DKIM ist ein Mechanismus zur Verifizierung der Quelle einer Nachricht. Es verwendet Public-Key-Kryptographie, um den Inhalt Ihrer E-Mail zu signieren, so dass jeder, der sie erhält, überprüfen kann, ob sie während der Übertragung manipuliert wurde. Die DKIM-Datensatzsyntax Ihres TXT-Datensatzes Name ist selector._domainkey.example.com. In unserem Beispiel ist der Selektor der DKIM-Signierer, was bedeutet, dass wir für die Domäne example.com signieren.
Was ist ein DNS-DKIM-Eintrag?
Ein DKIM-Eintrag ist ein Eintrag in Ihrem DNS(Domain Name System), der anderen E-Mail-Systemen mitteilt, wie Ihre E-Mails authentifiziert werden sollen. Er enthält Informationen wie den Namen Ihres Eintrags, die Gültigkeitsdauer des Eintrags und den Schlüssel, den Sie verwenden möchten.
Wenn ein Absender Ihnen eine E-Mail-Nachricht mit DKIM-Authentifizierung senden möchte, erzeugt er einen verschlüsselten Hash seiner Nachricht. Dieser kryptische Code wird dann beim Versand als Teil der Kopfzeile eingefügt, damit die Empfänger überprüfen können, ob die Nachricht seit dem Verlassen des Servers des Absenders manipuliert wurde oder nicht.
Wie werden E-Mails durch DKIM authentifiziert?
DKIM verwendet die Verschlüsselung mit öffentlichen Schlüsseln, um jede ausgehende E-Mail-Nachricht mit dem eigenen privaten Schlüssel digital zu signieren, der dann vom empfangenden Server mit seinem öffentlichen Schlüssel überprüft wird. Der Signierungsprozess fügt eine DKIM-Signatur Header-Feld zu Ihren E-Mail-Headern hinzu, das Informationen über die Quell- und Zieldomäne der E-Mail sowie einen Hash des ursprünglichen Nachrichtentextes zusammen mit einigen anderen Details darüber enthält, wie die Nachricht verschlüsselt und signiert wurde.
Der empfangende Server dekodiert diese Informationen dann mit seinem öffentlichen Schlüssel und vergleicht sie mit allen Signaturen, die er für diese Domänen zwischengespeichert hat, um zu prüfen, ob sie übereinstimmen.
Aufschlüsselung der DKIM-Datensatzsyntax
Betrachten wir zunächst das Beispiel eines DKIM-Eintrags:
| Name des Datensatzes | Typ | TTL | Rekordwert |
| selector._domainkey.beispiel.com | TXT | 3600 | v=DKIM1;p=QUFBQUIzTnphQzF5YzJFQUFBQURBUUFCQUFBQWdRQ1kwK3piQ0NlSURzOHYvYTQrMmhNNktxdjhYdEFJRXBpNjFFTEVXMVB0UmpSbkMrTm1FcFhvNUhuR1FPZFRXTGhYUFZVN0d5VWRUYUFVQ01pWEtrUDJHVXFVbHRQRXdvZU5QQVVQU09xQTg2Z1c3Q3o5dEh3czBTalp3alllMUxNWWxHVEQ3SjhJQnpCS2dVMmp5ZFJvVGEzbEp1N1l3czZiU1BMclFoN24wUT09IA== |
Datensatzname: Das Feld Name in der Syntax Ihres DKIM-Datensatzes besteht aus zwei Teilen: einem DKIM-Selektor und einer Domäne. Der Selektor ist eine eindeutige Zeichenfolge, die die sendende Domäne identifiziert und dabei hilft, den öffentlichen Schlüssel zu finden, der im DNS der Domäne während einer DKIM-Suche veröffentlicht wurde, und muss für alle DKIM-Signaturdomänen eindeutig sein. Die Domäne ist die Adresse Ihres DNS-Eintrags.
