DKIM ist eine Methode zur E-Mail-Authentifizierung, die überprüft, dass eine Nachricht auf dem Weg nicht manipuliert wurde. Lerne, wie es funktioniert und warum es notwendig ist, um deine E-Mail-Domain zu schützen.
Zusammen mit den anderen Hauptmethoden der E-Mail-Authentifizierung, SPF und DMARC(neues Fenster), hilft DKIM dabei, E-Mail-Fälschungen (Nachrichten mit gefälschten Absenderadressen), Spam und Phishing-Angriffe zu verhindern.
Wir erklären DKIM, wie es funktioniert und warum es notwendig ist, um deine Domain zu schützen und sicherzustellen, dass deine Nachrichten zugestellt werden.
Was ist DKIM?
Wofür wird DKIM verwendet?
Was ist der Unterschied zwischen DKIM, SPF und DMARC?
Wie funktioniert DKIM?
Was ist eine DKIM-Signatur?
Was ist ein DKIM-Eintrag?
Was ist ein DKIM-Selektor?
Warum DKIM verwenden?
Schütze deine Domain
Verbessere die Zustellbarkeit von E-Mails
Baue deinen Domain-Ruf auf
Einfaches DKIM-Setup mit Proton Mail
Was ist DKIM?
DKIM (DomainKeys Identified Mail) ist ein offener Standard für die E-Mail-Authentifizierung, der eine E-Mail kryptographisch „signiert“, um zu überprüfen, dass die Adresse des Absenders nicht gefälscht wurde (gespoofed) und die Nachricht während der Übertragung nicht manipuliert wurde.
DKIM stellt sicher, dass eine von deiner Domain gesendete E-Mail (zum Beispiel @deinedomain.de) mit einem Verschlüsselungsschlüssel signiert ist, der deiner Domain gehört. Dies verifiziert, dass sie von einem legitimen E-Mail-Server stammt und nicht von einem Angreifer-Server, der deine Domain gefälscht hat.
Wofür wird DKIM verwendet?
DKIM ist eine der Hauptmethoden, die E-Mail-Server zur Authentifizierung von E-Mails verwenden. Zusammen mit SPF und DMARC verwenden E-Mail-Plattformen DKIM, um gefälschte Adressen zu identifizieren und somit Spam und potenzielle Phishing-E-Mails zu filtern und zu verhindern.
Wenn du E-Mails von deiner eigenen Domain sendest (zum Beispiel deinname@deinedomain.de), solltest du DKIM verwenden, um zu verhindern, dass Angreifer sie fälschen. Wenn du DKIM nicht verwendest, könnten Nachrichten von deiner Domain als Spam markiert oder von empfangenden Mail-Servern abgelehnt werden.
Was ist der Unterschied zwischen DKIM, SPF und DMARC?
DKIM, SPF und DMARC sind E-Mail-Authentifizierungsmethoden, die gemeinsam genutzt werden, um zu überprüfen, ob E-Mails authentisch sind. Hier sind die verschiedenen Rollen, die sie spielen:
- DKIM (DomainKeys Identified Mail) überprüft kryptografisch, dass die Adresse des Absenders und der Inhalt der E-Mail auf dem Weg nicht verändert wurden.
- SPF (Sender Policy Framework) stellt sicher, dass eine E-Mail von einer IP-Adresse versendet wurde, die autorisiert ist, E-Mails vom Domain des Absenders zu senden.
- DMARC (Domain-based Message Authentication, Reporting, and Conformance) stellt sicher, dass die Domain in den DKIM- und SPF-Überprüfungen mit der Absenderdomain im From-Feld übereinstimmt. Es legt auch fest, wie E-Mail-Dienstanbieter eine Nachricht zustellen sollen, die sowohl bei DKIM als auch bei SPF durchfällt: Sie können sie akzeptieren, ablehnen oder als Spam markieren.
Erfahre, wie du DKIM, SPF und DMARC mit Proton Mail einrichten kannst
Wie funktioniert DKIM?
