Was ist ein DKIM-Eintrag und wie kann ich diesen vornehmen?

DKIM steht für DomainKeys Identified Mail. Es handelt sich um ein E-Mail-Authentifizierungsverfahren, das es Domaininhabern ermöglicht, ausgehende E-Mails kryptografisch zu signieren. Der Hauptzweck von DKIM ist es, sicherzustellen, dass eine E-Mail tatsächlich von der angegebenen Domain stammt und dass sie auf dem Weg zum Empfänger nicht verändert wurde. So soll verhindert werden, dass Spammer oder andere böswillige Parteien unerwünschte Nachrichten (z. B. Phishing-Nachrichten oder andere betrügerische Aktivitäten) mit einem legitimen Domainnamen als Absender versenden.

Die Verwendung von DKIM im Zusammenhang mit SPF (Sender Policy Framework) und DMARC (Domain-based Message Authentication Reporting and Coformance) erschwert es einem Angreifer unerwünschte Nachrichten mit einem legitimen Domainnamen in der Absenderadresse zu versenden. Sollte eine eingehende E-Mail weder die DKIM- noch die SPF-Prüfung bestehen, würde diese als Spam markiert oder direkt vom empfangenden E-Mail-Server abgelehnt werden. In Bezug auf unser Beispiel würde durch die Verwendung von DKIM, SPF und DMARC bei der Domain beispiel.de der Empfang der Phishing-Mail von Anton verhindert werden.

Wie funktioniert DKIM?

DKIM beinhaltet zwei Bestandteile, die bei der Authentifizierung angewendet werden: Dem DKIM-Eintrag, der in der DNS-Zone der Absenderdomain eingetragen wird, und dem DKIM-Header, der allen E-Mails dieser Domain hinzugefügt wird. So kann der empfangende Mailserver überprüfen, dass die E-Mail auch tatsächlich vom Absender stammt und von einem Server kommt, der authorisiert ist E-Mails für diese Domain zu versenden.

Hierzu verwendet DKIM ein Schlüsselpaar aus einem privaten und einem öffentlichen Schlüssel, die vom E-Mail-Provider generiert werden. Der öffentliche Schlüssel wird vom Besitzer der Domain in einem öffentlich zugänglichen DNS-Eintrag eingetragen. Der private Schlüssel verbleibt beim E-Mail-Provider und wird auf dem Mailserver installiert.

• Signierung beim Versand: Der Mailserver des Absenders erstellt beim Versand einer E-Mail eine digitale Signatur mit dem privaten Schlüssel. Diese Signatur wird in einem speziellen Header (dem DKIM-Header) zur E-Mail hinzugefügt.
• Verifikation beim Empfang: Der empfangende Mailserver ruft den öffentlichen Schlüssel der Absenderdomain über das DNS ab (dies ist der DKIM-Eintrag) und prüft damit, ob die Signatur gültig ist.

Wenn die Verifikation erfolgreich ist, kann der empfangende Server sicher sein, dass:

• die Nachricht vom angegebenen Absender stammt (Domain-Authentizität),
• der Nachrichteninhalt unterwegs nicht verändert wurde (Integrität).

Was ist ein DKIM-Eintrag und wie ist er aufgebaut?

Ein DKIM-Eintrag ist ein TXT-Eintrag in der DNS-Zone einer Domain, der den öffentlichen Schlüssel für die DKIM-Verifizierung enthält. Empfänger-Mailserver nutzen diesen Eintrag, um die Gültigkeit der digitalen Signatur einer eingehenden E-Mail zu prüfen, die den privaten Schlüssel im DKIM-Header enthält. Der DKIM-Eintrag besteht aus:

• Hostname: Der Eintrag wird unter einem speziellen Hostnamen veröffentlicht, der wie folgt aufgebaut ist:

  selektor._domainkey.beispiel.de

  • selektor ist ein frei wählbarer Bezeichner, der es ermöglicht, mehrere DKIM-Schlüssel gleichzeitig zu verwalten (z. B. für Rotation oder unterschiedliche Dienste). Dieser wird immer vom E-Mail-Provider vorgegeben und wird in den DKIM-Header aufgenommen. Anhand des Selektors kann der empfangende Mailserver den notwendigen DKIM-Eintrag in der DNS-Zone des Empfängers finden.
  • ._domainkey. ist fester Bestandteil eines DKIM-Eintrags und wird in allen DKIM-Dateinamen verwendet.
  • beispiel.de steht für die Domain des Absenders.
• Wert: Der eigentliche Inhalt ist ein Text, der typischerweise folgendermaßen aufgebaut ist:

  v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4... (öffentlicher Schlüssel)

  • v=DKIM1 ist die Versionsangabe
  • k=rsa gibt die verwendete Verschlüsselungsmethode an (RSA ist Standard)
  • p= enthält den öffentlichen Schlüssel in Base64-kodierter Form

Ein vollständiger DKIM-Eintrag würde beispielsweise folgendermaßen aussehen:

webwide._domainkey.beispiel.de   IN TXT   v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4kpessv892kmBZwsPA76

Um eine eingehende E-Mail zu authentifizieren sucht der empfangende Mailserver in der DNS-Zone der Domain beispiel.de nach einem TXT-Eintrag mit dem Selektor webwide.

