Was ist DKIM?

DKIM (Domain Keys Identified Mail) ist ein Protokoll, das eine Nachricht verifizierbar signiert und damit deren sichere Übertragung ermöglicht. Die Verifizierung eines DKIM-Eintrags auf Seiten der Mailbox-Anbieter funktioniert durch kryptografische Authentifizierung. Das Verwenden einer E-Mail-Authentifizierungstechnologie wie DKIM ist eine der besten Methoden, Ihre Mitarbeiter und Kunden vor gezielten E-Mail-Angriffen zu schützen.

Zum Signieren einer Nachricht mit DKIM gehören drei Schritte. Als erstes legt der Absender fest, welche Felder er in seiner DKIM-Signatur haben möchte. Diese Felder umfassen etwa die Absenderadresse, den Inhalt, den Betreff und viele weitere. Dabei ist wichtig, dass diese Felder während der Übertragung unverändert bleiben, denn sonst schlägt die DKIM-Authentifizierung fehl.

Als zweiten Schritt erstellt die E-Mail-Plattform des Absenders einen Hash aus den Textfeldern, die in der DKIM-Signatur enthalten sind. Die folgenden Textfelder,

Von: Jane Doe <jane.doe@proofpoint.com>
Betreff: Update

ergeben beispielsweise folgenden Hash-String:

3303baf8986f910720abcfa607d81f53

Sobald der Hash-String erstellt wurde, wird er mit einem privaten Schlüssel, den nur der Absender kennt, verschlüsselt.

Nach dem Absenden der E-Mail liegt es schließlich am E-Mail-Gateway oder dem kommerziellen Mailbox-Anbieter, die DKIM-Signatur zu validieren, indem er denjenigen öffentlichen Schlüssel findet, der dem privaten Key perfekt entspricht. Damit lässt sich die DKIM-Signatur entschlüsseln und der ursprüngliche Hash-String wiederherstellen.

Als nächstes erstellt der Empfänger seinen eigenen Hash aus den Feldern, die in der DKIM-Signatur enthalten sind, und vergleicht diesen mit dem soeben entschlüsselten Hash-String. Wenn sie übereinstimmen, wissen wir zwei Dinge: erstens, dass die DKIM-Felder während der Übertragung nicht verändert wurden, und zweitens, dass derjenige, der die E-Mail signiert hat, auch wirklich derjenige ist, der sie abgeschickt hat.

Die DKIM-Signatur ist der zentrale Bestandteil der Validierung. Die Signatur besteht aus einem Hash, der aus verschiedenen Komponenten der Nachricht erstellt wird. Der Absender eine Signatur aus der Domain, dem Inhalt der Nachricht und anderen Bestandteilen generieren. Welche Komponenten zum Einsatz kommen, entscheidet sich zu dem Zeitpunkt, wenn die Nachricht abgeschickt wird, und lässt sich hinterher nicht mehr ändern.

Zum Erstellen der DKIM-Signatur nutzt der Absender den privaten Schlüssel der Domain, um die Nachricht zu verschlüsseln und einen Hash zu generieren. Der E-Mail-Server des Empfängers nimmt dann den öffentlichen Schlüssel des Absenders, um dieselben Komponenten der Nachricht zu entschlüsseln. Der Empfänger vergleicht das entschlüsselte Ergebnis, einen Hash-String, mit dem Hash, den der Absender geschickt hat. Wenn sie übereinstimmen, besteht die Nachricht die DKIM-Validierung.

Ist jedoch nur eine einzige Ziffer der Nachricht verändert, ist der entschlüsselte Hash nicht mehr identisch mit dem, den der E-Mail-Server des Absenders geschickt hat. Schlägt die DKIM-Validierung fehl, deutet das darauf hin, dass ein Angreifer die Nachricht verfälscht hat. Die DKIM-Signatur und der Verschlüsselungsprozess stellen die Integrität der Nachricht sicher, sodass Empfänger nicht Phishing und Malware-Angriffen durch abgefangene und veränderte Nachrichten zum Opfer fallen.

