So richten Sie einen DKIM-Eintrag ein

Wenn Sie eine stärkere E-Mail-Authentifizierung wünschen, ist DKIM eine der wichtigsten Kontrollen, die Sie korrekt konfigurieren müssen. Es hilft zu beweisen, dass eine E-Mail-Nachricht von der angegebenen Domäne stammt und während der Übertragung nicht verändert wurde, was das Vertrauen, die Zustellbarkeit von und den Schutz vor E-Mail-Spoofing unterstützt. 

Was ist DKIM und wie funktioniert es?

DKIM(Domain Keys Identified Mail) ist eine Authentifizierungsmethode, mit der überprüft werden kann, ob eine Nachricht von der sendenden Domain autorisiert wurde und ob sie nach dem Versand nicht manipuliert wurde. Sie verschlüsselt die Nachricht nicht. Stattdessen fügt es eine DKIM-Signatur in die Kopfzeile der E-Mail ein.

DKIM hat vier Hauptkomponenten:

• Signatur: zum Nachrichtenkopf hinzugefügt
• Öffentlicher Schlüssel: veröffentlicht im DNS als TXT-Eintrag oder, bei einigen Plattformen, über einen delegierten CNAME-Eintrag
• Überprüfung: Das empfangende System vergleicht die Signatur mit dem über DNS veröffentlichten Schlüssel.
• Ergebnis: Die Nachricht besteht die DKIM-Authentifizierung.

Sobald diese Teile vorhanden sind, müssen Sie sicherstellen, dass sie in Ihrer eigenen Umgebung richtig konfiguriert sind. Die Einrichtung eines DKIM-Datensatzes erfolgt in der Regel anhand der folgenden Schritte.

1. Bewerten Sie Ihre E-Mail-Umgebung, bevor Sie einen DKIM-Eintrag erstellen

Bevor Sie DNS-Änderungen vornehmen, sollten Sie Ihren ausgehenden E-Mail-Verkehr überprüfen. Viele Unternehmen versenden E-Mails von mehr als einem System, wie Microsoft 365, Google Workspace, einem CRM, einer Ticketing-Plattform oder einem anderen E-Mail-Dienstleister. Einige leiten auch E-Mails über ein sicheres Gateway oder Relay. 

In der Praxis kann die Konfiguration je nach Plattform variieren, so dass es hilfreich ist, die Unterschiede frühzeitig zu berücksichtigen. insbesondere, wenn Ihre Umgebung DKIM in Office 365 einrichtet oder DKIM in Google Workspace als Teil der Einführung konfigurieren muss.

Das erste Ziel ist es, herauszufinden, welches System ausgehende Post signieren soll. In den meisten Fällen sollte der DKIM-Signierer die Plattform sein, die die Nachricht tatsächlich an den Empfänger sendet. Wenn ein anderer Mailserver oder ein sicheres Gateway die Nachricht nach dem Signieren ändert, kann die Signatur fehlschlagen, selbst wenn der DNS korrekt ist. 

Dies ist eine der häufigsten Ursachen für eine fehlerhafte DKIM-Einrichtung in größeren Umgebungen. Wenn Sie mehrere Domains oder eine benutzerdefinierte Domain mit mehreren Versanddiensten verwalten, dokumentieren Sie alle, bevor Sie beginnen.

2. Erfassen Sie die Voraussetzungen für die DKIM-Konfiguration

Bevor Sie DKIM konfigurieren, bestätigen Sie den Zugriff auf die betroffenen Systeme. Sie benötigen in der Regel:

• Administratorzugriff auf die Sendeplattform, die den DKIM-Schlüssel verwaltet
• Zugang zum DNS-Provider oder Domain-Registrar, der das DNS der Domain hostet
• Die sendende Domäne
• Der DKIM-Selektor
• Die Art des Datensatzes und der Wert, den die Plattform bietet

Bei einigen Anbietern werden Sie aufgefordert, DKIM-Schlüssel in der Verwaltungskonsole zu erzeugen. Andere erstellen das Schlüsselpaar automatisch und fordern Sie einfach auf, den DNS-Wert zu veröffentlichen. In beiden Fällen erfassen Sie den Hostnamen und den Wert genau wie gezeigt. Ein kleiner Tippfehler im Selektor, Host oder Schlüsselwert kann die gesamte DKIM-Konfiguration zerstören. 

