Was ist DKIM? – Ein bisschen Geschichte | EasyDMARC

Was ist DKIM? – Ein bisschen Geschichte

6 Min Lesezeit
A lock and keys on a dark blue and gray background

Wir leben in einer Zeit, in der E-Mail-Betrug weit verbreitet ist. Es hat viele Bemühungen gegeben, diese Form der Kommunikation sicherer zu machen. DKIM ist eine davon.

Aber was ist DKIM?

Wie funktioniert es? Wie ist es entstanden, und wie verbessert es die E-Mail-Kommunikation weltweit? In diesem Artikel gehen wir auf alle relevanten Aspekte im Zusammenhang mit DKIM ein.

Beginnen wir mit einer kurzen DKIM-Definition. DKIM steht für DomainKeys Identified Email. DKIM ist ein Sicherheitsprotokoll, das es den Empfängern ermöglicht, zu überprüfen, ob alle empfangenen Nachrichten von einer echten E-Mail-Domain gesendet wurden.

Mit DKIM wird jeder E-Mail, die von Ihrer Domain gesendet wird, eine private und verschlüsselte digitale Signatur zugewiesen. Die empfangenden Server authentifizieren dann diese digitale Signatur, indem sie einen öffentlichen Schlüssel zur Entschlüsselung verwenden. DKIM fungiert auch als Filter, um sicherzustellen, dass der Inhalt der Nachricht während des Datenverkehrs nicht manipuliert wurde.

Es wurde aus dem Bedürfnis heraus entwickelt, die Sicherheit der Online-Kommunikation zu erhöhen. Es ist eines der Systeme, die das alte Simple Mail Transfer Protocol (SMPT) ersetzen sollen. Es ist auch ein wesentlicher Bestandteil von DMARC und arbeitet mit SPF zusammen.

Was DKIM und SPF betrifft, so schützen beide Protokolle vor Spam, Spoofing und Phishing. Es gibt jedoch keinen Vergleich zwischen DKIM und DMARC, da letzteres die Funktionen von DKIM und SPF verbessert und erweitert, um eine unvergleichliche E-Mail-Sicherheit zu bieten.

Bei DKIM wird eine digitale Signatur mithilfe von kryptografischen Protokollen überprüft. Dieser Prozess funktioniert mit einem Schlüsselpaar, einem privaten und einem öffentlichen, das im DNS veröffentlicht wird. Hier kommt das Hinzufügen eines DKIM-Eintrags zu Ihrem DNS ins Spiel.

Was ist ein DKIM-Eintrag? Im Wesentlichen handelt es sich um einen DNS-TXT-Eintrag, der den öffentlichen Schlüssel enthält, den ein empfangender E-Mail-Server verwendet, um eine mit einem privaten Schlüssel signierte E-Mail abzugleichen. Es ist zwar wichtig zu wissen, wie ein DKIM-Eintrag funktioniert, aber in diesem Beitrag geht es eher darum, wie DKIM entstanden ist.

DKIM kombiniert zwei Sicherheitsstandards. Der erste ist der von Yahoo! entwickelte Enhanced DomainKeys, der ein öffentliches/privates Schlüsselpaar zur Verifizierung einer E-Mail verwendet. Er stützte sich auf ein grundlegendes binäres System, um zu entscheiden, wann eine E-Mail in einem Posteingang akzeptiert oder abgelehnt werden sollte, und zwar auf der Grundlage einiger weniger Spezifikationen.

DomainKeys wurde von Mark Delany im Jahr 2004 entwickelt. Die Sicherheitsprotokolle wurden von vielen anderen Teammitgliedern erweitert und verbessert. Es wurde schließlich im Jahr 2007 veröffentlicht. Die Vorgeschichte von DomainKeys lässt sich bis zum RFC 4870 zurückverfolgen, der durch den RFC 4871 abgelöst wurde. Die Grundstruktur des Systems ist unter dem US-Patent 6,986,049 registriert.

Der zweite Sicherheitsstandard ist Identified Internet Mail (IIM), entwickelt von Jim Fenton und Michael Thomas von CISCO. Das ursprüngliche System verwendete digitale Signaturen, die in der Nachricht aller gesendeten E-Mails enthalten waren, um deren Legitimität zu überprüfen.

Heute ist die DKIM-Signatur für den Empfänger als zusätzlicher Nachrichtenkopf sichtbar, und die Überprüfung erfolgt über den Mail Transfer Agent (MTA). Sie ist ein wesentlicher Bestandteil der DKIM- und DMARC-Technologie.

DomainKeys von Yahoo!

Als Yahoo! DomainKeys entwickelte, bestand das Ziel darin, ein Verifizierungssystem für die sendende Domain und den Text einer E-Mail zu implementieren. Der Mechanismus basierte auf schnellen Überprüfungen mit einem direkten „Ja oder Nein“-Ansatz, wobei die E-Mail entweder in den Spam-Ordner oder in den Posteingang geleitet wurde.

Dieser signaturbasierte Authentifizierungsstandard arbeitete ursprünglich mit einem Schlüsselpaar, einem privaten und einem öffentlichen.