Der DNS-Server einer Domain hostet zwar den DKIM-TXT-Eintrag, aber der E-Mail-Server des Empfängers muss in der Lage sein, ihn unter vielen verschiedenen anderen TXT-Einträgen ausfindig zu machen. Dafür gibt es den DKIM-Selector: Er teilt dem Empfänger-Server mit, wo er den öffentlichen Schlüssel der Domain findet. Der öffentliche Schlüssel wird dazu genutzt, einen Hash zu erstellen und diesen durch Abgleich mit dem Hash, der mit dem privaten Schlüssel erzeugt wurde, zu verifizieren.

Jede E-Mail, die mit DKIM-Konfiguration versendet wurde, trägt einen DKIM-Signatur-Header, der den DKIM-Selector zusammen mit weiteren Informationen enthält. Nachfolgend sehen Sie ein Beispiel für eine DKIM-Signatur:

DKIM-Signatur: v=1; a=rsa; c=relaxed/relaxed; d=mydomain.com; s=s837fhs;

Der Wert im “s”-Tag ist der DKIM-Selector. Dieser Selector wird generiert, wenn Sie Ihr Schlüsselpaar mit privatem und öffentlichem Schlüssel erstellen. Sie können Ihren eigenen DKIM-Selector sehen, nachdem Sie DKIM auf Ihrem E-Mail-Server eingerichtet haben und eine Nachricht an sich selbst schicken. Schauen Sie sich den Header der E-Mail an und suchen Sie nach dem Abschnitt mit der DKIM-Signatur. Der Wert, der im “s”-Tag steht, ist Ihr DKIM-Selector.

DKIM und SPF arbeiten Hand in Hand, um E-Mails zu sichern, ein Mitlesen durch Dritte zu stoppen und ein Verfälschen der Daten zu verhindern. Sie gehören beide zu DMARC (Domain-based Message Authentication Reporting and Conformance), aber sie dienen unterschiedlichen Zwecken. DKIM verifiziert, dass keine dritte Partei die Daten in einer E-Mail verfälscht hat. SPF auf der anderen Seite blockiert E-Mail-Spoofing mithilfe der Absenderdomain.

Bei einem SPF-Eintrag legt der Besitzer einer Domain auf seinem DNS-Server einen TXT-Eintrag auf die gleiche Art und Weise an, wie er dies auch bei einem DKIM-Eintrag tun würde. Die TXT-Information listet alle E-Mail-Server auf, die dazu berechtigt sind, E-Mail-Nachrichten im Namen der Domain zu versenden. Sollte ein Angreifer gespoofte E-Mail-Header verwenden, versetzt der SPF-Eintrag den E-Mail-Server des Empfängers in die Lage, betrügerische Nachrichten zu erkennen und sie zu blockieren, bevor sie den Posteingang des potentiellen Opfers erreichen.

Ein SPF-Eintrag stellt lediglich sicher, dass gespoofte E-Mails nicht an die Empfänger versendet werden können, aber er garantiert nicht, dass ein Angreifer die Nachricht nicht verfälscht hat. Ohne DKIM kann ein Angreifer Nachrichten abfangen und statt der ursprünglichen eine veränderte Nachricht an den Empfänger schicken. DKIM ergänzt SPF, um sicherzugehen, dass der Absender legitim ist und die Nachricht während der Übertragung nicht verändert wurde.

DKIM und SPF machen ein E-Mail-System zusammen sicherer. E-Mail – immerhin das primäre Kommunikationstool im Internet – machte es Angreifern lange einfach, Identitäten und Zugangsdaten zu stehlen, da die meisten Nutzer gespoofte Nachrichten nicht erkennen konnten. Nun jedoch sind DKIM und SPF wichtige Sicherheitsstrategien und Teil der DMARC-Regeln.

DMARC legt außerdem fest, was mit der Nachricht passiert, wenn die Validierung fehlschlägt. Für große Unternehmen können DMARC-Regeln Nachrichten so lange in Quarantäne halten, bis ein Administrator sie überprüft hat. Nachrichten in Quarantäne erreichen den intendierten Empfänger erst, wenn ein Administrator sie an den Posteingang weitergeleitet hat. Legitime Nachrichten, die fälschlicherweise in Quarantäne gelandet sind, können so an den Empfänger weitergeleitet werden, damit keine wichtigen Nachrichten untergehen oder gelöscht werden. Sobald die Sicherheitsregeln ausreichend getestet wurden, können Sie die DMARC-Regeln so einstellen, dass sie Nachrichten automatisch fallen lassen oder löschen, wenn sie die DKIM- oder SPF-Validierung nicht bestehen.