Es ist auch hilfreich, den aktuellen Status Ihres SPF-Eintrags und DMARC-Eintrags zu dokumentieren, da DKIM am besten funktioniert, wenn alle drei Authentifizierungsebenen aufeinander abgestimmt sind. Sehen Sie, wie Mimecast DMARC Analyzer die Überwachung, Berichterstattung und Durchsetzung in Ihren Domains vereinfachen kann.

3. Generieren Sie das DKIM-Schlüsselpaar in Ihrer E-Mail-Plattform

Als Nächstes erstellen oder rufen Sie die DKIM-Werte in Ihrer Sendeplattform ab. Die genauen Bildschirme variieren, aber die meisten Plattformen zeigen in den Mail-Administrations-, Sicherheits- oder Authentifizierungseinstellungen an.

In diesem Stadium sollten Sie sich auf zwei Details konzentrieren: den DKIM-Selektor und den öffentlichen Schlüssel oder den Wert des delegierten Hosts. Der Selektor wird Teil des DNS-Hostnamens, oft in einem Format wie:

selector1._domainkey.beispiel.com

Dieser Selektor muss dem Wert entsprechen, den die Plattform bei der DKIM-Signierung erwartet. Wenn dies nicht der Fall ist, findet das empfangende System bei der Suche nicht den richtigen Schlüssel.

Dies ist auch der Punkt, an dem Unternehmen entscheiden können, ob sie mehrere DKIM-Einträge benötigen. Das ist gültig, solange jeder Absender einen anderen Selektor verwendet und die Datensätze sauber verwaltet werden.

4. Veröffentlichen Sie den DKIM-Eintrag im DNS

Fügen Sie nun den DNS-Eintrag beim DNS-Host der Domain hinzu. In vielen Fällen ist dies ein TXT-Datensatz, der den öffentlichen Schlüssel enthält. In anderen Fällen kann die Plattform einen CNAME-Eintrag verlangen, der DKIM an den Anbieter delegiert. Halten Sie sich genau an das Format, das Ihnen Ihre Plattform vorgibt.

Ein gültiger Host enthält normalerweise den Selektor plus ._domainkey, und der Wert enthält die DKIM-Parameter und die Informationen zum Schlüssel . Prüfen Sie vor dem Speichern sorgfältig auf:

• Extra Leerzeichen
• Gebrochene Saiten
• Falsche Anführungszeichen
• Veröffentlichung des Eintrags in der falschen DNS-Zone
• Verwendung des falschen Datensatztyps

Bei den meisten Anbietern können Sie die Standard-TTL beibehalten, es sei denn, Ihr Unternehmen hat eine spezielle DNS-Richtlinie. Rechnen Sie außerdem mit einer gewissen Verzögerung während der Übertragung des Eintrags durch das Domänennamensystem.

5. Aktivieren Sie die DKIM-Signierung in der Sendeplattform

Mit der Veröffentlichung des DNS-Eintrags ist der Vorgang nicht abgeschlossen. Sie müssen auch DKIM in der Sendeplattform aktivieren, damit mit der Signierung ausgehender E-Mails beginnt.

Bei den meisten Plattformen müssen Sie zur Verwaltungskonsole zurückkehren, nachdem DNS aktiv ist, und die Signierung für diese Domain aktivieren. Ohne diesen Schritt kann der DKIM-Eintrag im DNS existieren, während echte Nachrichten unsigniert bleiben.

Dies ist auch der Punkt, an dem Routing und Richtlinien eine Rolle spielen. Wenn ein Relay, ein sicheres Gateway oder eine Transportregel den Body oder die Schlüssel-Header nach dem Signieren ändert, kann die Signatur fehlschlagen. Deshalb ist es wichtig, den Unterzeichner mit dem tatsächlichen endgültigen Sendepunkt abzugleichen. 

