Technologische Neuigkeiten, Bewertungen und Tipps!
blogs3

Was ist DKIM für die E-Mail-Authentifizierung und wie funktioniert es?

Hinweis: Der folgende Artikel hilft Ihnen weiter: Was ist DKIM für die E-Mail-Authentifizierung und wie funktioniert es?

Jedes Jahr gibt es Hunderte Millionen E-Mail-Phishing-Angriffe. Einige dieser betrügerischen E-Mails könnten von Betrügern und Spammern stammen, die versuchen, sich als Ihre Marke auszugeben. Und diese Angriffe werden immer raffinierter. Was können Absender also tun, um dies zu verhindern?

Der beste Weg, um zu verhindern, dass Ihren Abonnenten so etwas passiert? Richten Sie strenge E-Mail-Authentifizierungsprotokolle ein: SPF, BIMI, DMARC und DKIM.

Von diesen vier E-Mail-Authentifizierungsstandards verfügt nur einer über einen streng geheimen, verschlüsselten digitalen Schlüssel. Das ist DomainKeys Identified Mail, kurz DKIM. Eine DKIM-Signatur hilft Postfachanbietern, Sie als Absender zu verifizieren und gleichzeitig Phishing-Angriffe, sogenannte E-Mail-Spoofing, zu verhindern.

Stellen Sie sich vor, Sie unterschreiben einen wichtigen Brief mit unsichtbarer Tinte, was deutlich macht, dass die Nachricht von Ihnen und niemand anderem stammt. Das ist im Wesentlichen das, was DKIM tut. Natürlich ist es nicht ganz so einfach. So funktioniert DKIM und was Sie wissen müssen, um es für Ihr E-Mail-Marketingprogramm zu implementieren:

Was ist eine DKIM-Signatur?

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsprotokoll, das eine digitale Signatur erstellt, die Postfachanbieter verwenden, um die Identität eines E-Mail-Absenders zu überprüfen. Ein Postfachanbieter verbindet die DKIM-Signatur, die sich im Header einer E-Mail befindet, mit Datensätzen, die auf dem Domain Name Server (DNS) der Domain eines Absenders veröffentlicht werden. Dadurch wird ein verschlüsselter Schlüssel bereitgestellt, der Postfachanbietern dabei hilft, gefälschte Absenderadressen zu erkennen. Alle großen Postfachanbieter achten bei der Authentifizierung von E-Mails auf DKIM-Signaturen, darunter auch Google. Apple Mail und Outlook.

Gegründet im Jahr 2004, DKIM kombinierte zwei Methoden zur Verhinderung von E-Mail-Fälschungen: „DomainKeys“ von Yahoo und „Identified Internet Mail“ von Cisco. Der DomainKeys-Teil wurde entwickelt, um die DNS-Domäne eines E-Mail-Absenders zu überprüfen. Identifizierte Internet-Mail ist der digitale Signaturteil der Spezifikation.

DKIM fügt der Standardpraxis von SMTP (Simple Mail Transfer Protocol) eine weitere Schutzebene hinzu. Obwohl SMTP häufig verwendet wird, bietet es keine Möglichkeit, einen Absender vor der Zustellung einer E-Mail zu überprüfen. Dies ermöglichte es Spammern und Betrügern, Posteingänge mit Junk-E-Mails zu füllen und zu versuchen, vertrauenswürdige Marken zu fälschen.

Was macht DKIM und wie funktioniert es?

Wenn Sie ein DKIM einrichten, teilen Sie den Internetdienstanbietern (ISPs) im Wesentlichen mit, dass Ihr ESP E-Mails von einem autorisierten System sendet und dass es sich nicht um Spam oder Spoofing handelt. Wie andere E-Mail-Authentifizierungsmethoden ermöglicht DKIM den Absendern, ihren E-Mail-Nachrichten eine bestimmte Domäne zuzuordnen. Die im DNS veröffentlichten Einträge belegen die Authentizität einer E-Mail.

