DomainKeys vs. DKIM: Was ist der Unterschied?
von
Zuletzt aktualisiert:
6 Lesezeit: 2 Minuten
Wichtigste Erkenntnisse
- Yahoo hat DomainKeys im Jahr 2004 eingeführt, um die Identität der Absenderdomäne zu überprüfen und gefälschte E-Mails zu reduzieren.
- DKIM (DomainKeys Identified Mail) wurde von der IETF in RFC 4871 (2007) standardisiert, wobei DomainKeys von Yahoo und Identified Internet Mail von Cisco zu einem einzigen offenen Standard zusammengeführt wurden.
- DKIM ermöglicht es Absendern, einen kanonisierten Hash ausgewählter Kopfzeilen und Körperinhalte zu signieren, wodurch die Integrität der Nachricht auch bei unkritischen Änderungen (z. B. Änderungen von Leerzeichen) gewährleistet wird.
- Selektoren in DKIM vereinfachen die Schlüsselrotation und ermöglichen mehrere Schlüssel für verschiedene Dienste.
- DKIM bestätigt, dass eine E-Mail von der in der Signatur aufgeführten Domäne autorisiert wurde und dass ihr Inhalt während der Übertragung nicht verändert wurde.
- DKIM trägt zu den Abgleichsprüfungen von DMARC bei und hilft Domaininhabern bei der Durchsetzung von Anti-Spoofing-Richtlinien.
DomainKeys und DKIM sind zwei verwandte, aber unterschiedliche E-Mail-Authentifizierungstechnologien, die zum Schutz vor Spoofing, Phishing und Spam entwickelt wurden. DomainKeys wurde 2004 von Yahoo eingeführt und war der erste Schritt zur Überprüfung der Absenderauthentizität mithilfe kryptografischer Signaturen. Seine Flexibilität und Akzeptanz waren jedoch begrenzt. DKIM entwickelte sich aus DomainKeys und Ciscos Identified Internet Mail und wurde zu einer standardisierten und weit verbreiteten Lösung. Heute ist DKIM ein Eckpfeiler der sicheren E-Mail-Kommunikation, der sicherstellt, dass Nachrichten während der Übertragung authentisch und unverändert bleiben, und gleichzeitig DMARC zur Durchsetzung von Richtlinien unterstützt.
Was war DomainKeys (DK)?
DomainKeys war ein frühes E-Mail-Authentifizierungsprotokoll, das von Yahoo im Jahr 2004 entwickelt und veröffentlicht wurde. Es verfolgte ein sehr einfaches, geradliniges und bewundernswertes Ziel: die Überprüfung der Domain-Identität des Absenders und die Verringerung der zunehmenden Zahl von Spam-, Phishing- und gefälschten E-Mails.
Die Funktionsweise von DomainKeys ist wie folgt. Es verwendete ein einfaches Signierschema, das kryptografische Signaturen auf die gesamte Nachricht anwandte. Obwohl dies ein Fortschritt war, fehlte es an Flexibilität bei der Auswahl der Kopfzeilen, und es konnte leicht durch Weiterleitung oder Änderungen an der Mailingliste gebrochen werden. Aufgrund dieser Einschränkungen wurde es schließlich durch DKIM ersetzt und veraltet.
Nachteile von DomainKeys
Hier sind einige Gründe, warum DomainKeys schließlich ersetzt werden musste:
- Er war proprietär: Es handelte sich um einen proprietären Yahoo-Standard, der nie eine weit verbreitete IETF-Standardisierung erreichte.
- Es gab keinen Selektormechanismus: Es fehlten "Selektoren", d. h. eine Domäne konnte nur einen einzigen öffentlichen Schlüssel verwenden. Dies machte die Schlüsselrotation und die Verwaltung verschiedener E-Mail-Sendedienste extrem schwierig.
- Die Unterschriften waren recht brüchig: Die Signiermethode war sehr starr. Signaturen gingen fast immer kaputt, wenn die E-Mail weitergeleitet oder von einer Mailingliste leicht verändert wurde.
- Es war nur begrenzt flexibel: Es bot nur sehr wenige Optionen für Signieralgorithmen und Kanonisierung (d. h. wie die E-Mail vor dem Signieren verarbeitet wird).
