Alle Mail­ser­ver versuchen, Mails mit ge­fälsch­ten Absendern ab­zu­blo­cken. Eine Methode, die Echtheit des Absenders zu prüfen, ist DKIM (Do­main­Keys Iden­ti­fied Mail) – ein Konzept, mit dem sich E-Mails digital signieren lassen.

Was ist DKIM?

DKIM (Do­main­Keys Iden­ti­fied Mail) basiert auf der Kom­mu­ni­ka­ti­on zwischen dem sendenden und dem emp­fan­gen­den Mail­ser­ver. Endnutzer bekommen von diesem Verfahren nichts mit. Stark ver­ein­facht aus­ge­drückt fügt der sendende Mail­ser­ver der E-Mail eine digitale Signatur hinzu, die vom emp­fan­gen­den Server überprüft wird. Dazu ruft er bei dem Mail­ser­ver, der als Absender de­kla­riert ist, den zur Signatur passenden öf­fent­li­chen Schlüssel ab. Passt der öf­fent­li­che Schlüssel nicht zur Signatur, kann dies folgende Gründe haben:

  • Die E-Mail wurde nicht vom Mail­ser­ver gesendet, der im Mail-Header de­kla­riert ist, sondern von einem anderen – be­trü­ge­ri­schen – Server.
  • Die E-Mail wurde auf dem Weg vom „echten“ Mail­ser­ver zum Empfänger verändert. Bei­spiels­wei­se könnte ein Hacker die Mail abfangen, abändern und an­schlie­ßend wei­ter­sen­den.

Wie funk­tio­niert DKIM?

Um DKIM zu verstehen, ist ein Ver­ständ­nis der einzelnen Bausteine des Konzepts elementar. Im nach­fol­gen­den haben wir die drei ele­men­ta­ren Säulen der DKIM-Records zu­sam­men­ge­fasst.

Hashing

Nach einem be­stimm­ten Al­go­rith­mus wird aus den Inhalten von E-Mails eine Zei­chen­fol­ge – der so­ge­nann­te Hash-Wert – errechnet und an­schlie­ßend dem Header der E-Mail hin­zu­ge­fügt. Errechnet der Empfänger den Hash-Wert der er­hal­te­nen E-Mail nach demselben Al­go­rith­mus, dann muss er muss er genau die Zei­chen­fol­ge erhalten, die dem Mail-Header hin­zu­ge­fügt wurde. Stimmt der Hash-Wert nicht überein, weiß der Empfänger, dass die E-Mail verändert wurde.

Hinweis

Das Hashing folgt demselben Prinzip wie die Prüf­zif­fer eines Ein­zah­lungs­scheins, wo aus den Ziffern der Re­fe­renz­num­mer ein Wert errechnet und als letzte Ziffer der Re­fe­renz­num­mer beigefügt wird.

Asym­me­tri­sche Ver­schlüs­se­lung

Damit der Empfänger sicher sein kann, dass der Hash-Wert tat­säch­lich vom ori­gi­na­len Sender stammt, ist eine weitere Maßnahme er­for­der­lich: die digitale Signatur. Zur Absender-Au­then­ti­fi­zie­rung wird zu diesem Zweck die asym­me­tri­sche Ver­schlüs­se­lung verwendet. Sie basiert auf einem Schlüs­sel­paar: Was mit Schlüssel A ver­schlüs­selt wurde, kann nur mit Schlüssel B wieder ent­schlüs­selt werden. Während ein Schlüssel geheim gehalten wird („privater Schlüssel“), ist der andere öf­fent­lich („öf­fent­li­cher Schlüssel“).

Tipp

Aus­führ­li­che In­for­ma­tio­nen zur Ver­schlüs­se­lung finden Sie in unserem Überblick über Ver­schlüs­se­lungs­ver­fah­ren.

