Was ist DKIM?

Wichtige Punkte

Inhalt des Artikels

DKIM sorgt mit digitalen Signaturen für die Authentizität von E-Mails und erhöht damit die Sicherheit. In Verbindung mit DMARC und SPF können Domains Cyber-Bedrohungen wirksam abwehren.

DKIM verwendet digitale Signaturen, um die Authentizität und Integrität von E-Mails zu überprüfen und die Sicherheitsmaßnahmen zu verbessern.
DKIM-Einträge, die im DNS gespeichert sind, enthalten öffentliche Schlüssel, die für die E-Mail-Authentifizierung entscheidend sind, und erleichtern so die effektive Implementierung.
Die Kombination von DKIM mit DMARC verifiziert Absenderadressen, reduziert Phishing-Risiken und erhöht die allgemeine E-Mail-Sicherheit.

DKIM erklärt

DKIM (DomainKeys Identified Mail) ist eine E-Mail-Authentifizierungsmethode, die eine digitale Signatur verwendet, um dem Empfänger einer E-Mail mitzuteilen, dass die Nachricht vom Eigentümer einer Domain gesendet und autorisiert wurde.

Sobald der Empfänger feststellt, dass eine E-Mail mit einer gültigen DKIM-Signatur signiert ist, kann er bestätigen, dass der Inhalt der E-Mail nicht verändert wurde. In den meisten Fällen sind DKIM-Signaturen für Endbenutzer nicht sichtbar, die Validierung erfolgt auf Serverebene. Wenn DKIM zusammen mit DMARC oder SPF verwendet wird, können Sie Ihre Domain vor bösartigen E-Mails schützen, die von Domains gesendet werden, die sich als Ihre Marke ausgeben.

Was ist ein DKIM-Eintrag?

Einfach ausgedrückt: Ein DKIM-Eintrag ist eine Textzeile innerhalb des DNS-Eintrags, die den öffentlichen Schlüssel enthält, den empfangende Mailserver zur Authentifizierung der DKIM-Signatur verwenden können.

Da Spoofing-E-Mails von vertrauenswürdigen Domänen zu einer immer größeren Cyber-Bedrohung werden, ist es wichtig, dass Sie zunächst Ihren DKIM-Eintrag überprüfen, um mit der DKIM-Implementierung zu beginnen. Es wird empfohlen, dass Sie Ihrem DNS nach Möglichkeit einen DKIM-Eintrag hinzufügen, um E-Mails von Ihrer Domain zu authentifizieren.

Wissen Sie, wer E-Mails im Namen Ihrer Domain und Ihrer Marke versendet? Starten Sie mit DKIM und DMARC, um sicherzustellen, dass Ihre Marke nicht von Cyberkriminellen ausgenutzt wird.

Was ist eine DKIM-Datensatzprüfung?

Eine DKIM-Datensatzprüfung ist ein Tool, das den Domainnamen und den Selektor auf einen gültigen veröffentlichten DKIM-Datensatz prüft. Mimecast bietet einen kostenlosen DKIM-Datensatz-Checker, mit dem Sie DKIM-Datensätze überprüfen können. Mimecast bietet außerdem einen kostenlosen SPF-Validator und kostenlose DMARC-Datensatzprüfungen.

Beginnen Sie Ihre DKIM- und DMARC-Reise, indem Sie zunächst Ihren DKIM-Eintrag überprüfen.

Verwendung von DKIM zum Schutz vor E-Mail-Spoofing

Das DKIM-Protokoll verwendet eine kryptografische Signatur - eine verschlüsselte Kopfzeile, die der Nachricht hinzugefügt wird - um zu überprüfen, dass die E-Mail authentisch ist und während der Übertragung nicht verändert wurde. Der Empfänger verwendet einen öffentlichen Schlüssel aus dem DKIM-Eintrag im DNS der Domäne, um die DKIM-Signatur zu entschlüsseln und die Nachricht zu authentifizieren.

Das Protokoll ist zwar hilfreich, aber DKIM allein ist keine Garantie dafür, Spoofing-Angriffe zu verhindern. Die DKIM-Informationen sind für einen nicht-technischen Benutzer nicht sichtbar und ändern nichts an der Möglichkeit, dass der Absender die Adresse "von" in der E-Mail fälscht - die einzige Information, die die meisten Benutzer sehen. Die privaten Schlüssel, die zum Signieren von Nachrichten mit DKIM verwendet werden, können von Hackern gestohlen werden. Und die Verwaltung öffentlicher Schlüssel kann für E-Mail-Sicherheitsteams eine zeitraubende Belastung sein.

