DKIM
Was ist DKIM?
DKIME-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können.
DKIM (DomainKeys Identified Mail) ist in RFC 6376 spezifiziert. Das versendende MTA berechnet eine RSA- oder Ed25519-Signatur über ausgewählte Header (typisch From, Subject, Date) und den Body und fügt einen DKIM-Signature-Header mit der signierenden Domain (d=) und dem Selector (s=) ein. Empfänger holen den öffentlichen Schlüssel aus dem TXT-Record selector._domainkey.d.example.com und validieren die Signatur. DKIM bleibt bei den meisten Weiterleitungen intakt und liefert den kryptografischen Identifikator, den DMARC mit der From:-Domain abgleicht. Schlüsselhygiene ist kritisch: 2048-Bit-RSA oder Ed25519, Selector-Rotation, Stilllegung alter Schlüssel und Aufbewahrung privater Schlüssel in HSMs/KMS – exponierte Schlüssel ermöglichen Mail-Fälschung.
● Beispiele
- 01
Ein ausgehender Mailserver signiert Marketing-Mails mit Selector s1 und d=example.com und ermöglicht DMARC-Alignment.
- 02
DKIM-Schlüsselrotation: Neuer Selector wird veröffentlicht, bevor der alte abgeschaltet wird, um Validierungslücken zu vermeiden.
● Häufige Fragen
Was ist DKIM?
E-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können. Es gehört zur Kategorie Netzwerksicherheit der Cybersicherheit.
Was bedeutet DKIM?
E-Mail-Authentifizierungsstandard nach RFC 6376, mit dem die Absenderdomain ausgehende Nachrichten kryptografisch signiert, sodass Empfänger Header- und Body-Integrität prüfen können.
Wie funktioniert DKIM?
DKIM (DomainKeys Identified Mail) ist in RFC 6376 spezifiziert. Das versendende MTA berechnet eine RSA- oder Ed25519-Signatur über ausgewählte Header (typisch From, Subject, Date) und den Body und fügt einen DKIM-Signature-Header mit der signierenden Domain (d=) und dem Selector (s=) ein. Empfänger holen den öffentlichen Schlüssel aus dem TXT-Record selector._domainkey.d.example.com und validieren die Signatur. DKIM bleibt bei den meisten Weiterleitungen intakt und liefert den kryptografischen Identifikator, den DMARC mit der From:-Domain abgleicht. Schlüsselhygiene ist kritisch: 2048-Bit-RSA oder Ed25519, Selector-Rotation, Stilllegung alter Schlüssel und Aufbewahrung privater Schlüssel in HSMs/KMS – exponierte Schlüssel ermöglichen Mail-Fälschung.
Wie schützt man sich gegen DKIM?
Schutzmaßnahmen gegen DKIM kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für DKIM?
Übliche alternative Bezeichnungen: DomainKeys Identified Mail.
● Verwandte Begriffe
- network-security№ 333
DMARC
E-Mail-Authentifizierungsstandard nach RFC 7489, mit dem Domain-Inhaber eine Richtlinie veröffentlichen, wie Empfänger Nachrichten behandeln sollen, die SPF/DKIM und Alignment verfehlen.
- network-security№ 1076
SPF (Sender Policy Framework)
E-Mail-Authentifizierungsmechanismus nach RFC 7208, mit dem eine Domain im DNS festlegt, welche IPs oder Hosts berechtigt sind, mit ihrer Domain im Envelope-MAIL-FROM zu senden.
- network-security№ 095
BIMI
E-Mail-Standard, der das Anzeigen eines verifizierten Marken-Logos neben authentifizierten Nachrichten in unterstützenden Clients ermöglicht, sofern die Domain eine DMARC-Policy von Quarantine oder Reject einsetzt.
- attacks№ 375
E-Mail-Spoofing
Fälschen von E-Mail-Headern, sodass eine Nachricht von einem vertrauenswürdigen Absender zu stammen scheint – meist zur Vorbereitung von Phishing, Betrug oder Malware-Verteilung.
- network-security№ 955
S/MIME
IETF-Standard für Ende-zu-Ende-Signatur und -Verschlüsselung von MIME-E-Mails mit X.509-Zertifikaten einer öffentlichen oder Unternehmens-CA.
- network-security№ 984
Secure Email Gateway
Perimeter- oder Cloud-Dienst, der eingehende und ausgehende E-Mails auf Spam, Phishing, Malware, Datenabfluss und Policy-Verstöße prüft, bevor sie das Postfach erreichen.
● Siehe auch
- № 058ARC (Authenticated Received Chain)
- № 819PGP
- № 446GnuPG (GPG)
- № 452Greylisting
- № 336DNS-Blocklist (DNSBL)