DKIM verfügt jedoch über eine einzigartige Möglichkeit, dies mit einer verschlüsselten digitalen Signatur zu tun:

  • Ein öffentlicher Schlüssel, der im DNS-TXT-Eintrag veröffentlicht wird
  • Ein privater Schlüssel, der im E-Mail-Header enthalten ist. Dieser private Schlüssel ist die verschlüsselte digitale Signatur, die für den Absender eindeutig sein und mit den im DNS veröffentlichten Angaben übereinstimmen sollte.

Wenn die beiden DKIM-Schlüssel übereinstimmen, überprüfen Postfachanbieter die Identität des Absenders und die Nachricht gelangt in den Posteingang. Wenn das Schlüsselpaar nicht übereinstimmt oder vom E-Mail-Anbieter keine DKIM-Signatur erkannt wird, ist es wahrscheinlicher, dass die E-Mail abgelehnt oder in den Spam-Ordner gefiltert wird.

DKIM selbst filtert keine E-Mails. Es hilft den empfangenden Mailservern jedoch bei der Entscheidung, wie eingehende Nachrichten am besten gefiltert werden. Eine erfolgreiche DKIM-Verifizierung bedeutet oft einen verringerten Spam-Score für eine Nachricht.

Aus diesem Grund ist die Einrichtung der DKIM-Authentifizierung für die Zustellbarkeit von E-Mails so wichtig – ohne dieses und andere Authentifizierungsprotokolle, die Ihre E-Mail-Sicherheit bestätigen, werden Anbieter wie Gmail keine E-Mails zustellen, die scheinbar von einer Marke wie Microsoft, PayPal oder Bank of America stammen. weil Betrüger solche Marken regelmäßig zum E-Mail-Spoofing nutzen.

Eine DKIM-Signatur vs. SPF-Authentifizierung

Was ist der Unterschied zwischen einer DKIM-Signatur und einer SPF-Authentifizierung? Bei diesen beiden Protokollen handelt es sich lediglich um zwei unterschiedliche Methoden zur Authentifizierung von Absendern und zur Verhinderung von E-Mail-Spoofing. Ein starkes E-Mail-Sicherheitsprogramm nutzt jedoch beide.

  • Eine DKIM-Signatur verwendet Schlüssel zur Authentifizierung eines Absenders und gleicht den privaten Schlüssel in der einzelnen E-Mail mit dem bekannten öffentlichen Schlüssel dieses Absenders im DNS-Eintrag ab
  • Ein SPF-Eintrag oder Absenderrichtlinien-Framework enthält eine offizielle Liste von Domänen und Servern, die berechtigt sind, E-Mails im Namen einer bestimmten Domäne zu senden, einschließlich Ihres E-Mail-Dienstanbieters (ESP) und des Domänenbesitzers. Dazu können IhrName@Beispiel.com, aber auch Hallo@Beispiel.com, Kundesupport@Beispiel.com usw. gehören. Wenn eine Domain, die nicht in Ihrem SPF enthalten ist, versucht, E-Mails von Ihrer Marke zu senden, wird dies möglicherweise von Postfachanbietern abgelehnt oder in den Junk-Ordner verschoben.

Sowohl SPF als auch DKIM haben Stärken und Schwächen. Ein Nachteil von SPF besteht beispielsweise darin, dass es während der E-Mail-Weiterleitung abbricht, bei der DKIM-Signatur jedoch nicht. Eine DKIM-Signatur kann jedoch gefälscht sein. Deshalb empfiehlt es sich, Ihre Schlüssel regelmäßig zu ändern oder zu rotieren – mindestens ein- oder zweimal pro Jahr.