6. Testen und überprüfen Sie, ob DKIM korrekt funktioniert

Überprüfen Sie nach der Aktivierung sowohl das DNS- als auch das Live-Nachrichtenverhalten. Verwenden Sie zunächst einen DNS-Lookup oder DKIM Record Checker , um zu überprüfen, ob der Selektor korrekt aufgelöst wird. 

Zweitens: Senden Sie eine Testnachricht an ein externes Postfach und prüfen Sie die Kopfzeilen der Nachricht. Achten Sie auf eine DKIM-Signatur in der Kopfzeile der E-Mail und ein Authentifizierungsergebnis, das DKIM als bestanden ausweist. Diese Unterscheidung ist wichtig: Ein Eintrag im DNS ist keine Garantie dafür, dass echte E-Mails DKIM tatsächlich passieren.

7. Fehlerbehebung bei häufigen DKIM-Einrichtungsproblemen

Wenn DKIM nicht funktioniert, sollten Sie zunächst die häufigsten Konfigurationsprobleme überprüfen:

• Der falsche Selektor
• Unvollständiger oder missgebildeter Schlüssel
• Datensatz in der falschen DNS-Zone veröffentlicht
• Falscher Datensatztyp
• Die DNS-Verbreitung ist noch nicht vollständig abgeschlossen

Vergleichen Sie den Live-DNS-Eintrag mit den genauen Werten, die von der Sendeplattform generiert wurden. Wenn die DNS-Seite korrekt ist, fährt mit dem Mailverkehr fort. Fehler in diesem Stadium werden oft durch mehrere ausgehende Absender verursacht, die dieselbe Domain ohne koordinierte Selektoren verwenden. 

Diese können auch auf Tools von Drittanbietern zurückzuführen sein, die E-Mails ohne Autorisierung versenden, auf Weiterleitungs- oder Sicherheitsanwendungen , die die Nachricht nach dem Signieren umschreiben, oder auf Routing-Änderungen, die den vorgesehenen Signierer umgehen.

In der Regel handelt es sich dabei um betriebliche Probleme und nicht um einfache DNS-Fehler. Deshalb sollte die Einrichtung von DKIM als Teil eines umfassenderen Governance- und Mail-Flow-Management-Prozesses behandelt werden.

8. DKIM mit SPF, DMARC und laufender Kontrolle stärken

DKIM funktioniert am besten als eine Ebene in einer breiteren Anti-Spoofing-Strategie. DKIM signiert die Nachricht, SPF validiert zugelassene Absenderquellen und DMARC wendet Richtlinien und Berichte an, wenn die Authentifizierung fehlschlägt. Zusammen unterstützen sie eine stärkere Absendervalidierung und eine bessere Zustellbarkeit von E-Mails.

Auch die fortlaufende Verwaltung ist wichtig. Zu einer guten Hygiene gehört:

• Überwachung von Authentifizierungsfehlern
• Überprüfung nicht autorisierter Absender
• Aktualisierung der Dokumentation bei Absenderwechsel
• Regelmäßiges Drehen der Tasten
• Überprüfung von Richtlinien über mehrere Domänen hinweg

Da die Umgebungen immer komplexer werden, sollte DKIM als ständige Kontrolle verwaltet werden, nicht als einmalige Aufgabe.

Die korrekte DKIM-Einrichtung unterstützt Vertrauen und Authentifizierung

Um zu verstehen, wie Sie DKIM einrichten, sollten Sie sich auf das Wesentliche konzentrieren: Identifizieren Sie den richtigen Unterzeichner, erfassen Sie die korrekten Selektor- und -Schlüsseldetails, veröffentlichen Sie den DNS-Eintrag genau, aktivieren Sie die Unterzeichnung in der Plattform und überprüfen Sie, ob die Nachrichten wirklich passieren. Richtig gemacht, trägt DKIM dazu bei, die Integrität von Nachrichten zu schützen, das Vertrauen in Domänen zu stärken und die Authentifizierung von E-Mails insgesamt zu verbessern.

Für Unternehmen, die eine einfachere Validierung und einen besseren Einblick in DKIM, SPF und DMARC wünschen, bietet Mimecast Tools und Dienste zur Vereinfachung der Verwaltung.