DKIM-Schlüsselrotation erklärt: Best Practices, Methoden und Tools

Blog

Die DKIM-Schlüsselrotation ist der Prozess der Aktualisierung Ihrer DKIM-Schlüssel. Sie sollten Ihre Schlüssel regelmäßig rotieren - die Häufigkeit ist nicht wichtig, sondern der Prozess.

von YunesTarada

Zuletzt aktualisiert:
6 Lesezeit: 2 Minuten
DKIM-Schlüsselrotation erklärt: Best Practices, Methoden und Tools
Inhaltsverzeichnis-

Die DKIM-Schlüsselrotation ist der Vorgang, bei dem Ihre bestehenden DKIM-Kryptografieschlüssel durch neue ersetzt werden, um die E-Mail-Sicherheit aufrechtzuerhalten. Das klingt technisch, aber die Idee dahinter ist einfach: Genauso wie Passwörter nicht für immer gleich bleiben sollten, sollten auch Ihre DKIM-Schlüssel nicht unverändert bleiben.

Eine regelmäßige Rotation der DKIM-Schlüssel hilft dabei, E-Mail-Spoofing, Phishing und die unbefugte Nutzung Ihrer Domain zu verhindern. In diesem Leitfaden erklären wir Ihnen, was DKIM-Schlüssel sind, warum eine Rotation wichtig ist, wie oft Sie sie rotieren sollten und wie Sie dies am sichersten tun können (manuell oder automatisch).

Was sind DKIM-Schlüssel?

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsprotokoll, das überprüft, ob eine E-Mail tatsächlich von der Domain stammt, die sie vorgibt zu vertreten.

Wenn eine E-Mail gesendet wird, signiert der sendende Server sie mit einem privaten kryptografischen Schlüssel. Ein entsprechender öffentlicher Schlüssel wird im DNS als TXT-Eintrag veröffentlicht. Wenn der Mailserver des Empfängers die Nachricht empfängt, ruft er den öffentlichen Schlüssel aus dem DNS ab und verwendet ihn zur Validierung der Signatur. Wenn die Signatur übereinstimmt, wird die Nachricht als authentisch und unverfälscht bestätigt.

Dieser Prozess stärkt das Vertrauen zwischen sendenden und empfangenden Servern. Außerdem verbessert er die Platzierung im Posteingang und schützt Domains vor Identitätsdiebstahl. DKIM arbeitet mit SPF und DMARC zusammen und bildet so eine mehrschichtige Verteidigung gegen Spoofing und Phishing.

Kryptografischer Schutz ist jedoch keine einmalige Konfiguration, die man einfach vergessen kann. Auch Schlüssel müssen weiterentwickelt werden.

Warum das Rotieren von DKIM-Schlüsseln entscheidend ist

DKIM-Schlüsselrotation bedeutet, dass ein neues privates/öffentliches Schlüsselpaar generiert und das alte nach einer sicheren Übergangsphase außer Kraft gesetzt wird. Aber warum ist das wichtig? Wenn ein böswilliger Akteur Zugriff auf Ihren privaten Schlüssel erhält, kann er betrügerische E-Mails signieren, die legitim erscheinen. Das kann zu folgenden Problemen führen:

  • Phishing-Kampagnen von Ihrer Domain
  • Markenimitierung
  • E-Mail-Blacklisting
  • Zustellbarkeitsschaden

Je länger ein Schlüssel aktiv bleibt, desto größer ist das Risiko einer Gefährdung. Selbst wenn der Schlüssel nicht kompromittiert wird, erhöht eine langfristige Wiederverwendung Ihre Angriffsfläche. Aber das ist noch nicht alles! Es gibt auch einen betrieblichen Grund: Veraltete Schlüssel (wie z. B. 1024-Bit-Schlüssel) entsprechen möglicherweise nicht mehr den modernen Sicherheitsanforderungen und können die Zuverlässigkeit der Authentifizierung beeinträchtigen. Daher schützt die DKIM-Rotation sowohl den Ruf Ihrer Marke als auch Ihre E-Mail-Infrastruktur, indem sie dazu beiträgt, dass Ihre Schlüssel modern, aktuell und absolut sicher bleiben.

Wie oft sollten Sie DKIM-Schlüssel rotieren?

