Inhalt des Artikels
- DKIM-Abgleich ist eine DMARC-Anforderung, die den Abgleich zwischen der Absenderdomäne und der für die DKIM-Signierung verwendeten Domäne überprüft.
- Der empfangende Server vergleicht die Header-Domäne in der E-Mail-Kopfzeile mit der Signierdomäne in der DKIM-Signaturkopfzeile.
- Die entspannte Ausrichtung und die strenge DKIM-Ausrichtung hängen vom DMARC-Ausrichtungsmodus ab, der im DMARC-Datensatz eingestellt ist.
- In Unternehmen, die mehrere Domains und SaaS-Plattformen für den E-Mail-Versand verwenden, sind Ausrichtungsfehler an der Tagesordnung.
- Mimecast DKIM Record Checker hilft bei der Überprüfung von DKIM DNS-Einträgen, Selektoren und DKIM-Schlüsseln.
Viele Unternehmen setzen DKIM ein und haben immer noch mit DMARC Fehlern zu kämpfen. In vielen Fällen ist die Signatur selbst gültig, aber die zum Signieren verwendete Domäne stimmt nicht mit der für die Empfänger sichtbaren Absenderdomäne überein. DKIM verifiziert, dass eine Nachricht autorisiert und nicht verändert wurde, während DMARC die Authentifizierungsergebnisse von mit der Von-Domäne verknüpft.
Der DKIM-Abgleich führt diese Identitätsprüfung durch und hilft Unternehmen, eine konsistente Authentifizierung über mehrere -Domänen, hybride E-Mail-Umgebungen und Sendeplattformen von Drittanbietern zu gewährleisten.
Was ist DKIM-Abgleich?
DKIM-Abgleich ist eine DMARC-Anforderung, die überprüft, ob die in einer DKIM-Signatur verwendete Domäne mit der in der Absenderadresse einer E-Mail angegebenen Domäne übereinstimmt.
DKIM (DomainKeys Identified Mail) fügt eine kryptografische Signatur zu ausgehenden Nachrichten hinzu. Während der DKIM-Signierung fügt das sendende System einen DKIM-Signatur-Header hinzu, der eine Signierdomäne und einen Selektor enthält. Die Signatur enthält zwei Schlüsselidentifikatoren:
- Signierende Domäne (d=) - die für die Signatur zuständige Domäne
- Selektor (s=) - der Wert, der zum Auffinden des öffentlichen DKIM-Schlüssels im DNS verwendet wird
Der Selektor verweist auf einen im DNS veröffentlichten DKIM-Eintrag. Einige Unternehmen veröffentlichen den Schlüssel direkt, während andere einen CNAME-Eintrag verwenden, der zu einer gehosteten DNS-Infrastruktur auflöst.
DKIM-Abgleich und DMARC-Durchsetzung
DMARC wertet DKIM in zwei Stufen aus. Die erste ist die DKIM-Authentifizierung, die die Signatur anhand des DKIM-Schlüssels validiert. Die zweite ist der Domänenabgleich, der bestätigt, dass die Signierdomäne mit der Von-Domäne übereinstimmt.
Dieser Identitätsabgleich wird als Identifikatorabgleich bezeichnet und wird durch den DMARC-Abgleichsmodus gesteuert. Zwei Ausrichtungsmodi werden üblicherweise verwendet:
- Entspannte Ausrichtung: Die Unterschriftsdomäne kann eine Unterdomäne der Von-Domäne sein, wenn beide zur gleichen Organisationsdomäne gehören.
- Strenge Ausrichtung: Die Signierdomäne muss genau mit der Von-Domäne übereinstimmen.
Da DMARC sowohl DKIM als auch SPF auswertet, überprüfen Unternehmen die Authentifizierung oft gemeinsam mit DKIM, SPF und DMARC, um zu verstehen, wie diese Methoden zusammenwirken.
So funktioniert der DKIM-Abgleich
Wenn ein empfangender Mailserver eine DMARC-Prüfung durchführt, verarbeitet er zuerst DKIM. Der Server liest die Kopfzeile der DKIM-Signatur und ruft den öffentlichen DKIM-Schlüssel ab, der mit dem Selektor und der signierenden Domain verbunden ist. Wenn der Schlüssel über eine delegierte Konfiguration gespeichert wird, kann der Empfänger einem CNAME-Verweis folgen, bevor er den DKIM-Eintrag abruft.
