Um die E-Mail-Kommunikation vor Missbrauch zu schützen, bedarf es mehrerer Technologien, die das Simple Mail Transfer Protocol (SMTP) ergänzen. Eine ist das Verfahren DomainKeys Identified Mail (DKIM).
Im ständigen Wettrüsten zwischen Angreifern und Verteidigung schützt SPF nicht vollends vor der Bedrohung durch Spam und Phishing-Mails. Es bedarf weiterer Massnahmen. Ein zusätzliches Glied einer stabilen Abwehrkette bildet das Identifikationsprotokoll DKIM. Die Initiative dafür haben unter anderem Cisco und Yahoo Anfang der 2000er Jahre auf den Weg gebracht. Im Jahr 2011 wurde DKIM dann von der Internet Engineering Task Force (IETF) zum Standard erhoben.
DKIM hilft dabei, die Absender-Domain einer E-Mail zu verifizieren und setzt dazu auf Signaturen, die auf Kryptografie mithilfe von öffentlichen und privaten Schlüsseln basieren. Wie bei SPF auch, bildet das Domain Name System (DNS) die Grundlage. Den öffentlichen Schlüssel zu Ihrer Domain veröffentlichen Sie als DKIM-DNS-Eintrag vom Typ „TXT“. Wenn Sie daraufhin eine E-Mail versenden, berechnet der Server zwei Hash-Werte, eine für die Kopfzeilen der Nachricht und eine weitere für den Message-Body. Diese Hash-Werte signiert der Server mit dem privaten Schlüssel und fügt sie den Kopfzeilen der Nachricht als DKIM-Signatur hinzu. Weiterhin gehören zu den DKIM-Informationen die Absender-Domain selbst sowie der „Selektor“. Beim Selektor handelt es sich um den DNS-Eintrag, in dem ein empfangender Mail-Server den öffentlichen Schlüssel findet. Mithilfe dieser Information kann der Zielserver die Konfiguration von DKIM abfragen und einen DKIM Check vornehmen.
Was nach dem DKIM Check geschieht, liegt im Ermessen der Administratoren des Zielservers. Viele Server lehnen E-Mails bei fehlgeschlagener Prüfung umgehend ab. Alternativ dazu führt ein Fehlschlag lediglich zur Markierung der Nachricht als potenzieller Spam.
Damit DKIM seine Wirkung entfalten kann, müssen die Server von Sender und Empfänger das Verfahren unterstützen. Die meisten grossen Provider haben den Standard inzwischen implementiert, so auch Gmail. Mit drei einfachen Handgriffen lässt sich DKIM für Ihre E-Mail-Domains aktivieren. Das entsprechende DKIM Tool zum Erzeugen der öffentlichen und privaten Schlüssel finden Sie in der Google Admin Console unter „Apps / Google Workspace / Gmail“ und dort im Bereich „E-Mails authentifizieren“.
Klicken Sie auf „Neuen Eintrag erstellen“, um das Schlüsselpaar zu generieren! Die Google Admin Console liefert daraufhin den Selektor, also den Namen des TXT-Records, sowie den Wert, der den öffentlichen Schlüssel zur Absicherung der ausgewählten Domain per DKIM darstellt.
Im nächsten Schritt fügen Sie im DNS der Domain den TXT-Eintrag mit dem angezeigten Wert hinzu. Nun heisst es warten, denn Google weist darauf hin, dass es bis zu 48 Stunden dauern kann, bis sich die Information weltweit im DNS verbreitet hat. Anschliessend klicken Sie im dritten und letzten Schritt in der Google Admin Console auf „Authentifizierung starten“. DKIM ist damit für Ihre Domain aktiv.
All dies geschieht im Hintergrund ohne Zutun der Endanwender. Als Identifikationsprotokoll dient DKIM nicht direkt der Spam-Filterung, doch es hilft mittelbar dabei, die Vertrauenswürdigkeit der Absender-Domain und damit die Reputation der Nachricht zu bewerten.
Ob eine E-Mail den DKIM Check bestanden hat, prüfen Nutzer von Gmail analog zum Status von SPF. Klicken Sie im Webfrontend von Gmail in den Eigenschaften einer E-Mail einfach auf die Option „Original anzeigen“! Der folgenden Detail-Ansicht können Sie entnehmen, ob die Prüfungen von SPF und DKIM erfolgreich waren.
Sie möchten die Sicherheit Ihrer E-Mail-Kommunikation erhöhen? Gerne unterstützen wir Sie.