DKIM-Signaturen in E-Mails von goneo

Alle goneo-Kunden, die den E-Mail-Service nutzen, profitieren standardmäßig von einem Stück mehr Sicherheit in der digitalen Kommunikation: E-Mails mit bei goneo registrierten Domainnamen sind mit einem DKIM-Eintrag versehen. DKIM steht für DomainKeys Identified Mail.

DKIM ist ein spezielles Verfahren zur sicheren Identifikation. In diesem Verfahren erhält jede mit goneo gesendete E-Mail eine Signatur. Diese befindet sich im Header-Abschnitt der E-Mail. Diese Signatur ist ein Hashwert, generiert aus einem geheimen Schlüssel und dem Inhalt der E-Mail.

Der Mailserver, die eine solche E-Mail empfängt, hat dann mit Hilfe eines symmetrischen Verschlüsselungsverfahrens die Möglichkeit, den absendenden Mailserver zu identifizieren. Konkret gesagt, kann er festzustellen, ob wirklich dieser Mailserver die Mail geschickt hat. Dazu liest der empfangende Mailserver den öffentlichen Schlüssel aus, der zu der Absendedomain im Domain Name System (DNS) hinterlegt ist. Dann wird damit der mitgeschickte Signaturwert entschlüsselt.

DKIM ermöglicht es, den absendenden Server zu prüfen

Das symmetrische Verschlüsselungsverfahren mit öffentlichem und privatem Schlüsselpaar ermöglicht es nun, den Hashwert der gesendeten E-Mail wie mitgeteilt und dem vom Empfangsserver errechnetem Hashwert für die E-Mail zu vergleichen. Wenn die Hashwerte übereinstimmen, geht man davon aus, dass der angegebene Absenderserver die Mail tatsächlich geschickt hat und die Mail niemand verfälschen wollte.

Ist dies nicht der Fall, dann kann man als Empfänger entscheiden, ob man diese E-Mail zustellen will oder als Spam markieren möchte oder auch gleich löscht. Solche Policies kann man auf Empfängerseite individuell festlegen.

DKIM Einstellungen  Screenshot (Ausschnitt Experten Funktionen) im goneo-Kundencenter
Screenshot (Ausschnitt Experten Funktionen) im goneo-Kundencenter. Wie jede DNS Einstellung lassen sich auch die Domainkey-Angaben verändern. Dies sollte man aber nur tun, wenn es einen Grund dafür gibt, zum Beispiel, weil externe Mailserver zum Einsatz kommen.

Damit hilft DKIM also festzustellen, ob eine E-Mail vertrauenswürdig ist oder nicht. Aber als eindeutiges Filterkriterium reicht das allerdings nicht. Für sich alleine genommen, reicht fehlende DKIM-Nutzung auch nicht aus, um eine Mail als unerwünscht oder spammy zu klassifizieren. Es verbessert aber die Zustellbarkeit einer E-Mail, wenn eine DKIM-Signatur im Mailheader vorhanden und im DNS ein DKIM-Schlüssel für die Domain verfügbar ist. Für professionelle Versender, die Notifications oder Alerts schicken ist DKIM, auch in Verbindung mit SPF unabdingbar.

DNS-Einträge im goneo-Kundencenter

Der entsprechende DKIM-Eintrag im goneo-Kundencenter für jede Domain einsehbar. Die DNS-Angaben finden sich unter „Experten Einstellungen“. Die Angaben sind standardmäßig vorhanden, man muss nichts ändern. Grundsätzlich kann man diese, wie alle anderen Einträge auch, löschen. Passiert das unsachgemäß, wird der DKIM-Check nicht mehr funktionieren.

Dieser Mechanismus greift auch nur, wenn die Mailserver von goneo zum Einsatz kommen. Wer eigene Mailserver nutzt, muss die Angaben manuell ändern.

Mehr zu DKIM: RFC 8301

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.