Datensatz-Typ: Dieses Feld bezieht sich auf den Ressourcentyp der Syntax Ihres DKIM-Datensatzes. Er kann sein TXT
(Text)-Datensatz sein, es kann sich aber auch um einen CNAME (kanonischer Name) sein, abhängig von Ihrem Provider.
TTL: Die Time-to-Live für Ihren Datensatz, gemessen in Sekunden, ist die Zeitspanne, die der Datensatz pro Sitzung gültig bleibt, bevor er abläuft oder aktualisiert wird.
Wert: Der DKIM-Wert schließlich ist Ihr öffentlicher Schlüssel, der mit Ihrem privaten Schlüssel (dem Signaturschlüssel in Ihrem E-Mail-Header) abgeglichen wird, um Ihre E-Mails zu authentifizieren.
DKIM-E-Mail-Kopfzeile entlarvt
v=DKIM1; a=rsa-sha256;
d=example.com; s=s1;
h=vom:bis:Thema;
bh=YzJFQUFBQURBUUFCQUFBQWdRQ1kwK3piQ0NlSURzOHYvYTQ=; b=AptMld5a1djOUJva1hKWjBkYys5MW5FVXNYRUNvSXJZK0pSdGhVaDRDekNjZ2dEQWJ6RFl1QmVWNkgvN3l1M3drdVllSjVjK0gKSHdKQUtzSk1NNDNBZzdLUERXNFZ0K0lqa3pXWStKck56b3UvalFQbGk1M3MxVTF2c0krOElFSW80ci9xM3ZHd3crc2xOdmRjCkc5L1hnZWlvajJMaktJaHN5QT09Ci0tLS0tRU5EIFJTQSBQUklWQVRFIEtFWS0tLS0tCg==
| DKIM-Tag | Beschreibung |
| v | Die Version von DKIM, die verwendet wird. Der Wert ist immer 1, d. h. die aktuellste Version, die verwendet wird. |
| d | Der Domänenname des E-Mail-Absenders |
| h | die E-Mail-Kopfzeilen, die zur Formulierung der DKIM-Signatur verwendet werden (Kopfzeilen Mail from: Mail to: und Subject) |
| bh | Der DKIM-Body-Hash-Wert (bh= Tag) ist der tatsächliche Wert des Body-Hash, der aus dem Körper der Nachricht berechnet wird. Dieser Wert wird dann in einer speziell formatierten Kopfzeile innerhalb der Nachricht gespeichert, die von DKIM signiert wurde. Der Body-Hash-Wert wird verwendet, um zu beweisen, dass die Nachricht seit ihrer Signierung durch DKIM nicht verändert wurde. |
| b | Ihre digitale DKIM-Signatur, die Ihren privaten DKIM-Schlüssel enthält. |
Eine DKIM-Signatur ist eine digitale Signatur (b=-Tag), mit der die Authentizität einer E-Mail-Nachricht sowie deren Inhalt überprüft werden kann.
Wie erstellt man einen DKIM-Datensatz mit der richtigen DKIM-Datensatzsyntax?
Um sicherzustellen, dass Sie einen Datensatz mit der richtigen DKIM-Datensatzsyntax erstellen, können Sie einen kostenlosen Datensatz mit unserem DKIM-Datensatz-Generator Werkzeug erstellen.
Geben Sie den gewünschten Selektor und den Domänennamen ein, und klicken Sie auf die Schaltfläche "Generieren", um Ihr benutzerdefiniertes privates und öffentliches DKIM-Schlüsselpaar zu erstellen.
Beachten Sie, dass Sie zum Schutz Ihres Unternehmens vor Phishing- und Spoofing-Angriffen einen DMARC-Analysator zusammen mit DKIM konfigurieren. DMARC hilft Ihnen dabei, Ihre Domänen an E-Mail-Authentifizierungsprotokollen auszurichten und die E-Mail-Empfänger anzuweisen, wie sie mit schlechten E-Mails umgehen sollen!
