DKIM
Was ist DKIM?
DomainKeys Identified Mail (DKIM) ist ein E-Mail-Authentifizierungsverfahren, das mittels digitaler Signatur die Unverfälschtheit und Zielhinterlegung von Nachrichten gewährleistet.
Mit DKIM können empfangende Server prüfen, ob eine Nachricht wirklich von der angegebenen Domain stammt und unterwegs nicht manipuliert wurde.
Bedeutung und Einsatzbereiche
DKIM hilft insbesondere bei:
- Erkennung von Spam und Phishing
- Verbesserung der Zustellbarkeit
- Aufbau von Absenderreputation
- Sicherung von Marketing- und Transaktionsmails
Funktionsweise und Merkmale
Beim Versand erzeugt der Mail-Server eine digitale Signatur über ausgewählte Header und den Nachrichtentext. Dafür wird:
- der E-Mail-Inhalt kanonisch formatiert (Canonicalization),
- ein Hashwert (z. B. SHA-256) berechnet,
- dieser mit dem privaten Schlüssel signiert und
- im Header „DKIM-Signature“ vermerkt.
Der Empfänger ruft den öffentlichen Schlüssel per DNS ab und bestätigt so Integrität und Absenderdomain.
| RSA | Ed25519 |
|---|---|
| Schlüsselgröße: 1024–4096 Bit | Schlüsselgröße: 256 Bit |
| Weit verbreitet, obligatorisch | Schneller, moderner Algorithmus |
| Höherer Rechenaufwand | Geringere CPU-Belastung |
Herausforderungen und Risiken
- Fehlerhafte DNS-Einträge verhindern Signaturprüfung
- Lange TTLs verzögern Schlüsselrotation
- Verlust des privaten Schlüssels gefährdet Sicherheit
- Schutz bezieht nur Header, nicht gesamten Mail-Body
Tipps und Best Practices
So implementieren Sie DKIM effektiv
Folgende Maßnahmen steigern die Sicherheit und Zuverlässigkeit:
- Verwenden Sie mindestens 2048-Bit-Schlüssel
- Rotieren Sie Schlüssel regelmäßig (z. B. jährlich)
- Setzen Sie niedrige DNS-TTLs (z. B. 1 Stunde)
- Testen Sie Signaturen mit Online-Tools
- Überwachen Sie DKIM-Fehler in Logs und Berichten
Fazit
DKIM ist ein essenzieller Baustein der E-Mail-Sicherheit und ergänzt SPF und DMARC. Richtig eingerichtet verbessert es Zustellraten und schützt Domains vor Missbrauch.