DKIM-Schlüsselrotation

Die DKIM-Schlüsselrotation ist der Prozess der Aktualisierung Ihrer DKIM-Schlüssel. Sie sollten Ihre Schlüssel in regelmäßigen Abständen erneuern - der genaue Zeitraum ist nicht wichtig, wohl aber der Vorgang selbst. Warum sollten Sie das tun? Die Schlüsselrotation bezieht sich auf die Erstellung neuer Schlüssel und die Aktualisierung von DNS-Einträgen mit diesen neuen Schlüsseln. Der Zweck des Wechselns Ihrer DKIM-Schlüssel ist ähnlich dem, warum Sie Ihre Passwörter regelmäßig ändern: Es ist eine Sicherheitsmaßnahme, die Angreifer daran hindert, sich als Ihre Domäne auszugeben und Spam- oder Phishing-E-Mails zu versenden.

Werfen wir einen Blick darauf, warum Sie überhaupt DKIM-Schlüssel verwenden.

Warum verwenden Sie DKIM-Schlüssel?

DKIM steht für DomainKeys Identified Mail. Es ist eine Möglichkeit, eine zusätzliche Sicherheitsebene zu Ihrem E-Mail-Server hinzuzufügen, damit Ihre E-Mails nicht als Spam gekennzeichnet werden und in Spam-Ordnern landen. Am besten stellen Sie sich DKIM als eine verschlüsselte Kennung vor, die an Ihre Nachrichten angehängt wird, damit die Empfänger überprüfen können, ob die Nachricht tatsächlich von Ihnen, der Person, von der sie zu stammen vorgibt, gesendet wurde. Diese Kennung oder dieser Schlüssel ermöglicht es ihnen, dies zu überprüfen.

Wie funktioniert DKIM?

DKIM funktioniert durch Hinzufügen dieser Kennung zu jeder versandten E-Mail. Wenn jemand eine dieser E-Mails erhält, kann er in der Kopf- oder Fußzeile der Nachricht eine Zahlen- und Buchstabenfolge finden, bei der es sich um den verschlüsselten Bezeichner oder DKIM-Schlüssel handelt. Bevor eine E-Mail an den Empfänger gesendet wird, signiert der E-Mail-Server des Absenders jede E-Mail mit einer digitalen Signatur, die dann vom empfangenden E-Mail-Server überprüft wird. Dieser Vorgang beweist, dass die E-Mail in keiner Weise manipuliert oder verändert worden ist. 

Wenn Sie Ihre E-Mail senden, wird die Signatur als Kopfzeile am Ende der Nachricht angehängt. Die Empfängerserver verwenden öffentliche Schlüssel (die von den Domänenbesitzern über DNS-Einträge bereitgestellt werden), um diese Signaturen zu entschlüsseln und zu überprüfen.

Warum ist die DKIM-Schlüsselrotation wichtig für die Sicherheit Ihrer Domain?

DKIM-Schlüsselrotation bedeutet, dass Sie ein neues privates/öffentliches Schlüsselpaar zum Signieren und Authentifizieren Ihrer Nachricht verwenden und dann das alte private/öffentliche Schlüsselpaar nicht mehr verwenden.

Warum ist das wichtig? Wenn jemand in der Lage wäre, sich Zugang zu Ihrem privaten Schlüssel zu verschaffen, könnte er ihn nutzen, um betrügerische E-Mails zu versenden, die scheinbar von Ihnen stammen! Um diese Art von bösartigen Aktivitäten zu verhindern, sollten Sie Ihre Schlüssel alle paar Monate austauschen.

Um die Bedeutung der DKIM-Schlüsselrotation besser zu verstehen, sehen wir uns dieses Beispiel an: 

Nehmen wir an, Sie versenden eine E-Mail-Kampagne für einen Weihnachtsverkauf in Ihrem Geschäft. Sie verwenden Ihre DKIM-Schlüssel, um Ihre E-Mails zu signieren. Wenn Sie jedoch im Laufe der Zeit genügend E-Mails mit demselben Schlüsselpaar versenden, können böswillige Akteure irgendwann eine dieser E-Mails abfangen und entschlüsseln, da jede Nachricht denselben kryptografischen Hash-Algorithmus verwendet. Sobald sie in den Besitz Ihres öffentlichen Schlüssels gelangt sind, können sie ihre Phishing-E-Mails damit signieren, ohne dass Sie es merken! Aus diesem Grund ist die regelmäßige Rotation des DKIM-Schlüssels für die Sicherheit Ihrer Domain von entscheidender Bedeutung.

Wie können Sie Ihre DKIM-Schlüssel rotieren?

1. Manuelle DKIM-Schlüsselrotation

Sie können Ihre DKIM-Schlüssel von Zeit zu Zeit manuell erneuern, indem Sie neue Schlüssel für Ihre Domain erstellen. Führen Sie dazu die folgenden Schritte aus: 

  • Besuchen Sie unseren kostenlosen DKIM-Datensatz-Generator Werkzeug
  • Geben Sie die Informationen zu Ihrer Domain ein und tragen Sie den gewünschten DKIM-Selektor Ihrer Wahl ein 
  • Klicken Sie auf die Schaltfläche "Erzeugen". 
  • Kopieren Sie Ihr brandneues DKIM-Schlüsselpaar 
  • Der öffentliche Schlüssel wird in Ihrem DNS veröffentlicht und ersetzt Ihren bisherigen Eintrag
  • Der private Schlüssel muss entweder an Ihren E-Mail-Anbieter weitergegeben werden (wenn Sie Ihre E-Mails auslagern) oder auf Ihren E-Mail-Server hochgeladen werden (wenn Sie die E-Mail-Übertragung vor Ort durchführen). 