DMARC zur Mischung hinzufügen

Sobald Sie DKIM und SPF eingerichtet haben, teilt eine DMARC-Richtlinie den Postfachanbietern mit, was mit E-Mails zu tun ist, bei denen die Authentifizierung fehlschlägt. Diese Richtlinie, auch bekannt als Domänenbasierte Nachrichtenauthentifizierung, Berichterstellung und Konformität, prüft die DKIM- und SPF-Ausrichtung und erstellt so ein gemeinsames Framework für Postfachanbieter zur Verwendung im DNS-Eintrag. Wenn beispielsweise eine E-Mail auf die eine oder andere Weise fehlschlägt (das kann verschiedene Gründe haben), macht DMARC für einen Postfachanbieter klarer, was zu tun ist

Für viele Menschen ist es noch schlimmer, eine wichtige, legitime E-Mail zu verpassen, als zuzulassen, dass Spam in ihren Posteingang gelangt. Echte E-Mails können aus verschiedenen Gründen manchmal die DKIM- und SPF-Authentifizierung nicht bestehen. Daher lassen Postfachanbieter möglicherweise E-Mails durch, wenn sie den Test nicht bestehen, aber scheinbar von einer legitimen Absenderdomäne stammen. DMARC macht klarer, was zu tun ist.

Wie sieht ein DKIM-Eintrag aus?

Die Implementierung einer DKIM-Signatur erfordert Änderungen am Code in Ihrem E-Mail-Header und das Hinzufügen eines TXT-Eintrags zu Ihrem Domain Name System (DNS)-Server. Hier ist ein genauerer Blick auf diese beiden Stücke:

Der DKIM-Datensatz

Um die Vorteile von DKIM zu nutzen, um Ihre Marke vor Spoofing zu schützen und Ihre Abonnenten vor Betrügern zu schützen, müssen Sie einen DKIM-Eintrag erstellen, ihn in Ihrem DNS-TXT-Eintrag platzieren und ihn auf dem Domain-Name-Server veröffentlichen. Hierzu kann es nötig sein, Hilfe von der IT-Abteilung und/oder Ihrem E-Mail-Dienstanbieter (ESP) in Anspruch zu nehmen. ​​Hier ist ein Beispiel für einen DNS-Eintrag:

dk1024-2012._domainkey.example.com TXT „v=DKIM1; t=y; k=rsa; p=MIGfMA0GCSqGSiuTHjQWercnvEr54A2CA;“

Hier ist eine Aufschlüsselung des Beispiel-DNS-TXT-Eintrags für eine DKIM-Signatur:

• v= Die Version des verwendeten Protokolls

• t= Dieses optionale Tag gibt an, dass die sendende Domäne DKIM testet

• k= Der Schlüsseltyp, normalerweise rsa

• p= Der öffentliche Schlüssel, der mit der verschlüsselten DKIM-Signatur gekoppelt ist

Das einzige erforderliche Tag im DNS-Eintrag ist der öffentliche Schlüssel (p=). Der DKIM-Eintrag umfasst auch die sendende Domäne und den DKIM-Selektor. Letzterer ist ein Name oder eine Nummer, die der Absender verwendet, um den empfangenden Mailservern mitzuteilen, wo sich der private Schlüssel befindet. Der DKIM-Signatur-Header wird E-Mail-Nachrichten hinzugefügt und enthält die Informationen, die empfangende Mailserver benötigen, um die Authentizität einer Nachricht zu überprüfen.

So lesen Sie einen DKIM-Header

Anschließend müssen Sie den DKIM-Header erstellen. Dabei handelt es sich um den Code, der in den Header jeder einzelnen von Ihnen gesendeten E-Mail eingefügt wird und der den öffentlichen Schlüssel enthält.

Diese beiden Teile zusammen bilden die DKIM-Signatur.