Nach der DKIM-Prüfung führt DMARC die Ausrichtungsprüfung durch. Der Server vergleicht die Absenderdomäne in der E-Mail-Kopfzeile mit der DKIM-Signaturdomäne (d=).
Wenn die Domänen gemäß dem konfigurierten Abgleichsmodus übereinstimmen, kann DKIM die DMARC-Konformität erfüllen. Wenn sie nicht übereinstimmen, kann die DKIM-Authentifizierung erfolgreich sein, aber DMARC verzeichnet einen Abgleichfehler.
Diese Situation tritt häufig auf, wenn Unternehmen sich auf Sendeplattformen von Drittanbietern verlassen. SaaS-Anwendungen, Marketing-Systeme oder Ticketing-Tools können Nachrichten mit ihrer eigenen Domäne statt mit der Domäne des Unternehmens signieren.
Beispiel für Alignment-Ergebnisse
Beispiel 1: Strenge Ausrichtung ist erfolgreich
Ein Unternehmen sendet eine Benachrichtigung von alerts@example.com. Die E-Mail ist mit d=example.com signiert.
Da die Signierdomäne genau mit der Absenderdomäne übereinstimmt, werden sowohl die DKIM-Überprüfung als auch der Domänenabgleich bestanden.
Beispiel 2: Entspannte Ausrichtung erfolgreich
Eine Nachricht wird von alerts@example.com gesendet, aber die DKIM-Signatur verwendet d=mail.example.com.
Da die entspannte Ausrichtung Unterdomänen unter derselben organisatorischen Domäne zulässt, ist die Identifikatorausrichtung dennoch erfolgreich.
Beispiel 3: Absender eines Drittanbieters verursacht Ausrichtungsfehler
Eine Marketingplattform sendet eine E-Mail von news@example.com, aber signiert die Nachricht mit d=mailer.vendor.com.
Obwohl die DKIM-Prüfung erfolgreich ist, stimmen die Domänen nicht überein, so dass DMARC aufgrund eines DKIM-Ausgleichsfehlers fehlschlägt.
Beispiel 4: Strikte Ausrichtung blockiert die Unterzeichnung von Subdomains
Eine Nachricht von alerts@example.com ist mit d=mail.example.com signiert, während eine strikte Ausrichtung erzwungen wird.
Da der strikte Abgleich eine exakte Domainübereinstimmung erfordert, schlägt der DKIM-Pfad für DMARC fehl. Teams validieren die Konfiguration von DNS häufig mit einer DKIM-Eintragsprüfung.
Warum DKIM-Abgleich für die Sicherheit von Unternehmen wichtig ist
Der DKIM-Abgleich verbindet die Authentifizierungsergebnisse mit der für die Empfänger sichtbaren Absenderidentität. Ohne Anpassung könnten Angreifer Nachrichten mit ihrer eigenen Domain signieren und sich dabei als eine andere Organisation ausgeben.
Dieses Risiko ist eng mit phishing und Domain-Spoofing-Angriffen verbunden. Wenn der Abgleich durch DMARC erzwungen wird, verringern Unternehmen die Wahrscheinlichkeit, dass gefälschte Nachrichten in die Posteingänge der Benutzer gelangen.
Die Ausrichtung wirkt sich auch auf die Zustellbarkeit aus. Sobald eine DMARC-Richtlinie durchgesetzt ist, können Nachrichten, die die Authentifizierung nicht bestehen, unter Quarantäne gestellt oder zurückgewiesen werden. In Umgebungen mit mehreren Domänen und Absendern von Drittanbietern kann eine falsche Ausrichtung legitime E-Mails stören, wenn die Konfigurationen inkonsistent sind.
Behebung von DKIM-Ausrichtungsproblemen
Die Lösung von DKIM-Abgleichsproblemen erfordert Einblick in die Authentifizierungsergebnisse und die Versandinfrastruktur. Sicherheitsteams gehen in der Regel in mehreren Schritten vor:
DMARC-Berichte überprüfen
Verwenden Sie DMARC-Berichte , um festzustellen, bei welchen Absendern die Ausrichtung fehlschlägt und ob der Fehler mit DKIM, SPF oder beidem zusammenhängt. Teilen Sie die Ergebnisse nach Sendequelle und Von-Domäne auf, damit Sie den spezifischen Stream (App, ESP, CRM, Helpdesk usw.) isolieren können, der Änderungen benötigt.