Es gibt keine allgemeingültige Regel, aber die bewährten Verfahren der Branche empfehlen Folgendes:

  • Bei den meisten Organisationen alle 6–12 Monate
  • Alle 3–6 Monate für Absender mit hohen Sicherheitsanforderungen oder hohem Versandvolumen
  • Sofort, wenn ein Kompromiss vermutet wird

Organisationen, die sich an den Leitlinien von Branchenverbänden wie der Messaging, Malware and Mobile Anti-Abuse Working Group (M3AAWG) orientieren, wenden häufig jährliche oder halbjährliche Rotationsrichtlinien an.

Ebenso wichtig ist die Schlüssellänge. Heute werden mindestens 2048-Bit-Schlüssel empfohlen. 1024-Bit-Schlüssel werden zwar in einigen Systemen technisch noch unterstützt, gelten jedoch zunehmend als schwach. Ein Upgrade auf 2048-Bit-Schlüssel stärkt die kryptografische Widerstandsfähigkeit und entspricht modernen Standards.

Methoden der DKIM-Schlüsselrotation

Es gibt mehrere Möglichkeiten, DKIM-Schlüssel zu rotieren, abhängig von Ihrer Infrastruktur und Ihrem Kontrollniveau.

1. Manuelle DKIM-Schlüsselrotation

Sie können Ihre DKIM-Schlüssel von Zeit zu Zeit manuell erneuern, indem Sie neue Schlüssel für Ihre Domain erstellen. Führen Sie dazu die folgenden Schritte aus:

  • Besuchen Sie unser kostenloses Tool zum Erstellen von DKIM-Einträgen.
  • Geben Sie die Informationen zu Ihrer Domain ein und tragen Sie den gewünschten DKIM-Selektor Ihrer Wahl ein
  • Klicken Sie auf die Schaltfläche "Erzeugen".
  • Kopieren Sie Ihr brandneues DKIM-Schlüsselpaar
  • Der öffentliche Schlüssel wird in Ihrem DNS veröffentlicht und ersetzt Ihren bisherigen Eintrag
  • Der private Schlüssel muss entweder an Ihren E-Mail-Anbieter weitergegeben werden (wenn Sie Ihre E-Mails auslagern) oder auf Ihren E-Mail-Server hochgeladen werden (wenn Sie die E-Mail-Übertragung vor Ort durchführen).

2. DKIM-Schlüsseldelegation für Unterdomänen

Domänenbesitzer können die DKIM-Schlüsselrotation auslagern, indem sie einen Dritten damit beauftragen. In diesem Fall delegiert der Inhaber der Domäne eine spezielle Subdomäne an einen E-Mail-Anbieter und bittet ihn, in seinem Namen ein DKIM-Schlüsselpaar zu erzeugen. Auf diese Weise können die Eigentümer den Aufwand für die DKIM-Schlüsselrotation umgehen, indem sie die Verantwortung an eine dritte Partei auslagern.

Dies kann jedoch zu Problemen mit der Richtlinienüberschreibung bei DMARC-Einträgen führen. Es wird empfohlen, rotierte Schlüssel von Domänencontrollern zu überwachen und zu überprüfen, um eine reibungslose und fehlerfreie Bereitstellung zu gewährleisten.

3. DKIM CNAME-Schlüsseldelegation

CNAME steht für canonical name und ist ein DNS-Eintrag, der auf Daten einer externen Domäne verweist. Die CNAME-Delegation ermöglicht es Domänenbesitzern, auf DKIM-Datensätze zu verweisen, die von einem externen Dritten verwaltet werden. Dies ähnelt der Delegation von Subdomains, da der Domänenbesitzer nur einige CNAME-Einträge in seinem DNS veröffentlichen muss, während die DKIM-Infrastruktur und die DKIM-Schlüsselrotation von der Drittpartei übernommen werden, auf die der Eintrag zeigt.

Beispiel:
„domain.com” ist die Domain, von der aus die E-Mails signiert werden sollen, und „third-party.com” ist der Anbieter, der den Signaturprozess übernimmt.

s1._domainkey.domain.com CNAME s1.domain.com.third-party.com

Der oben genannte CNAME-Eintrag muss im DNS des Domaininhabers veröffentlicht werden.
Nun verfügt s1.domain.com.third-party.com bereits über einen DKIM-Eintrag, der in seinem DNS veröffentlicht ist und wie folgt lauten kann: s1.domain.com.third-party.com TXT „v=DKIM1; p=MIG89hdg599….“

Diese Informationen werden verwendet, um E-Mails zu signieren, die von domain.com stammen.

