DKIM Signaturen

Kategorien

E-Mail-Systeme können leicht eine potenzielle Sicherheitslücke in Ihrem Unternehmen darstellen. Täglich werden unzählige Spammails versendet. Schaut man einmal nicht ganz so genau hin, ist das Tor in die eigene IT-Infrastruktur schnell weit offen. Aus diesem Grund gibt es Spam- & Virenfilter wie unseren SpamTitan, die dank strengen Überprüfungen einen Großteil von Spammails abfangen können.

Diese strengen Überprüfungen haben zur Folge, dass gelegentlich die eigene, vermeintliche seriöse Mail als Spammail markiert wird. Um das zu verhindern, sollte man selbst möglichst alle Prüfungen von Spam- & Virenfiltern bestehen. Dafür gibt es gewisse standardisierte Methoden. In diesem Artikel erläutern wir eine davon – DKIM (DomainKeys Identified Mail). DKMI kann verwendet werden, um die Authentizität einer E-Mail von einem bestimmten Absender sicherzustellen. DKIM reiht sich somit in die Maßnahmen ein, die dazu dienen, bei der Erkennung von Spam und Phishing zu helfen. DMARC, ein weiteres Verfahren aus dieser Reihe, baut unter anderem auf DKIM auf, um den Missbrauch weiter zu reduzieren. Dem Thema DMARC werden wir uns in einem zukünftigen Newsletter widmen.

Überblick DKIM Signaturen

Bei der Verwendung von DKIM werden Mails digital signiert. Die Signatur basiert auf der asymmetrischen Verschlüsselung, auf die wir aber an dieser Stelle nicht weiter eingehen wollen.

Wenn Sie sich weiter darüber informieren möchten, können wir Ihnen folgenden Artikel empfehlen.

Wichtig für das Verständnis ist nur, dass ein öffentlicher Schlüssel sowie ein privater Schlüssel existieren. Der öffentliche Schlüssel wird im DNS hinterlegt. Der private Schlüssel ist nur dem Versender bekannt und liegt in der Regel auf dem Server, der die Mail versendet. Dem Empfänger wird somit mit dem öffentlichen Schlüssel und der Signatur innerhalb der Mail ermöglicht, die Echtheit der E-Mail zu verifizieren.

Im nächsten Abschnitt möchten wir einen kurzen, aber nicht zu technischen Abriss über die Funktionsweise von DKIM liefern.

Funktionsweise DKIM Signaturen

Wie wird die Signatur erzeugt? Die Signatur einer Mail besteht aus Hashwerten von bestimmten Headern der E-Mail und dem Body, dem eigentlichen Nachrichteninhalt. Die einzelnen Header-Felder einer Mail, die signiert werden sollen, können festgelegt werden. Dabei wird immer das „From“-Feld signiert. Häufig werden die Felder „Subject“, „Reply-To“, „To“ sowie „Date“ geschützt. Weiterhin werden im DKIM-Header noch die Domain und ein Selector angegeben, der Selector wird genutzt, um den DNS-Record zu identifizieren, der den Public-Key beinhaltet.

Ein solcher Record kann zum Beispiel folgendermaßen aussehen:

default._domainkey.nethinks.com. 300 IN TXT     „v=DKIM1; h=sha256; k=rsa; “ „p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDffuX3ugQF2UKkmluQ3KizT5ParAvKAH4g2e+z4swN+SRgwQ/PfSzfpY5qoe9IvMRjRFHR“ „NQmvTHOMTcUNPZ3UkmRHZTt8WknvLUcxtjs1WQOJkBZVj43A6G6oOuodokbLWlKyr9SntR3HLFY9IKbqZTC2ZpdkZddNZG/t39FYCwIDAQAB“

Der Empfänger kann nun mithilfe des Public-Keys die Signatur überprüfen und feststellen, ob die Mail auf ihren Weg verändert wurde.

Wichtig zum Verständnis ist an dieser Stelle, dass DKIM nur zur Anwendung kommt, wenn auch der entsprechende Header in einer Mail vorhanden ist. Sollte die Mail also keinen DKIM-Header beinhalten, so findet auch keine Prüfung statt – unabhängig davon, ob ein DKIM-Record im DNS vorhanden ist oder nicht.

DKIM als alleinige Technologie erhöht somit erst einmal nur die Glaubwürdigkeit von korrekt signierten Mails. Diejenigen Mails, die keine DKIM-Signtaur aufweisen, sind genauso valide wie vorher auch. Wie anfangs bereits erwähnt, existiert mit DMARC ein hierauf aufbauender Standard, über den wir in einem der folgenden Newsletter berichten werden.

Was muss der Endanwender bei der Verwendung von DKIM beachten?

Die Antwort ist einfach: Der Endanwender muss gar nichts beachten. Denn die Konfiguration von DKIM wird global auf dem zuständigen Mailserver und im DNS vorgenommen. Der Endanwender bekommt davon nichts mit. Somit kann DKIM wesentlich zur Absicherung von Spam- & Phishing-Mails beitragen, ohne dass ein User aktiv etwas dazu beitragen muss.

So möchten gerne DKIM Signaturen auf Ihrem Kopano-Server verwenden? Dann sprechen uns an oder senden Sie uns Ihre Anfrage!

© Bild­nach­weis: pixabay.com