Lassen Sie uns alles zusammenfügen. Hier ist ein Beispiel für eine DKIM-Signatur (aufgezeichnet als RFC2822-Header-Feld) für die signierte Nachricht:

DKIM-Signatur a=rsa-sha1; q=dns; d=example.com; i=user@eng.example.com; s=jun2005.eng; c=entspannt/einfach; t=1117574938; x=1118006938; h=von:bis:Betreff:Datum; b=dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSb av+yuU4zGeeruD00lszZVoG4ZHRNiYzR

Tags in einer DKIM-Signatur Header

  • b = die tatsächliche digitale Signatur des Inhalts (Kopfzeilen und Text) der E-Mail-Nachricht
  • bh = der Körper-Hash
  • d = die signierende Domäne
  • s = der Selektor
  • v = die Version
  • a = der Signierungsalgorithmus
  • c = der/die Kanonisierungsalgorithmus(e) für Header und Body
  • q = die Standardabfragemethode
  • l = die Länge des kanonisierten Körperteils, der signiert wurde
  • t = der Signaturzeitstempel
  • x = die Ablaufzeit
  • h = die Liste der signierten Header-Felder, wiederholt für Felder, die mehrfach vorkommen

HINWEIS: Die darüber liegenden Tags sind betont sind erforderlich. DKIM-Signaturen, denen diese Tags fehlen, führen bei der Überprüfung zu einem Fehler.

Aus diesem DKIM-Header können wir Folgendes ersehen:

  1. Die digitale Signatur ist dzdVyOfAKCdLXdJOc9G2q8LoXSlEniSbav+yuU4zGeeruD00lszZVoG4ZHRNiYzR.
    Diese Signatur wird mit der Signatur abgeglichen, die in der Domäne des Absenders gespeichert ist.
  2. Der Körper-Hash ist nicht aufgeführt.
  3. Die signierende Domäne ist example.com.
    Dies ist die Domäne, die die Nachricht gesendet (und signiert) hat.
  4. Der Selektor ist jun2005.eng.
  5. Die Version ist nicht aufgeführt.
  6. Der Signaturalgorithmus ist rsa-sha1.
    Dies ist der Algorithmus, der zum Generieren der Signatur verwendet wird.
  7. Die Kanonisierungsalgorithmen für Header und Body sind entspannt/einfach.
  8. Die Standardabfragemethode ist DNS.
    Dies ist die Methode, mit der der Schlüssel in der Signaturdomäne gesucht wird.
  9. Die Länge des kanonisierten Körperteils, der unterzeichnet wurde, beträgt nicht aufgeführt.
    Die signierende Domäne kann einen Schlüssel basierend auf dem gesamten Körper oder nur einem Teil davon generieren. Dieser Teil würde hier aufgeführt werden.
  10. Der Signaturzeitstempel ist 1117574938.
    Zu diesem Zeitpunkt wurde es unterzeichnet.
  11. Die Ablaufzeit beträgt 1118006938.
    Da eine bereits signierte E-Mail zur „Fälschung“ der Signatur wiederverwendet werden kann, werden Signaturen auf Ablauf gesetzt.
  12. Die Liste der signierten Headerfelder umfasst: von:bis:Betreff:Datum.
    Dies ist die Liste der Felder, die „signiert“ wurden, um sicherzustellen, dass sie nicht geändert wurden.

Eine wichtige Überlegung bei der DKIM-Authentifizierung ist die Notwendigkeit Ändern oder rotieren Sie Ihre DKIM-Schlüssel regelmäßig. Genau wie die Aktualisierung eines Passworts für die Kontoanmeldung trägt die DKIM-Schlüsselrotation dazu bei, das Authentifizierungsprotokoll sicher zu halten. In einigen Fällen werden DKIM-Informationen versehentlich offengelegt, was zu Sicherheitsbedenken führen kann.

Wie richtet man DKIM ein und prüft es?

Die DKIM-Einrichtung ist einer der technischsten Aspekte der E-Mail-Zustellbarkeit und kann die Hilfe Ihrer Webhost-Anbieter, E-Mail-Dienstanbieter oder Ihrer IT-Abteilung erfordern, um sie richtig zu konfigurieren. Es gibt jedoch eine gute Nachricht: Es ist viel einfacher, Ihre DKIM-Schlüssel zu überprüfen, als sie überhaupt einzurichten. Und vertrauen Sie uns: Diese Arbeit trägt wesentlich dazu bei, die Zustellbarkeit Ihrer E-Mails zu verbessern.