DKIM verwendet Public-Key-Kryptografie(neues Fenster), um eine digitale Signatur zu einer E-Mail hinzuzufügen.
Der Server, der die E-Mail sendet, verwendet seinen DKIM-Privatschlüssel, um die E-Mail zu „signieren“. Wenn die Nachricht ankommt, überprüft der empfangende Server die Signatur mit dem entsprechenden DKIM-Öffentlichkeitsschlüssel.
Hier ist, was passiert, wenn du eine E-Mail mit DKIM sendest:
- Der sendende Mailserver erstellt einen Hash der E-Mail-Inhalte (das From-Feld, Betreff, Nachrichtentext usw.) und verschlüsselt ihn mit einem Privatschlüssel, den nur vertrauenswürdige sendende Mailserver kennen.
- Der Server fügt den Hash im E-Mail-Header als DKIM-Signatur hinzu.
- Wenn die E-Mail ankommt, sucht der empfangende Mailserver den entsprechenden Öffentlichkeitsschlüssel in den DNS-Einträgen deiner Domain und entschlüsselt den Hash in der DKIM-Signatur.
- Der empfangende Mailserver erzeugt dann seine eigenen Hashes aus dem Nachrichtentext und den Feldern in der E-Mail und vergleicht sie mit den entschlüsselten Hashes in der DKIM-Signatur.
- Wenn die Hashes übereinstimmen, wird damit bestätigt, dass die E-Mail während des Sendevorgangs nicht verändert wurde, und sie besteht den DKIM-Test.
Kurz gesagt, wenn eine E-Mail DKIM besteht, erfahren wir, dass:
- Die Nachricht von der Domain in der DKIM-Signatur gesendet wurde
- Die Nachricht auf dem Weg nicht manipuliert wurde
Wenn eine Nachricht DKIM nicht besteht, wird die E-Mail als verdächtig behandelt: Der empfangende Server kann sie in den Spam-Ordner des Empfängers senden oder ablehnen.
Was ist eine DKIM-Signatur?
Eine DKIM-Signatur ist eine digitale Signatur, die einem E-Mail-Header hinzugefügt wird, um dem empfangenden Server zu ermöglichen, kryptografisch zu überprüfen, dass die Nachricht nicht manipuliert wurde.
Eine DKIM-Signatur besteht aus einer Reihe von Tags, wie v=1, a=rsa-sha256 usw., wie in diesem Beispiel:
Hier ist die Bedeutung der wichtigsten Tags:
DKIM-Signaturtag | Bedeutung | Erforderlich? |
---|---|---|
v=1 | DKIM-Versionsnummer (sollte immer v=1 sein) | Ja |
a | Verwendeter Algorithmus zur Erstellung der digitalen Signatur | Ja |
d | Domainname (wird zusammen mit dem DKIM-Selektor verwendet, um den öffentlichen Schlüssel zu lokalisieren) | Ja |
s | DKIM-Selektor (wird verwendet, um den öffentlichen Schlüssel zu lokalisieren — siehe unten) | Ja |
t | Zeitpunkt der Signatur | Nein |
x | Ablaufzeit | Nein |
bh | Hashwert des Nachrichteninhalts | Ja |
h | Liste der in der Signatur enthaltenen Header-Felder (durch Doppelpunkte getrennt) | Ja |
b | Die digitale Signatur, die aus bh und h generiert und mit dem privaten Schlüssel signiert wurde | Ja |
Wenn eine gesendete E-Mail eintrifft, wird die DKIM-Signatur folgendermaßen überprüft:
- Der empfangende Mailserver verwendet den DKIM-Selektor (s) und den Domainnamen (d), um den öffentlichen Schlüssel zu lokalisieren und die digitale Signatur (b) zu entschlüsseln.
- Der Server erzeugt dann seinen eigenen Hashwert aus dem Nachrichteninhalt und überprüft, ob dieser mit dem Hashwert im Feld bh übereinstimmt. Anschließend erzeugt er einen Hash der Header (einschließlich der DKIM-Signatur, die das Feld bh enthält) und vergleicht diesen Hash mit der digitalen Signatur, die er mit dem öffentlichen Schlüssel entschlüsselt.
