Suchen

Definition DKIM (DomainKeys Identified Mail)? Was ist DKIM?

| Autor / Redakteur: Dipl.-Ing. (FH) Stefan Luber / Peter Schmitz

DomainKeys Identified Mail, oder kurz DKIM ist ein auf asymmetrischer Verschlüsselung und Signaturen basierendes Verfahren, mit dem sich die Authentizität der versendenden Domain einer E-Mail sicherstellen lässt. Mailserver, die das Verfahren unterstützen, können gefälschte E-Mail-Absender erkennen und Spam- oder Phishing-Kampagnen eindämmen.

Firmen zum Thema

DomainKeys Identified Mail (DKIM) ist ein auf Signaturen basierendes Verfahren zur Authentifizierung der versendenden Domain einer E-Mail.
DomainKeys Identified Mail (DKIM) ist ein auf Signaturen basierendes Verfahren zur Authentifizierung der versendenden Domain einer E-Mail.
(Bild: gemeinfrei / Pixabay )

Das Kürzel DKIM steht für DomainKeys Identified Mail. Es handelt sich um ein Verfahren zur Prüfung der Authentizität der Domainangabe einer E-Mail-Absenderadresse. DKIM verwendet die asymmetrische Verschlüsselung, um im Header einer E-Mail eine fälschungssichere Signatur hinzuzufügen. Der empfangende Server kann die Signatur überprüfen und sicherstellen, dass das Versenden der E-Mail vom Domaininhaber autorisiert und der Inhalt nicht verändert wurde.

Das Verfahren arbeitet für die Enduser in der Regel transparent, da die Prüfung der Signatur auf Serverebene stattfindet. Ursprünglich wurde DKIM von Yahoo und Cisco entwickelt. Weitere Unternehmen unterstützten das Verfahren und reichten es zur Standardisierung ein. Die maßgeblichen RFCs sind der im Jahr 2007 veröffentlichte RFC 4871 und der 2011 veröffentlichte RFC 6376. Mithilfe von DomainKeys Identified Mail lassen sich Spam- oder Phishing-Kampagnen eindämmen.

Die Funktionsweise von DomainKeys Identified Mail

DomainKeys Identified Mail nutzt die asymmetrische Verschlüsselung mit privaten und öffentlichen Schlüsseln. Eine Domäne besitzt einen nur ihr bekannten Private Key und einen über das Domain Name System (DNS) veröffentlichten Public Key. Der Mail-Server der versendenden Domain erstellt aus dem Inhalt einen Hashwert. Dieser wird mit dem privaten Schlüssel der Domain verschlüsselt und als Signatur in den DomainKey-Signature-Header der Mail eingefügt. Der empfangende Mailserver entschlüsselt mithilfe des ihm bekannten Public Keys die Signatur und vergleicht den Hashwert mit dem selbst berechneten Hashwert. Stimmen beide Hashwerte überein, ist die Authentizität der Domain sichergestellt und die Manipulation des Inhalts ausgeschlossen. Abhängig vom Ergebnis der Prüfung entscheidet der Mailserver, ob er die Nachricht zustellt, verwirft oder einer weiteren Prüfung beispielsweise auf verdächtigen Inhalt unterzieht. Damit DKIM zuverlässig funktioniert, müssen die Mailserver entsprechende Softwarekomponenten besitzen, die das DomainKey-Verfahren unterstützen. Geeignete Software ist für nahezu alle gängigen Mail-Transfer-Agenten (MTAs) verfügbar.

Vor- und Nachteile der DomainKeys Identified Mail

Wichtigster Vorteil der DomainKeys Identified Mail ist, dass der empfangende Mailserver die Authentizität der signierenden Domain und den unveränderten Inhalt der E-Mail zweifelsfrei feststellen kann. Domain-basierende Verfahren mit Black- und Whitelists zur Eindämmung von Phishing- oder Spam-Kampagnen arbeiten dadurch wesentlich effizienter. Versender von Spam oder Phishing-Mails können nicht mehr beliebige Absenderadressen fälschen. Allerdings erkennt DomainKeys Identified Mail selbst keinen Spam. Werden E-Mail-Adressen einer authentisierten Domain für den Spam-Versand verwendet, müssen weitergehende Maßnahmen zur Erkennung von Mails mit unerwünschtem Inhalt getroffen werden.

Ein Nachteil ist, dass das Generieren und Prüfen von Signaturen zusätzliche Rechenleistung der sendenden und empfangenden Mailserver benötigt. Für Server mit einem hohem E-Mail-Aufkommen kann dies zu einer Herausforderung werden. Damit das Verfahren funktioniert, sind die Mail-Transfer-Agenten der beteiligten Systeme mit entsprechender Software auszustatten. Auch die benötigten privaten und öffentlichen Schlüssel sind zu generieren und bereitzustellen.

(ID:46005977)

Über den Autor