2. DKIM-Schlüsseldelegation für Unterdomänen

Domänenbesitzer können die DKIM-Schlüsselrotation auslagern, indem sie einen Dritten damit beauftragen. In diesem Fall delegiert der Inhaber der Domäne eine spezielle Subdomäne an einen E-Mail-Anbieter und bittet ihn, in seinem Namen ein DKIM-Schlüsselpaar zu erzeugen. Auf diese Weise können die Eigentümer den Aufwand für die DKIM-Schlüsselrotation umgehen, indem sie die Verantwortung an eine dritte Partei auslagern. 

Dies kann jedoch bei DMARC-Einträgen zu Problemen mit der Überschreibung von Richtlinien führen. Es wird empfohlen, dass rotierende Schlüssel von Domänencontrollern überwacht und überprüft werden, um eine reibungslose und fehlerfreie Bereitstellung zu gewährleisten. 

3. DKIM CNAME-Schlüsseldelegation

CNAME steht für canonical name und ist ein DNS-Eintrag, der auf Daten einer externen Domäne verweist. Die CNAME-Delegation ermöglicht es Domänenbesitzern, auf DKIM-Datensätze zu verweisen, die von einem externen Dritten verwaltet werden. Dies ähnelt der Delegation von Subdomains, da der Domänenbesitzer nur einige CNAME-Einträge in seinem DNS veröffentlichen muss, während die DKIM-Infrastruktur und die DKIM-Schlüsselrotation von der Drittpartei übernommen werden, auf die der Eintrag zeigt. 

Zum Beispiel, 

"domain.com" ist die Domäne, von der aus die E-Mails signiert werden sollen, und "third-party.com" ist der Anbieter, der die Signierung vornimmt. 

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Der oben erwähnte CNAME-Eintrag muss im DNS des Domäneninhabers veröffentlicht werden. 

Jetzt hat s1.domain.com.third-party.com bereits einen DKIM-Eintrag in seinem DNS veröffentlicht, der wie folgt lauten kann: s1.domain.com.third-party.com TXT "v=DKIM1; p=MIG89hdg599...."

Diese Informationen werden verwendet, um E-Mails zu signieren, die von domain.com stammen. 

Hinweis: Sie müssen Folgendes veröffentlichen mehrere DKIM-Einträge (empfohlen: mindestens 3 CNAME-Einträge) mit verschiedenen Selektoren in Ihrem DNS veröffentlichen, um die DKIM-Schlüsselrotation zu ermöglichen. Dies ermöglicht es Ihrem Anbieter, während der Unterzeichnung zwischen den Schlüsseln zu wechseln und ihm alternative Optionen zu bieten.

4. Automatische DKIM-Schlüsselrotation

Die meisten E-Mail-Anbieter und Drittanbieter von E-Mail-Diensten ermöglichen die automatische DKIM-Schlüsselrotation für Kunden. Wenn Sie beispielsweise Office 365 für die Weiterleitung Ihrer E-Mails verwenden, wird es Sie freuen zu erfahren, dass Microsoft die automatische DKIM-Schlüsselrotation für seine Office 365-Nutzer unterstützt. 

Wir haben ein vollständiges Dokument zur Aktivierung der DKIM-Schlüsselrotation für Ihre Office 365-E-Mails in unserer Wissensdatenbank bereitgestellt. 

Vorteile der automatischen Rotation Ihrer DKIM-Schlüssel

  • Wenn Ihr Anbieter die automatische Rotation von DKIM-Schlüsseln zulässt, müssen Sie selbst nichts tun. Alles wird von ihm verwaltet. 
  • Manuelle Konfigurationen sind anfällig für menschliche Fehler.
  • Die automatische Schlüsseldrehung ist schnell und effektiv und erfordert keinen Eingriff Ihrerseits. 
  • Das DKIM-Verwaltungssystem ist vollständig ausgelagert und wird von einer Drittpartei verwaltet.

Einsatz einer DKIM-Schlüsselrotationsstrategie

Wir nennen es die "3 Ds der DKIM-Schlüsselrotation":

  • Diskutieren Sie 
  • Entscheiden Sie
  • Bereitstellung von 

Dies ist die Zusammenfassung einer effektiven DKIM-Schlüsselrotationsstrategie für Ihre Domänen. Wenn Sie einen Dienst eines Drittanbieters für Ihre E-Mails in Anspruch nehmen und Ihr Anbieter die Schlüsselrotation für Sie übernimmt, stellen Sie sicher, dass Sie eine offene und transparente Diskussion darüber führen, wann und wie häufig Sie Ihre Schlüssel rotieren wollen. Sie sollten ein Mitspracherecht bei den Zeitplänen und der Größe Ihres Selektorschlüssels haben (ob Sie 1024 Bit oder 2048 Bit für mehr Sicherheit verwenden wollen). 

Sobald die Diskussionsphase vorüber ist, müssen Sie und Ihr Anbieter gemeinsam entscheiden, welche Strategie Sie verfolgen wollen, und diese schließlich umsetzen.