- Wenn diese Hashwerte übereinstimmen, bestätigt dies, dass die E-Mail nicht verändert wurde und die Nachricht DKIM besteht.
Was ist ein DKIM-Eintrag?
Ein DKIM-Eintrag ist der Speicherort des öffentlichen DKIM-Schlüssels. Der DKIM-Eintrag wird veröffentlicht und ist auf dem DNS-Server einer Domain öffentlich zugänglich, sodass jeder empfangende Mailserver ihn abrufen kann, um eine DKIM-Signatur zu verifizieren.
Ein DKIM-Eintrag beinhaltet:
- Der DKIM-Selektor
- Die E-Mail-Domain
- Der öffentliche Schlüssel
Indem nach einem bestimmten DKIM-Selektor und Domainnamen gesucht wird, kann ein empfangender E-Mail-Server den entsprechenden öffentlichen Schlüssel finden, um eine DKIM-Signatur zu überprüfen.
Was ist ein DKIM-Selektor?
Ein DKIM-Selektor ist ein eindeutiger Name, der angibt, wo der öffentliche Schlüssel auf einem DNS-Server einer Domain gespeichert ist. Er wird zusammen mit deinem Domainnamen in einem DKIM-Eintrag gespeichert.
Wenn du eine E-Mail mit DKIM sendest, wird der DKIM-Selektor als s= Tag in der DKIM-Signatur angegeben. Im folgenden Beispiel ist der DKIM-Selektor protonmail2
Du kannst den DKIM-Selektor für deine Domain sehen, indem du dir selbst eine E-Mail schickst und die DKIM-Signatur im E-Mail-Header überprüfst.
Warum DKIM verwenden?
Wenn du eine eigene Domain hast, empfehlen wir dringend die Implementierung von DKIM, SPF und DMARC. Hier sind die Gründe:
Schütze deine Domain
DKIM erschwert es Angreifern, E-Mails zu senden, die vorgeben, von deiner Domain zu stammen (E-Mail-Spoofing). Die Aktivierung von DKIM hilft dabei, zu verhindern, dass böswillige Akteure deine Domain für Spam oder Phishing-Angriffe nutzen.
Verbessere die E-Mail-Zustellbarkeit
E-Mails mit einer DKIM-Signatur wirken legitimer und können von einem empfangenden Mailserver überprüft werden. Daher verringert die Implementierung von DKIM für die von dir gesendeten E-Mails die Wahrscheinlichkeit, dass sie im Spamordner landen.
Baue den Ruf deiner Domain auf
Je mehr du E-Mails sendest, die DKIM und andere Authentifizierungsprüfungen bestehen, desto mehr verbesserst du den Ruf deiner Domain als Absender bei Internetdienstanbietern und E-Mail-Anbietern. So kann DKIM langfristig die Zustellbarkeit deiner E-Mails verbessern.
Einfache DKIM-Einrichtung mit Proton Mail
Wenn du eine eigene Domain hast, ist es einfach, die E-Mail-Authentifizierung einzurichten, um sie mit einem Proton Mail kostenpflichtigen Plan zu schützen. Wir begleiten dich Schritt für Schritt durch den Prozess des Einrichtens deiner eigenen Domain mit DKIM, SPF und DMARC-Authentifizierung.
Richte eine einzelne Domain mit Proton Mail Plus ein oder wähle Proton Unlimited mit Unterstützung für drei Domains, 15 Adressen, 500 GB Speicherplatz und unbegrenzten hide-my-email-Aliasen.
Wenn du ein Unternehmen hast, sichere deine E-Mails mit Proton for Business. Wenn du keine Domain hast und einfach nur sichere E-Mails, die deine Privatsphäre respektieren, möchtest, wähle unseren Proton Free Tarif.
Alle Proton Tarife beinhalten Ende-zu-Ende-verschlüsseltes Proton Mail, Proton Calendar, Proton Drive und Proton VPN(neues Fenster).
Komm zu uns und bleib sicher!