Hinweis: Sie müssen mehrere DKIM-Einträge (empfohlen: mindestens 3 CNAME-Einträge) mit unterschiedlichen Selektoren in Ihrem DNS veröffentlichen, um die DKIM-Schlüsselrotation zu aktivieren. Dadurch kann Ihr Anbieter beim Signieren zwischen Schlüsseln wechseln und Ihnen alternative Optionen anbieten.

4. Automatische DKIM-Schlüsselrotation

Die meisten E-Mail-Anbieter und Drittanbieter von E-Mail-Diensten ermöglichen die automatische DKIM-Schlüsselrotation für Kunden. Wenn Sie beispielsweise Office 365 für die Weiterleitung Ihrer E-Mails verwenden, wird es Sie freuen zu erfahren, dass Microsoft die automatische DKIM-Schlüsselrotation für seine Office 365-Nutzer unterstützt.

Wir haben ein vollständiges Dokument zur Aktivierung der DKIM-Schlüsselrotation für Ihre Office 365-E-Mails in unserer Wissensdatenbank bereitgestellt.

Bewährte Verfahren für die DKIM-Schlüsselrotation

Hier ist eine kurze Checkliste, die Sie befolgen sollten:

  • Verwenden Sie mindestens 2048-Bit-Schlüssel.
  • Alle 6–12 Monate drehen
  • Mehrere Selektoren verwenden
  • Führen Sie ein Rotationsprotokoll
  • Testen Sie neue Schlüssel, bevor Sie alte entfernen.
  • Gewähren Sie während der Übergangsphase eine Schonfrist.
  • Koordination mit allen ESPs und Anbietern
  • DMARC-Berichte nach Rotation überwachen

Häufige Fallstricke und wie man sie vermeidet

Selbst erfahrene Teams machen Fehler. Hier sind einige häufige Probleme bei der Rotation:

Häufige-Fehler-und-wie-man-sie-vermeidet-

1. Zu frühes Entfernen alter Schlüssel

Warten Sie vor dem Löschen immer, bis die DNS-Propagierung abgeschlossen ist und der E-Mail-Fluss beendet ist. Hier kann die Konfiguration von DMARC-Berichten hilfreich sein. Erstellen Sie einfach einen DMARC-Eintrag und definieren Sie ein „rua”-Tag mit Ihrer E-Mail-Adresse, um täglich Berichte über Ihren Authentifizierungsstatus und die Ergebnisse zu erhalten.

2. Überprüfung überspringen

Testen Sie immer Ihre Authentifizierungsergebnisse, nachdem Sie einen neuen Selektor aktiviert haben. Sie können dies manuell tun oder vorzugsweise mit Hilfe eines DKIM-Prüftools, um sofort Klarheit und Einblicke zu erhalten.

3. Keine Mehrfachauswahl verwenden

Einzelne Selektoren-Konfigurationen bergen das Risiko von Ausfallzeiten. Stellen Sie sicher, dass Sie separate Selektoren für separate DKIM-Einträge definieren, die auf Ihrer Domain konfiguriert sind, damit empfangende Server Ihre Schlüssel leicht finden können.

4. Falsch konfigurierte Delegierung

Falsche CNAME- oder Subdomain-Einträge können die DKIM-Ausrichtung beeinträchtigen. Überprüfen Sie daher Ihre Konfiguration jedes Mal, wenn Sie Änderungen vornehmen.

5. Ignorieren der Schlüsselgröße

Veraltete 1024-Bit-Schlüssel schwächen die Sicherheit. Experten empfehlen, mindestens 2048-Bit-DKIM-Schlüssel für einen verbesserten Schutz zu konfigurieren und moderne Sicherheitsstandards einzuhalten.

Implementierung einer DKIM-Schlüsselrotationsstrategie

Wir nennen es die 3 Ds der DKIM-Schlüsselrotation:

Schritt 1. Besprechen Sie mit den Beteiligten und Anbietern die Rotationshäufigkeit, die Schlüsselgröße (empfohlen werden 2048 Bit) und die Delegierungsmethode.