Das Verfahren ist den modernen DKIM-Protokollen sehr ähnlich. Die Umgehung war jedoch komplexer. Es gibt zwei verschiedene Prozesse, einen von den sendenden Servern und einen von den empfangenden Servern.

Yahoo! hat DomainKeys entwickelt, um Organisationen wie Banken, E-Commerce-Shops usw. bei der Bekämpfung von E-Mail-Spoofing und Phishing-Angriffen zu unterstützen und gleichzeitig die Nutzer zu schützen. Aus dem vorgeschlagenen offenen Authentifizierungsstandard wurde DKIM, wie wir es heute kennen, dank der Zusammenarbeit mit Branchenführern wie IBM, Microsoft, VeriSign und natürlich CISCO.

Identified Internet Mail von CISCO

Was ist DomainKeys Identified Mail ohne Identified Internet Email, oder IIM, das von CISCO entwickelt wurde? Dieses System bot die Möglichkeit, E-Mail-Nachrichten zu Überprüfungszwecken mit kryptografischen Signaturen zu versehen. Empfängerserver konnten die Signatur überprüfen, die Domain des Absenders verifizieren und die Nachricht authentifizieren.

E-Mail-Administratoren konnten dieses System mit Hilfe von Mail Transfer Agents (MTA) oder Mail User Agents (MUAs) betreiben, um die Quelle von E-Mails zu authentifizieren.

Beide Methoden arbeiteten mit öffentlichen und privaten Schlüsseln, die es den Absendern ermöglichten, ihre ausgehenden Nachrichten zu signieren. Die Empfänger benötigten jedoch die gleiche spezielle Software wie die Absender, um die Integrität der Signatur zu überprüfen.

Laut dem von Cisco im Jahr 2005 veröffentlichten Internet Draft war das Ziel von IIM nicht nur die Bekämpfung von E-Mail-Spoofing. Identified Internet Mail wurde auch entwickelt, um Empfängern die Möglichkeit zu geben, gewünschte E-Mails zu klassifizieren und zu priorisieren.

Durch die Bereitstellung eines Mechanismus zur Unterscheidung authentischer E-Mails von unerwünschtem Spam und anderen E-Mails wollte CISCO eine Grundlage für Reputations- und Akkreditierungstools schaffen. Die Erfinder hofften, dass eine Kombination solcher Spezifikationen letztlich Spam und betrügerische E-Mails so weit zurückdrängen würde, dass sie nicht mehr so problematisch wären.

Wie DKIM entstanden ist

Yahoo! und CISCO erkannten das Potenzial ihrer Technologien und beschlossen 2007, sie zu einem einzigen Sicherheitsprotokoll zusammenzufassen. Ihre Zusammenarbeit bildete die Grundlage für die IETF-Standards, die schließlich zur Erstellung von STD 76, derzeit bekannt als RFC 6376, führten.

Dieses Dokument wurde erstmals 2011 veröffentlicht und beschreibt die DKIM-Protokolle und ihre Funktionsweise.

Mehrere E-Mail-Dienstanbieter testeten DKIM gründlich. Trotz des holprigen Starts wurde es schließlich bei Yahoo!, Gmail, AOL und FastMail zur festen Größe. Bei der ersten Anwendung verwarf der strenge Überprüfungsprozess Millionen von Nachrichten, die keine digitale Signatur aufwiesen.

Die ersten Anwender der Richtlinie beschlossen, ihre Mailinglistensoftware zu ändern, anstatt DKIM zu ändern.

Heute ist DKIM eine der drei zentralen Richtlinien in den DMARC-Protokollen und eine der Hauptkomponenten der E-Mail-Sicherheit. DKIM ist nicht stehengeblieben, sondern wird ständig verbessert. Mit RFC 8301, der 2018 veröffentlicht wurde, wurden die Größen aller digitalen Schlüssel von 512-2048 Bit auf 1024-4096 Bit aktualisiert. RFC 8463, der im selben Jahr veröffentlicht wurde, fügte einen neuen Schlüsseltyp hinzu, der öffentliche Schlüssel kürzer und robuster machte.

Fazit

Wenn Sie wissen, was die DKIM-Authentifizierung ist, können Sie ihre Bedeutung für die Sicherung Ihrer E-Mail-Domain besser verstehen.

DKIM ist ein signaturbasiertes E-Mail-Authentifizierungsprotokoll, das Ihre Domain als verifizierten Absender validiert und so Ihre Empfänger und den Ruf Ihres Unternehmens vor betrügerischen Angriffen schützt.

DKIM wurde durch die Verschmelzung zweier Sicherheitsprotokolle geschaffen: DomainKeys und Identified Internet Mail (IIM), entwickelt von CISCO.

Wenn Sie einen DKIM-Eintrag für Ihre Website erstellen möchten, sollten Sie zunächst eine DKIM-Suche durchführen. Wenn kein DKIM-Eintrag vorhanden ist, verwenden Sie unseren DKIM-Generator und erhöhen Sie Ihren Ruf als Absender. Vergessen Sie auch nicht die Bedeutung von DMARC, und machen Sie sich auf den Weg, Ihre E-Mail-Sicherheit zu verbessern.