Die Einzelheiten Ihrer DKIM-Einrichtung variieren je nach Hosting-Anbieter. Wenden Sie sich daher unbedingt an diesen, um Einzelheiten zu erfahren. Weitere Informationen finden Sie in diesen allgemeinen Anbieterdokumenten:

So überprüfen Sie eine DKIM-Signatur

DNS-Einträge und DKIM-Signaturen können kompliziert werden. Wenn Sie sicherstellen möchten, dass Ihre E-Mail-Authentifizierungsprotokolle korrekt eingerichtet sind, gibt es Online-Tools, mit denen Sie dies überprüfen können.

Hier sind einige Tools, die Sie für die DKIM-Verifizierung ausprobieren können:

Sie können DKIM auch testen, indem Sie eine E-Mail an ein Gmail-Konto senden. Öffnen Sie die E-Mail in der Gmail-Webanwendung, klicken Sie auf den Abwärtspfeil neben der Schaltfläche „Antworten“ (oben rechts in der E-Mail) und wählen Sie „Original anzeigen“. Wenn im Original „signiert von: Ihr Domainname“ steht, ist Ihre DKIM-Signatur in Ordnung.

Verbessert DKIM die Zustellbarkeit?

Wie bei den meisten Dingen in E-Mails lautet die Antwort „Es kommt darauf an.“

Ja, das Hinzufügen der DKIM-Authentifizierung (und auch von SPF) verbessert die allgemeine Reputation Ihres Absenders und kann die Wahrscheinlichkeit erhöhen, dass Anbieter Ihre E-Mails an den Posteingang senden. Bei der Verwendung von DKIM geht es jedoch eher darum, was passiert, wenn Sie scheitern um es zu benutzen. Ohne sie ist die Wahrscheinlichkeit, dass Sie als Spam gekennzeichnet werden, viel größer – und natürlich ist es für Betrüger viel einfacher, Ihre E-Mails zu fälschen, was sich nicht nur negativ auf Ihre Zustellbarkeit, sondern auch auf Ihr Markenvertrauen auswirkt.

Übernehmen Sie die Kontrolle über die Zustellbarkeit von E-Mails

Eine starke Authentifizierung ist die Grundlage für eine hervorragende E-Mail-Zustellbarkeit. Es ist wichtig, sicherzustellen, dass Ihre Authentifizierungsprotokolle vorhanden sind – aber es ist nicht ausfallsicher. Zustellbarkeit ist ein notorisch launischer Aspekt des E-Mail-Marketings, der ständige Pflege erfordert. Aus diesem Grund haben wir InboxReady von Sinch entwickelt, eine Suite von Zustellbarkeitstools und -diensten, die dazu beitragen, die Komplexität der E-Mail-Zustellbarkeit zu verringern. Das bedeutet, dass mehr Ihrer tollen E-Mails in den Posteingängen der Personen landen, die Sie erreichen möchten.

Verbessern Sie die Zustellbarkeit, um mehr Posteingänge zu erreichen!

Nichts ruiniert das ROI-Potenzial einer ausgefeilten E-Mail so sehr wie ein Ausflug in den Spam-Ordner. Führen Sie einen Spam-Test direkt in Ihrem Kampagnen-Vorprüfungs-Workflow durch So erreichen Sie mehr Posteingänge und erhöhen den E-Mail-ROI. Mit Email on Acid können Sie Ihre E-Mails mit 23 der beliebtesten Spamfilter und Ihre Domain mit den beliebtesten Blocklisten vergleichen, bevor Sie auf „Senden“ klicken. Melden Sie sich für eine kostenlose Testversion an und probieren Sie es noch heute aus.

Starten Sie eine kostenlose Testversion

Mehr lesen:

Table of Contents