DMARC (Domain-based Message Authentication Reporting & Compliance) baut auf dem DKIM-Protokoll und dem SPF-Protokoll (Sender Policy Framework) auf und bietet eine stärkere Schutzschicht gegen E-Mail-Spoofing. DMARC stellt sicher, dass die sichtbare Adresse "von" mit der zugrunde liegenden IP-Adresse übereinstimmt, um Spoofing zu verhindern. Um die DMARC-Prüfungen zu bestehen, muss eine Nachricht die DKIM-Authentifizierung und/oder SPF-Authentifizierung bestehen. Die DMARC Analyzer-App enthält außerdem Anweisungen, wie die E-Mails, die die DMARC-Prüfungen nicht bestanden haben, behandelt werden sollten.

Das DMARC-Protokoll kann den Schaden, den Angreifer durch Spoofing- und/oder Phishing-Angriffe anrichten können, erheblich minimieren. Es kann jedoch zeitaufwändig und schwierig sein, DMARC ohne hervorragende Tools und qualifizierte Hilfe einzusetzen. Deshalb wenden sich immer mehr Unternehmen an Mimecast, wenn sie DMARC mit minimalem Aufwand und Verzögerung implementieren möchten.

Mimecast DMARC Analyzer: Ein schnellerer Weg zur Authentifizierung

Mimecast DMARC Analyzer bietet Ihnen die Tools und Ressourcen, die Sie benötigen, um DMARC schnell und einfach zu implementieren und dabei Kosten, Risiken und Aufwand zu minimieren. DMARC Analyzer dient als fachkundiger Ratgeber und bietet eine Analysesoftware, mit der Sie Ihre Ablehnungsrichtlinien in kürzester Zeit veröffentlichen können. Diese Mimecast-Lösung bietet einen umfassenden Einblick in Ihre E-Mail-Kanäle, um sicherzustellen, dass legitime E-Mails nicht blockiert werden, und liefert Warnmeldungen, Berichte und Diagramme, die die Überwachung der Leistung und die Durchsetzung der Authentifizierung vereinfachen.

Mit Mimecast DMARC Analyzer können Sie:

Erkennen und blockieren Sie Angreifer, indem Sie eine DMARC-Prüfung durchführen, um festzustellen, ob eine E-Mail versucht, Kunden, Mitarbeiter und andere Parteien zu täuschen.
Verschaffen Sie sich 360°-Transparenz und Governance über alle E-Mail-Kanäle.
Implementieren Sie DMARC-Richtlinien auf dem Gateway mit Self-Service-E-Mail-Intelligence-Tools.
SPF-Einträge hosten und verwalten.
Vermeiden Sie die Beschränkung auf 10 SPF-Abfragen.
Sparen Sie Zeit und Geld mit einer 100% SaaS-basierten Lösung.
Greifen Sie auf benutzerfreundliche Warnmeldungen, Berichte und Diagramme zu, um die Durchsetzung zu erleichtern und die Leistung zu überwachen.

DMARC Analyzer: Hauptmerkmale

DMARC Analyzer vereinfacht die DMARC-Einführung mit einem schrittweisen Ansatz und Selbstbedienungs-Tools, die eine schnellere Umsetzung von DMARC ermöglichen. DMARC Analyzer bietet:

Unbegrenzte Anzahl von Benutzern, Domänen und Domänengruppen, so dass Administratoren eine vollständige Abdeckung gewährleisten können.
Einrichtungsassistent für DMARC-Einträge.
Forensische Berichte, die es Ihnen erleichtern, die Quellen bösartiger E-Mails zu identifizieren und aufzuspüren.
Tägliche und wöchentliche Übersichtsberichte, die es Administratoren ermöglichen, den Fortschritt im Laufe der Zeit zu verfolgen.
Tools zur Überwachung von DNS-Änderungen und zum Erhalt von Benachrichtigungen, wenn ein Datensatz geändert wird.
Benutzerfreundliche aggregierte Berichte und Diagramme, die eine einfachere Analyse und eine schnellere Durchsetzung der DMARC-Richtlinien ermöglichen.
Verbesserte Sicherheit auf der Grundlage der Zwei-Faktor-Authentifizierung.
Validatoren für DMARC-, SPF- und DKIM-Einträge.
Managed Services (optional), die es Unternehmen ermöglichen, das Risiko zu minimieren und gleichzeitig in kürzester Zeit zur DMARC-Durchsetzung überzugehen.

Wie kann ich DKIM erstellen/einrichten?