Schritt 2. Entscheiden Sie sich: Wählen Sie nun Ihr Rotationsmodell: Manuell, CNAME-Delegierung, Subdomain-Delegierung oder vollautomatisch.

Schritt 3. Bereitstellung: Führen Sie schließlich die sichere Implementierung durch, indem Sie einen neuen Selektor generieren, Ihre Authentifizierung überwachen und alte Schlüssel erst nach der Validierung entfernen.

Beispiel für einen Rotationsplan

Januar: Neuen Selektor und neuen Schlüssel hinzufügen
Februar: Umstellung der Signatur auf den neuen Selektor
Mitte Februar: Alten Schlüssel entfernen
Alle 6–12 Monatewiederholen

Resümee

Die DKIM-Schlüsselrotation ist ein wichtiger, aber oft übersehener Bestandteil der E-Mail-Sicherheit. Wenn Schlüssel über Jahre hinweg unverändert bleiben, erhöht sich das Risiko einer Gefährdung und Ihr Authentifizierungsrahmen wird geschwächt. Zusammenfassend lässt sich sagen, dass die Rotation von Schlüsseln alle 6 bis 12 Monate, die Verwendung einer 2048-Bit-Verschlüsselung, die Pflege mehrerer Selektoren und die Überwachung der Authentifizierungsergebnisse die Grundlage einer starken Rotationsstrategie bilden.

PowerDMARC kann Ihnen dabei helfen, die Rotation und Authentifizierung Ihrer DKIM-Schlüssel zu vereinfachen! Unser Expertenteam hat bereits über 10.000 Unternehmen dabei unterstützt, die Einrichtung und Verwaltung von Protokollen zu automatisieren – ohne Spekulationen und ohne Ausfallzeiten. Kontaktieren Sie uns noch heute, um mehr zu erfahren oder loszulegen!

Häufig gestellte Fragen

1. Ist für die DKIM-Schlüsselrotation eine Ausfallzeit erforderlich?

Nein. Die DKIM-Schlüsselrotation sollte bei korrekter Implementierung keine Ausfallzeiten verursachen. Durch die Einführung eines neuen Selektors bei gleichzeitiger Beibehaltung des alten Schlüssels während einer Übergangsfrist werden E-Mails während der gesamten Umstellung weiterhin normal authentifiziert.

2. Sollte ich die DKIM-Schlüssel für alle Absenderquellen gleichzeitig rotieren?

Nicht unbedingt. Wenn Sie mehrere E-Mail-Dienstanbieter oder interne Mailserver verwenden, kann jede Quelle ihre eigene DKIM-Konfiguration haben. Die Rotation sollte pro Absenderquelle koordiniert werden, um eine Fehlausrichtung der Authentifizierung zu vermeiden.

3. Wie lange sollte ich den alten DKIM-Schlüssel nach der Rotation aufbewahren?

Es wird allgemein empfohlen, den alten Schlüssel nach der Umstellung auf einen neuen Selektor mindestens 1–2 Wochen lang weiterhin zu veröffentlichen. Damit werden Verzögerungen bei der DNS-Propagierung und E-Mails in der Warteschlange berücksichtigt, die möglicherweise noch auf die vorherige Signatur verweisen.

4. Können DKIM-Schlüssel automatisch ablaufen?

DKIM-Schlüssel verfallen technisch gesehen nicht, es sei denn, Sie konfigurieren sie entsprechend. DNS-Einträge bleiben aktiv, bis sie manuell entfernt oder ersetzt werden.

5. Ist eine DKIM-Schlüsselrotation für die DMARC-Konformität erforderlich?

DMARC verlangt nicht ausdrücklich eine DKIM-Schlüsselrotation. Eine regelmäßige Rotation stärkt jedoch die E-Mail-Authentifizierung insgesamt und verringert das Risiko von DKIM-Ausrichtungsfehlern, die durch kompromittierte oder veraltete Schlüssel verursacht werden.

Neueste Beiträge von Yunes Tarada (alle anzeigen)
Zuletzt aktualisiert:
Wie fügt man SPF-Einträge zusammen?SPF-Datensätze zusammenführenE-Mail-Absenderreputation erklärtE-Mail-Absenderreputation erklärt