Bestätigen Sie die Einstellungen des DMARC-Datensatzes
Prüfen Sie den veröffentlichten DMARC-Datensatz und bestätigen Sie die Ausrichtungsmodi (adkim= und aspf=) sowie die Richtlinie (p=) und die Rollout-Steuerung wie pct=. Vergewissern Sie sich, dass der Datensatz, den Sie erwarten, derjenige ist, der tatsächlich im DNS für die From-Domäne in der Frage zurückgegeben wird.
DKIM-Einträge prüfen
Stellen Sie sicher, dass jeder legitime Absender mit DKIM signiert und dass der Selektor auf einen gültigen öffentlichen Schlüssel im DNS aufgelöst wird. Vergewissern Sie sich, dass der d=-Wert in der DKIM-Signatur mit der Absenderdomäne übereinstimmt (bzw. mit der Organisationsdomäne bei entspannter -Ausrichtung), und rotieren/reparieren Sie Schlüssel, bei denen Suchvorgänge fehlschlagen oder Signaturen nicht funktionieren.
Standardisieren Sie Absenderidentitäten von Dritten
Konfigurieren Sie für jeden SaaS- oder externen E-Mail-Dienst die DKIM-Signierung so, dass statt der Standard-Signaturdomäne des Anbieters Ihre Domäne (oder eine angeglichene Subdomäne) verwendet wird. Wenn die Plattform benutzerdefinierte Rücksendepfade und dedizierte Absenderdomänen unterstützt, gleicht diese Identitäten ab, um ein gemischtes Domänenverhalten zu vermeiden.
SPF-Ausrichtung validieren
Stellen Sie sicher, dass alle sendenden IPs und Include-Domains in SPF autorisiert sind und dass die für die SPF-Auswertung verwendete Domain mit der From-Domain übereinstimmt. Für Absender von Drittanbietern bedeutet dies in der Regel, dass eine angepasste Bounce-/Return-Path-Domain verwendet und nicht die gemeinsame Domain des Anbieters.
Wie Mimecast zur Stärkung der E-Mail-Authentifizierung beiträgt
Große Unternehmen verwalten oft mehrere Domains, E-Mail-Plattformen und Absender von Drittanbietern. Die Aufrechterhaltung der Authentifizierung in diesen Umgebungen erfordert eine kontinuierliche Überwachung und Validierung.
Sicherheitsteams können Mimecast DMARC Analyzer verwenden, um DMARC-Datensätze zu überprüfen, Sendequellen zu identifizieren und Authentifizierungsergebnisse domänenübergreifend zu überwachen. Für die Fehlerbehebung bei DKIM hilft MimecastDKIM Check bei der Validierung von DKIM-Signaturen, der Bestätigung der DNS-Konfiguration und der Identifizierung von Problemen im Zusammenhang mit der DKIM-Signierung und der Ausrichtung der Domain .
Aufrechterhaltung der DKIM-Ausrichtung
Der DKIM-Abgleich ist eine Kernkomponente der DMARC-Authentifizierung, da er die DKIM-Überprüfungsergebnisse mit der in der E-Mail-Kopfzeile sichtbaren Identität des Absenders verknüpft. Wenn der Abgleich der Bezeichner bei allen versendenden Diensten einheitlich ist, stärken Unternehmen die Durchsetzung von DMARC und verringern das Risiko von Domain-Spoofing.
Die Aufrechterhaltung des Abgleichs erfordert eine regelmäßige Überprüfung der DNS-Einträge, der DKIM-Konfiguration, der SPF-Autorisierung und der DMARC-Richtlinieneinstellungen. Tools wie Mimecast DMARC Analyzer und Mimecast DKIM Check helfen Teams bei der Überwachung der Authentifizierung und der Erkennung von Abgleichproblemen, bevor diese die Zustellbarkeit oder Sicherheit beeinträchtigen.