E-Mail/DKIM

Aus schokokeks.org Wiki
Version vom 16. Mai 2023, 16:38 Uhr von Bernd (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert. = DKIM = DKIM ist nicht zu verwechseln mit einer E-Mail-Signatur in Ihrem Anwendungsprogramm (PGP oder S/MIME), letztere identifiziert Sie als Absender i.d.R. namentlich von Ihnen als Absender bis zum Empfänger. DKIM sichert dagegen nur den Weg von Ihrem Mail-Server (also unseren Anlagen) bis zum Mail-Server des Empfängers. Dazu wird ein DNS-Record publiziert, der e…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Mit der DKIM-Technik wird die Zustellung und Herkunft Ihrer E-Mails digital signiert.

DKIM

DKIM ist nicht zu verwechseln mit einer E-Mail-Signatur in Ihrem Anwendungsprogramm (PGP oder S/MIME), letztere identifiziert Sie als Absender i.d.R. namentlich von Ihnen als Absender bis zum Empfänger. DKIM sichert dagegen nur den Weg von Ihrem Mail-Server (also unseren Anlagen) bis zum Mail-Server des Empfängers. Dazu wird ein DNS-Record publiziert, der einen öffentlichen Schlüssel für Ihre Domain enthält. Jeder DKIM-kompatible Mailserver prüft nun bei eingehenden E-Mails von Ihrer Domain ob die Signatur zu diesem Schlüssel passt.

Die Motivation bei der Erfindung von DKIM war ähnlich wie bei einfacheren SPF, bei dem nur über die IP-Adressen eine feste Menge an Mail-Servern für den Versand aus Ihrer Domain erlaubt wird. Der Vorteil von DKIM ist, dass damit Weiterleitungen möglich sind, wenn die DKIM-Signatur und der Absender gleich bleiben.


DMARC

Als zusätzliche Einstellung können wir für Sie auch einen DMARC-Record veröffentlichen. Dies ist eine Anweisung an den empfangenden Mailserver, eingehende Mail von dieser Domain nur dann zu akzeptieren, wenn diese per DKIM signiert ist und von einem mit SPF erlaubten Mailserver stammt.

Dazu kann mittels DMARC festgelegt werden, dass Zustellversuche an den Inhaber der Domain gemeldet werden, um eine Fehleranalyse zu bewerkstelligen.

Übrigens können Sie auch einen eigenen DMARC-Record im DNS-Server anlegen mit Ihren eigenen Einstellungen und Reporting-Adressen. Diese Einstellung muss dafür nicht aktiviert sein.


Unzulänglichkeiten

Die anfängliche Zielsetzung von DKIM war es, dass Mailserver nicht signierte Mails direkt abweisen können und somit niemand Fremdes unter Ihrer Domain Nachrichten versenden kann. Dieses Ziel wurde leider durch einige Design-Schwächen und unzulängliche Implementierungen konterkariert und DKIM wird daher heute nur als ein Indiz unter mehreren in Spamfiltern verwendet.

Leider gibt es insbesondere bei DMARC als Kombination von SPF und DKIM ein schwer lösbares Problem mit jeglicher Art von Weiterleitungen. Für SPF sollte zwingend der Absender beim Weiterleiten umgeschrieben werden, bei DKIM sollte er nicht geändert werden.

Aufgrund der Weiterleitungs-Problematik müssen die Einstellungen bei DMARC momentan sehr locker gesetzt werden, so dass diese Technik Sie trotzdem nicht vor Spoofing schützen kann.


Fazit / Empfehlung

Wir empfehlen, DKIM für Ihre Domain einzuschalten aber DMARC momentan noch nicht zu aktivieren. Die Verwendung von DKIM als Zusatz schadet nicht und bringt Ihren Mails eventuell zusätzliche Vorteile beim empfangenden Spamfilter.