Einführung in DKIM (DomainKeys Identified Mail)
DKIModer DomainKeys Identified Mail, ist ein E-Mail-Authentifizierungsprotokoll, mit dem Absender verhindern können, dass E-Mail-Inhalte während der Zustellung manipuliert werden. DKIM geht auf eine Zusammenarbeit zwischen Yahoo und Cisco aus den Jahren 2004 und 2005 zurück und wurde 2007 zu einem IETF-Standard (RFC 4871).
Dazu wird eine digitale Signatur in die Kopfzeile der Nachricht eingefügt. Sobald der Empfänger die DKIM-signierte E-Mail erhält, überprüft er die Signatur, um sicherzustellen, dass sie gültig ist. Wenn sie gültig ist, weiß er, dass die Nachricht unversehrt übermittelt und nicht von Hackern manipuliert wurde.
Hier ist ein Beispiel für eine DKIM-Signatur:
DKIM-Signatur: v=1; a=rsa-sha256; d=example.com; s=selector1; h=from:subject:date; bh=abc123...; b=xyz456...
Wie DKIM funktioniert
DKIM stützt sich auf ein Paar kryptografischer Schlüssel: einen privaten und einen öffentlichen Schlüssel. Diese Schlüssel sind wichtig, um sicherzustellen, dass eine E-Mail authentisch ist und nicht verändert wurde.
Wenn eine E-Mail gesendet wird, verwendet der Mailserver des Absenders den privaten Schlüssel, um eine digitale Signatur zu erstellen. Diese Signatur wird der E-Mail im DKIM-Header hinzugefügt, einem speziellen Teil der E-Mail, der die Signatur selbst sowie Informationen über die signierende Domäne, den verwendeten Algorithmus und die in die Signatur aufgenommenen Kopfzeilen enthält.
Wenn die E-Mail den Empfänger erreicht, ruft dessen Mailserver den öffentlichen Schlüssel aus dem DNS des Absenders ab. Der Server verwendet dann diesen öffentlichen Schlüssel, um den DKIM-Header zu überprüfen und festzustellen, ob die Signatur mit der Nachricht übereinstimmt. Wenn dies der Fall ist, wird die E-Mail als authentisch und unverändert bestätigt.
Kurz und gut: Der DKIM-Header enthält die Signatur, der private Schlüssel erzeugt sie, und der öffentliche Schlüssel verifiziert sie, wodurch sowohl die Integrität als auch die Authentizität der E-Mail geschützt werden.
Schlüssel-Innovation: Die wichtigste Neuerung von DKIM gegenüber DomainKeys war die Einführung standardisierter, flexibler kryptografischer Signaturen mit Selektoren und robuster Kanonisierung für eine zuverlässige, domänenbasierte Authentifizierung.
DomainKeys vs. DKIM: Die wichtigsten Unterschiede
Das Akronym unterscheidet sich zwar nur durch zwei Buchstaben, aber es macht einen großen Unterschied. DKIM wurde eingeführt, um die Einschränkungen von DomainKeys zu beheben.
1. Standardisierung und Annahme
- DomainKeys: Es war proprietär und wurde von Yahoo betrieben, und seine Akzeptanz war ziemlich begrenzt; heute ist es vollständig veraltet.
- DKIM: Dies ist ein offener IETF-Standard. Diese Neutralität und technische Überlegenheit waren die Hauptgründe dafür, dass alle großen E-Mail-Anbieter, einschließlich Google und Microsoft, ihn übernommen haben.
2. Flexibilität bei der Unterschrift
- DomainKeys: Es signierte bestimmte Kopfzeilen und den gesamten Nachrichtentext, was häufig zu einem Bruch der Signatur führte, wenn Nachrichten während der Übertragung geändert wurden.
- DKIM: Der Body-Hash und die Kanonisierung von DKIM machen es toleranter gegenüber geringfügigen Formatierungsänderungen, obwohl Weiterleitungen oder Änderungen an Mailinglisten immer noch Signaturen zerstören können. Es erlaubt dem Absender zu wählen genau welche Kopfzeilen signiert werden sollen (h= Tag). Außerdem signiert es einen Hash des Nachrichtentextes (bh= Tag), was bei geringfügigen Änderungen, wie z. B. der Weiterleitung, stabiler ist. Es verwendet auch eine Kanonisierung (c= Tag), um festzulegen, wie Nachrichtenänderungen wie Leerzeichen behandelt werden.
