DKIM Signa­turen

Kate­go­rien

nt-voip
Gruppe_THINK-Network_weiss-1
nt-webmail

E-Mail-Systeme können leicht eine poten­zi­elle Sicher­heits­lücke in Ihrem Unter­nehmen darstellen. Täglich werden unzäh­lige Spam­mails versendet. Schaut man einmal nicht ganz so genau hin, ist das Tor in die eigene IT-Infra­struktur schnell weit offen. Aus diesem Grund gibt es Spam- & Viren­filter wie unseren SpamT­itan, die dank strengen Über­prü­fungen einen Groß­teil von Spam­mails abfangen können.

Diese strengen Über­prü­fungen haben zur Folge, dass gele­gent­lich die eigene, vermeint­liche seriöse Mail als Spam­mail markiert wird. Um das zu verhin­dern, sollte man selbst möglichst alle Prüfungen von Spam- & Viren­fil­tern bestehen. Dafür gibt es gewisse stan­dar­di­sierte Methoden. In diesem Artikel erläu­tern wir eine davon – DKIM (Domain­Keys Iden­ti­fied Mail). DKMI kann verwendet werden, um die Authen­ti­zität einer E-Mail von einem bestimmten Absender sicher­zu­stellen. DKIM reiht sich somit in die Maßnahmen ein, die dazu dienen, bei der Erken­nung von Spam und Phis­hing zu helfen. DMARC, ein weiteres Verfahren aus dieser Reihe, baut unter anderem auf DKIM auf, um den Miss­brauch weiter zu redu­zieren. Dem Thema DMARC werden wir uns in einem zukünf­tigen News­letter widmen.

 

Über­blick DKIM Signaturen

Bei der Verwen­dung von DKIM werden Mails digital signiert. Die Signatur basiert auf der asym­me­tri­schen Verschlüs­se­lung, auf die wir aber an dieser Stelle nicht weiter eingehen wollen.

Wenn Sie sich weiter darüber infor­mieren möchten, können wir Ihnen folgenden Artikel empfehlen.

Wichtig für das Verständnis ist nur, dass ein öffent­li­cher Schlüssel sowie ein privater Schlüssel exis­tieren. Der öffent­liche Schlüssel wird im DNS hinter­legt. Der private Schlüssel ist nur dem Versender bekannt und liegt in der Regel auf dem Server, der die Mail versendet. Dem Empfänger wird somit mit dem öffent­li­chen Schlüssel und der Signatur inner­halb der Mail ermög­licht, die Echt­heit der E-Mail zu verifizieren.

Im nächsten Abschnitt möchten wir einen kurzen, aber nicht zu tech­ni­schen Abriss über die Funk­ti­ons­weise von DKIM liefern.

Funk­ti­ons­weise DKIM Signaturen

Wie wird die Signatur erzeugt? Die Signatur einer Mail besteht aus Hash­werten von bestimmten Headern der E-Mail und dem Body, dem eigent­li­chen Nach­rich­ten­in­halt. Die einzelnen Header-Felder einer Mail, die signiert werden sollen, können fest­ge­legt werden. Dabei wird immer das “From”-Feld signiert. Häufig werden die Felder “Subject”, “Reply-To”, “To” sowie “Date” geschützt. Weiterhin werden im DKIM-Header noch die Domain und ein Selector ange­geben, der Selector wird genutzt, um den DNS-Record zu iden­ti­fi­zieren, der den Public-Key beinhaltet.

Ein solcher Record kann zum Beispiel folgen­der­maßen aussehen:

default._domainkey.nethinks.com. 300 IN TXT     “v=DKIM1; h=sha256; k=rsa; ” “p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDffuX3ugQF2UKkmluQ3KizT5ParAvKAH4g2e+z4swN+SRgwQ/PfSzfpY5qoe9IvMRjRFHR” “NQmvTHOMTcUNPZ3UkmRHZTt8WknvLUcxtjs1WQOJkBZVj43A6G6oOuodokbLWlKyr9SntR3HLFY9IKbqZTC2ZpdkZddNZG/t39FYCwIDAQAB”

Der Empfänger kann nun mithilfe des Public-Keys die Signatur über­prüfen und fest­stellen, ob die Mail auf ihren Weg verän­dert wurde.

Wichtig zum Verständnis ist an dieser Stelle, dass DKIM nur zur Anwen­dung kommt, wenn auch der entspre­chende Header in einer Mail vorhanden ist. Sollte die Mail also keinen DKIM-Header beinhalten, so findet auch keine Prüfung statt – unab­hängig davon, ob ein DKIM-Record im DNS vorhanden ist oder nicht.

DKIM als allei­nige Tech­no­logie erhöht somit erst einmal nur die Glaub­wür­dig­keit von korrekt signierten Mails. Dieje­nigen Mails, die keine DKIM-Sign­taur aufweisen, sind genauso valide wie vorher auch. Wie anfangs bereits erwähnt, exis­tiert mit DMARC ein hierauf aufbau­ender Stan­dard, über den wir in einem der folgenden News­letter berichten werden.

 

Was muss der Endan­wender bei der Verwen­dung von DKIM beachten?

Die Antwort ist einfach: Der Endan­wender muss gar nichts beachten. Denn die Konfi­gu­ra­tion von DKIM wird global auf dem zustän­digen Mail­server und im DNS vorge­nommen. Der Endan­wender bekommt davon nichts mit. Somit kann DKIM wesent­lich zur Absi­che­rung von Spam- & Phis­hing-Mails beitragen, ohne dass ein User aktiv etwas dazu beitragen muss.

 

So möchten gerne DKIM Signa­turen auf Ihrem Kopano-Server verwenden? Dann spre­chen uns an oder senden Sie uns Ihre Anfrage!

 

© Bild­nach­weis: pixabay.com

Noch Fragen zu den Themen Network oder VoIP?

NT/DSL

Schnelles DSL für Ihr Unternehmen

NT/Voice

Maßge­schnei­derte Telefonie-Lösungen

NT/
CONNECT

Die Lösung für alle Anforderungen

TK-Anlage/
Aste­risk

Moderne Tele­fonie auf Open-Source-Basis