Was ist ein DKIM-Header?

Der DKIM-Header ist ein spezieller E-Mail-Header, der bei Versand der E-Mail vom Mailserver des Absenders hinzugefügt wird. Dazu erstellt er anhand des E-Mail-Headers, dem E-Mail-Text (als Hash) und dem privaten Schlüssel eine Signatur, die als Teil des DKIM-Headers an die E-Mail angehängt wird.

So könnte ein DKIM-Header beispielsweise aussehen:

v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; d=beispiel.de; s=webwide; h=Content-Type:Subject:Date:From:Message-ID:To:MIME-Version:reply-
to:sender:cc:bcc:in-reply-to:references:content-transfer-encoding; bh=je21VYQ4QlXNRJnhbuZspex/7crmyBUZRDSodvseLQE=; b=DMs3DO/CH+ib3LkcTL0SRRyM
P9TrXpvom0jJ9VFWPKp+ukmRvniL7y/3PxMk/zeiwqtAqJKC03GGuHQ4B/GOXsP/EhuEKjY6doQ0l4J CPq6DcXYWivJKXpuEYRF9iu5LTuAS2LifUN73Ugdm7CRRhlmYp63Y+uDOML6pHY
lu8BBMfriJSYdQ E1SGGBWak0xqSc3p+xJ++62seV8Kh/4nQq1Y832KtTDLwLuX93jNYgamS+og3cz49Upae0MJDLGas /IgQXNYPuVTePY0LOnQThEPlEnXPW0W6/43pGM/FYRw+/RVm
BgOaPjWF/83oTyItNJaH9OPce4ymV NaTtLsLg==;

Der DKIM-Header enthält unter anderem:

• v= gibt die verwendete Version an.
• s= ist der Name des Selektors, der vom empfangenden Server bei der Suche nach dem DKIM-Eintrag verwenden soll.
• d= enthält den Domainnamen des Absenders.
• h= gibt an, welche Felder des Headers zur Erstellung der digitalen Signatur verwendet wurden. In unserem Beispiel wurden die Felder Subject, Date, From, Message-ID, To, MIME-Version, Reply-To, CC, BCC, IN-Reply-To, References, Content-Transfer-Endcoding verwendet. 
  
• b= ist der eigentliche Signaturwert, der aus h und bh erzeugt und mit Hilfe des privaten Schlüssels signiert wurde.
• bh= stellt den Hash des E-Mail-Textes dar. Er wird unter Anwendung einer speziellen mathematischen Funktion (Hash-Funktion) erstellt. Die Funktion ist ebenfalls im E-Mail-Header vorhanden, damit der empfangende Mailserver noch vor dem Herunterladen des E-Mail-Textes die digitale Signatur berechnen kann. Dies verringert die Verzögerungen, die beim Empfang einer E-Mail entstehen kann. 
  
• a= ist der verwendete Hash-Algorithmus, der bei der Berechnung der Signatur (b) sowie zur Berechnung des E-Mail-Text-Hashes (bh) angewandt wurde. 
  
• und weitere technische Parameter

Der empfangende Mailserver verwendet denselben Inhalt, der unter h= enthalten ist, den Body-Hash bh= sowie den öffentlichen Schlüssel, um die Gültigkeit der digitalen Signatur zu überprüfen. Ist der korrekte private Schlüssel bei der Signierung verwendet worden und der Inhalt der E-Mail (Header + Text) unverändert, dann ist die DKIM-Prüfung erfolgreich.

Wie hängt DKIM mit DMARC zusammen?

DMARC ist ein Protokoll, das auf DKIM und SPF aufsetzt. Es definiert Regeln dafür, wie empfangende Mailserver mit E-Mails umgehen sollen, bei denen die Authentifizierung fehlschlägt. Alle drei zusammen helfen dabei den E-Mail-Spam und E-Mail-Spoofing zu verhindern. Wie auch der DKIM-Eintrag wird der DMARC-Eintrag in der DNS-Zone einer Domain als TXT-Eintrag eingetragen.

Zusammenhang:

• DKIM ist eine von zwei möglichen Authentifizierungsmethoden, die DMARC unterstützt.
• Eine DMARC-Richtlinie kann verlangen, dass entweder SPF oder DKIM erfolgreich ist – und dass die jeweilige Methode im sogenannten Alignment mit der From-Domain steht.
• Wenn DKIM bei einer Nachricht erfolgreich validiert wird und die signierte Domain mit der Absenderdomain übereinstimmt (Alignment), dann kann DMARC auf Pass gehen.

Wie kann ich DKIM für meine Domain bei WebWide einrichten?