3. Schlüsselverwaltung und Selektoren
- DomainSchlüssel: Es fehlte der Selektionsmechanismus, so dass alle Nachrichten aus einer Domäne einen einzigen öffentlichen Schlüssel verwenden mussten, was die Schlüsselrotation und -verwaltung erschwerte.
- DKIM: Einführung des Konzepts der "Selektoren". Ein Selektor ist ein Name, der auf eine spezifisch öffentlichen Schlüssel in Ihrem DNS. Dies ermöglicht es Ihnen,:
- Verwenden Sie verschiedene Schlüssel für verschiedene Dienste, sei es für Google Workspace, für Ihre Marketing-Plattform usw.
- Drehen Sie Ihre Schlüssel zur Sicherheit, ohne den Postfluss zu unterbrechen.
Wenn Sie Hilfe bei der Erstellung Ihres DKIM-Eintrags benötigen, können Sie einen kostenlosen DKIM-Datensatz-Generator verwenden, um sicherzustellen, dass die Syntax korrekt ist.
4. Sicherheit und Integrität
- DomainKeys: Der Schwerpunkt lag auf der Authentizität des Absenders.
- DKIM: Der Body-Hash-Check (bh=) bestätigt, dass der Inhalt der E-Mail seit ihrer Signierung nicht verändert wurde.
DomainKeys vs. DKIM: Vergleichstabelle
| Merkmal | DomainKeys (DK) | DomainKeys Identified Mail (DKIM) |
|---|---|---|
| Entwickelt von | Yahoo (proprietär) im Jahr 2004 | Gemeinsame Anstrengung von Yahoo und Cisco, später von der IETF standardisiert. Eingeführt im Jahr 2007 (RFC 4871), aktualisiert in RFC 6376 (2011) |
| Zweck | Authentifizierung der Domäne des Absenders zur Reduzierung von gefälschten E-Mails und Spam | Authentifizierung der Domäne des Absenders und Gewährleistung der Integrität der Nachricht |
| Kopfzeile Feldname | DomainKey-Signatur: | DKIM-Signatur: |
| Selektor-Mechanismus | Nicht unterstützt | Unterstützt (selector._domainkey.example.com) |
| Schlüsselverwaltung | Ein einziger Schlüssel für die gesamte Domäne | Mehrere Tasten über Selektoren; einfache Tastendrehung |
| Umfang der Unterzeichnung | Gesamter Nachrichtentext und einige Kopfzeilen | Vom Absender gewählte spezifische Kopfzeilen (h= Tag) und gehashter Nachrichtentext (bh= Tag) |
| Kanonisierungsoptionen | Basic oder keine | Einfache und entspannte Kanonisierungsoptionen für mehr Flexibilität |
| Body Hashing | Ganzer Körper direkt unterzeichnet | Verwendet Body Hash (bh=) für bessere Widerstandsfähigkeit gegen kleinere Änderungen |
| Bereich Verifizierung | Basierend auf der "Von"- oder "Absender"-Domäne | Basierend auf dem d=-Tag in der Signatur |
| Integration mit DMARC | Nicht unterstützt | Vollständig unterstützt und für Ausrichtungsprüfungen verwendet |
| Verabschiedung & Status | Begrenzte Annahme; veraltet | Weithin angenommen und aktiv genutzt |
| Wichtigste Einschränkung | Starrer Signierprozess, keine Selektoren, Signaturbruch | Schützt nicht den sichtbaren "From"-Header (benötigt DMARC) |
Warum DKIM die DomainKeys ersetzt hat
DKIM löste DomainKeys ab, weil es die wichtigsten technischen Einschränkungen des Protokolls beseitigte: fehlende Standardisierung, kein Selektionsmechanismus für die Schlüsselrotation und anfällige Signaturen, die schon bei geringfügigen Änderungen der Nachricht versagten. DKIM führte eine flexible Header-Signierung, eine stärkere Kryptographie und eine IETF-Standardisierung ein, wodurch es zuverlässiger und skalierbarer wurde und eine breite Akzeptanz für die E-Mail-Authentifizierung fand.
