-Namen DKIM selector._domainkey an. Genau wie bei TXT-Einträgen, lassen Sie Ihren Domain-Namen im Namen des CNAME-Eintrags weg. Es wird automatisch an den Namen angehängt.

Im Feld Löst sich auf, fügen Sie die Adresse des DKIM-Servers hinzu. Drücken Sie ERSTELLEN, um den CNAME-Eintrag zu bestätigen.

Sobald Sie den Eintrag hinzugefügt haben, sehen Sie ihn in Ihrer DNS-Zone.

Wie aktiviere ich einen DKIM-Eintrag für den E-Mail-Dienst von SiteGround

Wenn Ihre Domain auf SiteGround Nameserver verweist und Sie den E-Mail-Service von SiteGround verwenden, ist die Aktivierung von DKIM recht einfach.

Der DKIM-Eintrag ist standardmäßig aktiviert, und Sie müssen nichts tun. Sie müssten den DKIM-Eintrag nur aktivieren, falls Sie ihn zuvor deaktiviert oder den DKIM-TXT-Eintrag manuell gelöscht haben.

Um den Status des Datensatzes zu überprüfen, navigieren Sie zu Site Tools > E-Mail >Authentifizierung. Wählen Sie im Abschnitt Authentifizierungseinstellungen die Option DKIM. In der Spalte Status sehen Sie den aktuellen Status als AKTIV oder INAKTIV.

Wenn der Datensatz deaktiviert ist, klicken Sie einfach auf die Schaltfläche AKTIVIEREN unter der Spalte Aktionen. Der DKIM-Eintrag wird automatisch zu Ihrer DNS-Zone hinzugefügt, und es sind keine weiteren Maßnahmen erforderlich.

Wie kann ich testen, ob ich DKIM richtig eingerichtet habe?

Es gibt verschiedene Möglichkeiten zu testen, ob Ihr Server E-Mails mit gültigen DKIM-Signaturen signiert. Sie könnten die E-Mail-Header manuell überprüfen oder Online-DKIM-Checker verwenden.

Der manuelle Weg ist, eine E-Mail an Ihre Adresse zu senden und die Kopfzeilen der empfangenen Nachricht zu überprüfen, um zu sehen, ob die DKIM-Signatur vorhanden und gültig ist. Detaillierte Schritte finden Sie in dieser Anleitung auf wie man E-Mail-Header auf verschiedenen E-Mail-Clients anzeigt.

Eine E-Mail mit einer gültigen DKIM-Signatur sollte Header-Felder ähnlich diesen enthalten:

ARC-Message-Signature: i=1; a=rsa-sha256; c=relaxed/relaxed; d=google.com; s=arc-20160816;

        h=message-id:references:in-reply-to:subject:to:from:date:mime-version

         :dkim-signature;

        bh=5rsMJhy76W3D/z8AJuih+X6wXiK/kovaUJAmSpGilNw=;

        b=T64jMkRn2Qxsf2VtXs5jDNcp/dTHWpfbcK8Y5nzz4md5uneJSc4VW52BRXMJIGxEq3

         vqyMgxIqPO/2xXodnRuKwh7/TTSo/oebaoFKVGXoVVxyzlTPoGokWpR9U057NTlFg4Pb

         JuZI7eF6QlbGGHXvFvqQJFFDWN5uOzzxDlmdLrARyWQfZSyWpyYW43XBJZlmMrnuequf

         4mOGCmcG9TZko46qDdYBr5GXMiQOqwZg48Zbo52YnI3kzgIlWWvPFyKJfG91cSeS+jQD

         aZZlnsDCcYgoIH2/IJAgDlHp+P/9E+XTg2WVRGwtpy0QPsWeLBwEKSTodw3bAQb2Wk0f

         NGTQ==

ARC-Authentication-Results: i=1; mx.google.com;

       dkim=pass header.i=@sg-testing.com header.s=default header.b=YW86hZW6;

Alternativ können Sie testen, ob Sie DKIM korrekt eingerichtet haben, indem Sie ein Online-Tool wie das von MXToolBox zur Verfügung gestellte verwenden. Es kann bestätigen, dass der öffentliche Schlüssel ordnungsgemäß in Ihrer DNS-Zone veröffentlicht wurde und dass Ihr E-Mail-Server ausgehende Nachrichten korrekt signiert.

Es gibt auch andere Checker wie mail-tester.com. Auf dieser Website werden Sie angewiesen, eine E-Mail von der E-Mail-Adresse Ihrer Domain an eine angegebene Test-E-Mail-Adresse zu senden. Nachdem Sie die E-Mail gesendet haben, generiert das Tool einen Statusbericht über alle verwendeten E-Mail-Authentifizierungen, einschließlich DKIM.

Zusammenfassung

DKIM ist ein Mechanismus zur E-Mail-Authentifizierung, der bei der Abwehr von E-Mail-Spoofing und Phishing eine wichtige Rolle spielt. Indem Sie es für Ihren Domainnamen implementieren, verhindern Sie, dass Betrüger sich als Ihre Marke ausgeben und schützen Ihre Empfänger vor gefälschten E-Mails.

Es ist eine wichtige Funktion, die jeder Domain-Inhaber in Betracht ziehen sollte, sie zu integrieren. Wir hoffen, dieser Artikel hat Ihnen geholfen zu verstehen, wie DKIM funktioniert und wie Sie es für Ihren E-Mail-Dienst aktivieren können.