Die DKIM-Signatur wird vom MTA (Mail Transfer Agent) erstellt. Es erstellt eine eindeutige Zeichenfolge namens Hash-Wert. Dieser Hash-Wert wird in der aufgeführten Domain gespeichert. Nach dem Empfang der E-Mail kann der Empfänger die DKIM-Signatur anhand des im DNS registrierten öffentlichen Schlüssels überprüfen. Er verwendet diesen Schlüssel, um den Hash-Wert in der Kopfzeile zu entschlüsseln und den Hash-Wert aus der empfangenen E-Mail neu zu berechnen. Wenn diese beiden DKIM-Signaturen übereinstimmen, weiß der Empfänger der E-Mail, dass die E-Mail nicht verändert wurde.

Was ist der Unterschied zwischen DKIM und SPF?

SPF ist genau wie DKIM eine E-Mail-Authentifizierungstechnik, die unter Verwendung des DNS (Domain Name Service) verwendet werden kann. Mit DKIM können Sie festlegen, welche E-Mail-Server E-Mails im Namen der Domäne eines Unternehmens versenden dürfen. Die Authentifizierung legitimer Absender mit SPF gibt dem Empfänger (den Empfangssystemen) Aufschluss darüber, wie vertrauenswürdig die Herkunft einer E-Mail ist.

Der Unterschied zwischen SPF und DKIM besteht darin, dass die E-Mail-Authentifizierungstechnik DKIM es dem Empfänger ermöglicht, zu überprüfen, ob eine E-Mail tatsächlich vom Eigentümer dieser Domain gesendet und autorisiert wurde. Dies geschieht durch Hinzufügen einer digitalen DKIM-Signatur zu E-Mails. Eine DKIM-Signatur ist eine Kopfzeile, die der Nachricht hinzugefügt und mit Verschlüsselung gesichert wird.

Wie verbessert DKIM die Zustellbarkeit?

DKIM ist eine E-Mail-Authentifizierungstechnik ähnlich wie SPF. Mit DKIM kann der Empfänger überprüfen, ob eine E-Mail tatsächlich vom Eigentümer dieser Domäne gesendet und autorisiert wurde. Dies geschieht durch Hinzufügen einer digitalen DKIM-Signatur zu E-Mails. Eine DKIM-Signatur ist ein Header, der einer Nachricht hinzugefügt und mit Verschlüsselung gesichert wird.

Die Authentifizierung legitimer Absender mit DKIM gibt dem Empfänger (Empfangssystem) Informationen darüber, wie vertrauenswürdig die Herkunft einer E-Mail ist, und kann die Zustellbarkeit eines E-Mail-Kanals insgesamt erheblich verbessern.&#x2028

In der Praxis ist DKIM allein nicht ausreichend, um einen E-Mail-Kanal vollständig zu schützen. Das E-Mail-Validierungssystem DMARC ist häufig obligatorisch und für die Einhaltung der Vorschriften erforderlich, da es eine Verbindung zwischen SPF und DKIM herstellt, indem es prüft, ob eine Absenderquelle entweder mit SPF oder DKIM authentifiziert wurde.

Darüber hinaus können Unternehmen mit DMARC E-Mail-Dienste wie Gmail, Hotmail und andere anweisen, alle E-Mails zurückzuweisen, die nicht mit SPF und/oder DKIM übereinstimmen.

Wie implementiere ich DKIM für meine Domain?

Bevor ein Absender eine DKIM-Signatur erstellt, muss er entscheiden, welche Elemente der E-Mail in die DKIM-Signatur aufgenommen werden sollen. In der Regel handelt es sich dabei um den Text der Nachricht und einige Standard-Header. Dieses Verhalten kann nicht geändert werden. Einmal beschlossen, müssen diese Elemente in der DKIM-Signatur unverändert bleiben, sonst schlägt die DKIM-Validierung fehl.

Die DKIM-Signatur wird in einer eindeutigen Textzeichenfolge, dem 'Hash-Wert', erstellt. Vor dem Versand der E-Mail wird der Hash-Wert mit einem privaten Schlüssel, der DKIM-Signatur, verschlüsselt. Nur der Absender hat Zugang zu diesem privaten Schlüssel. Wenn die E-Mail verschlüsselt wird, wird sie mit dieser DKIM-Signatur gesendet.

Kann ich mehrere DKIM-Einträge haben?

Die Möglichkeit, mehrere DKIM-Einträge in einer single Domäne aufzunehmen, ist erforderlich, wenn eine Organisation mehrere verschiedene Server verwendet, um E-Mails im Namen ihres Domänennamens zu versenden, oder um die "DKIM-Schlüsselrotation" zu nutzen, um das Risiko zu verringern, dass die DKIM-Schlüssel zusammengesetzt sind.