Die geschäftlichen Vorteile der Implementierung von DKIM
DKIM bringt zahlreiche Vorteile mit sich:
Spoofing- und Phishing-Prävention
DKIM allein kann zwar Spoofing- und Phishing-Angriffe nicht verhindern, arbeitet aber mit DMARC zusammen, um die Domänensicherheit zu erhöhen und Fälschungen zu verhindern.
Schutz der Marke
Wenn ein Betrüger Ihre Domäne benutzt, um bösartige E-Mails zu versenden, leidet der Ruf Ihrer Marke. Die Empfänger assoziieren Ihren Namen mit Spam und Betrug, was zu einem Vertrauensverlust führt. DKIM bewahrt die Integrität Ihrer Marke im Posteingang.
E-Mail-Zustellbarkeit
Große Posteingangsanbieter wie Google und Microsoft erwarten und verlangen eine gültige Authentifizierung. E-Mails, die DKIM passieren, werden als vertrauenswürdiger angesehen.
Integrität der Nachricht
Die DKIM-Signatur garantiert, dass der Inhalt der E-Mail nach dem Versand nicht manipuliert wurde. Dadurch wird sichergestellt, dass die Nachricht, die Ihr Empfänger liest, genau die Nachricht ist, die Sie gesendet haben.
Warum DKIM allein nicht ausreicht
DKIM ist ein leistungsfähiges Werkzeug, hat aber eine große Einschränkung, wenn es allein verwendet wird: Es verhindert nicht das Spoofing des Headers "From".
DKIM prüft, ob die E-Mail von einer Domäne signiert wurde, die in der d= Tag der Signatur aufgeführt ist. Allerdings wird nicht nicht, dass die Domäne mit dem sichtbaren "Von"-Adresse übereinstimmt, die der Benutzer sieht. Ein Phisher könnte eine E-Mail im Namen des Geschäftsführers senden, diese aber mit seiner eigenen bösartigen Domäne signieren. Die E-Mail würde zwar eine DKIM-Prüfung bestehen, aber es handelt sich trotzdem um einen Spoofing-Angriff.
Dies ist der Grund DMARC ins Spiel.
DMARC überbrückt die Lücke zwischen Authentifizierung und Identität. Es stellt sicher, dass die durch DKIM oder SPF authentifizierte Domäne mit der Domäne übereinstimmt, die für den Empfänger im "From"-Header sichtbar ist.
Resümee
DomainKeys hat den Weg geebnet, aber DKIM ist auch heute noch der Standard für die Authentifizierung vertrauenswürdiger E-Mails. Durch die Kombination mit DMARC wird der Schutz vor Spoofing und Phishing gewährleistet.
Wenn Sie etwas falsch konfigurieren, können sogar legitime E-Mails blockiert werden. Um solche Probleme und andere Herausforderungen mit DKIM zu vermeiden, bietet PowerDMARCs Gehosteter DKIM Dienst von PowerDMARC helfen. Dabei handelt es sich um einen Cloud-Service, der sich um jeden Aspekt des DKIM-Verwaltungsprozesses kümmert. Über ein zentrales Dashboard können Sie mehrere Selektoren und Schlüssel für alle Ihre Domänen hinzufügen, bearbeiten und verwalten, ohne sich mit Änderungen auf DNS-Ebene befassen zu müssen.
Starten Sie eine kostenlose Testversion noch heute, um die Zustellbarkeit zu erhöhen, die Authentifizierung zu verbessern und Ihre Domain gegen Spoofing zu schützen!
Häufig gestellte Fragen
- Wird DomainKeys heute noch verwendet?
Nicht mehr. Es wurde veraltet und durch das moderne DKIM-Protokoll ersetzt.
- Wie kann PowerDMARC bei der DKIM-Verwaltung helfen?
PowerDMARC bietet eine gehostete DKIM-Lösung, die eine automatische DKIM-Bereitstellung, Auswahl und Schlüsselverwaltung ermöglicht.
Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC
Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.
Neueste Beiträge von Ahona Rudra (alle anzeigen)