DKIM, SPF und DMARC werden oft als Synonyme verwendet; in Wirklichkeit handelt es sich jedoch um unterschiedliche Strategien, die sich gegenseitig ergänzen und die E-Mail-Sicherheit erhöhen. Stellen Sie sich DMARC als Sicherheitsregeln vor, die bestimmen, was mit einer Nachricht geschehen soll, wenn sie die DKIM- und SPF-Validierung nicht bestanden hat.

DMARC bietet drei Optionen für den Umgang mit einer fehlgeschlagenen DKIM-Validierung: Quarantäne, Ablehnung, und Keine. Der DMARC-Sicherheitsprozess legt fest, welche dieser drei Optionen für eine Nachricht greifen sollen. Der Administrator des E-Mail-Servers nimmt die DMARC-Einstellungen vor, sodass der Umgang mit fehlgeschlagenen Nachrichten von den Präferenzen des Administrators abhängt.

Die Option “Keine” bedeutet, dass nichts passiert und die Nachricht trotzdem in den Posteingang des Empfängers zugestellt wird. Diese Option ist denjenigen Nutzern vorbehalten, die gespoofte Nachrichten oder solche mit schädlichen Inhalten erhalten sollen, etwa weil sie als Sicherheitsadministratoren verdächtige Nachrichten überprüfen müssen.

Viele Administratoren nutzen den Quarantäne-Status, um Nachrichten zu überprüfen, die durch die Validierung gefallen sind. Das E-Mail-System sammelt diese Nachrichten an einem sicheren Ort, wo Nutzer keinen Zugriff auf sie haben und ein Administrator sie später prüfen kann. Indem er Nachrichten in Quarantäne manuell begutachtet, kann der Administrator feststellen, ob das Unternehmen das Ziel einer Phishing-Kampagne ist. Nachrichten in Quarantäne können auch aufzeigen, dass SPF und DKIM falsch konfiguriert sind. Wenn das E-Mail-System Künstliche Intelligenz (KI) einsetzt, kann der Administrator das System „trainieren“, indem er falsch positive Ergebnisse markiert.

Wenn eine Nachricht die DKIM-Validierung nicht besteht und DMARC so eingestellt ist, dass es fehlgeschlagene Nachrichten ablehnt, lässt der E-Mail-Server die Nachricht fallen und sendet sie nirgendwohin. Diese Einstellung kommt auf öffentlichen E-Mail-Servern wie Gmail häufig vor. Google lässt Millionen Nachrichten, die die DKIM- und SPF-Validierung nicht bestehen, einfach fallen, damit seine Kunden Phishing, Hacking und anderen Identitätsdiebstahlskampagnen nicht zum Opfer fallen.

Ein DKIM-Eintrag hat für den Empfänger den Vorteil, dass er ihn über mögliche schädliche Inhalte wie Spam in einer E-Mail informiert. Er stellt außerdem sicher, dass die Daten in der DKIM-Signatur während der Übertragung nicht verändert wurden. Aber weil DKIM in der Umsetzung einige Herausforderungen birgt, haben es nicht alle Sender übernommen. Darüber hinaus hindert DKIM Cyberkriminelle nicht daran, die sichtbaren Teile der Absenderadresse wie die E-Mail-Adresse, den Anzeigenahmen und die Domain zu spoofen. Wie auch SPF reicht DKIM alleine nicht aus, um eine Organisation vor ausgefeilteren Phishing-Angriffen zu schützen.

Der DMARC-Authentifizierungsstandard kombiniert die Vorteile von sowohl SPF als auch DKIM und ist damit die einzige Technologie, die validieren kann, dass Nachrichten mit der Firmen-Domain in der Absenderadresse auch wirklich legitim sind.