Der Ablauf sieht fol­gen­der­ma­ßen aus:

  1. Der Absender ver­schlüs­selt den er­rech­ne­ten Hash-Wert mit dem privaten Schlüssel.
  2. Den ver­schlüs­sel­ten Hash-Wert fügt er dem Mail-Header in Form der digitalen Signatur hinzu.
  3. Der Empfänger ruft auf dem DNS-Server des Senders dessen öf­fent­li­chen Schlüssel ab und ent­schlüs­selt damit die Signatur.
  4. Der Empfänger rechnet den ent­schlüs­sel­ten Hash-Wert nach. Stimmt der selbst er­rech­ne­te Hash-Wert mit dem ent­schlüs­sel­ten überein, ist alles in Ordnung.

TXT-Eintrag auf dem Name­ser­ver

Damit die emp­fan­gen­den Mail­ser­ver den öf­fent­li­chen Schlüssel des Senders abrufen können, muss dieser nach der DKIM-Ein­rich­tung als TXT-Record in der DNS-Zone der Domain ver­öf­fent­licht werden.

Der DKIM-Eintrag enthält daher die folgenden Elemente:

  • Die Version, häufig codiert mit v=DKIM1
  • Den Ver­schlüs­se­lungs­al­go­rith­mus; dieser ist immer RSA (k=rsa).
  • Der öf­fent­li­che Schlüssel (p=); dabei handelt es sich um eine lange Zei­chen­ket­te.
  • Der Selektor; dieser ist je nach Provider un­ter­schied­lich. Beispiel: default._domainkey oder k1._domainkey.
Bild: Screenshot eines DKIM-Records
TXT Resource Record: DKIM-Eintrag

Der DKIM-Eintrag kann in der Regel nur anhand des E-Mail-Headers abgerufen werden. Denn für den Abruf wird nicht nur der Do­mä­nen­na­me, sondern auch der Selektor benötigt. Dieser ist meistens nicht bekannt oder kann nur mit einer auf­wen­di­gen Recherche eruiert werden.

DKIM-Schlüs­sel­paar erstellen

Um DKIM für Ihre eigenen Mails ein­zu­rich­ten, brauchen Sie zunächst ein Schlüs­sel­paar. Diese Schlüssel können Sie in der Regel bei Ihrem Mail-Provider anfordern. Wenn Sie Ihren eigenen Mail­ser­ver betreiben, können Sie die not­wen­di­gen Schlüssel und Einträge selbst erstellen.

DKIM-Schlüssel von Ihrem Mail-Provider anfordern

Wie genau Sie DKIM-Schlüssel anfordern, hängt von dem gewählten E-Mail-Provider ab. Zudem wird DKIM nicht von allen Anbietern gleich un­ter­stützt: Einige Provider bieten DKIM nur für Un­ter­neh­men an, andere Domain-Anbieter of­fe­rie­ren nur Schlüssel einer be­stimm­ten Länge. Allgemein können DKIM-Schlüssel aber über die Ein­stel­lun­gen oder die Ver­wal­tungs­kon­so­le Ihres Mail-Providers an­ge­for­dert werden. Im Zwei­fels­fall können Sie sich direkt an den Support wenden.

Eigene E-Mail-Adresse erstellen
E-Mail-Kom­plett­pa­ke­te vom deutschen Markt­füh­rer
  • Mit KI schneller zur perfekten E-Mail: schreiben, über­set­zen, um­for­mu­lie­ren
  • Aus Deutsch­land – DSGVO-konform & sicher
  • Nur bei IONOS: Eigene Domain inklusive

DKIM-Schlüssel manuell erstellen

Um einen DKIM-Eintrag zu erstellen, können Sie das er­for­der­li­che RSA-Schlüs­sel­paar auch manuell erzeugen. Dazu stehen Ihnen im Internet ver­schie­de­ne Tools wie der DKIM Record Generator von EasyDMARC kostenlos zur Verfügung. Geben Sie einen frei wählbaren Selektor (Beispiel: k1) und die ge­wünsch­te Domain ein. An­schlie­ßend wählen Sie die prä­fe­rier­te Schlüs­sel­län­ge.

Der Generator gibt einen privaten und einen öf­fent­li­chen Schlüssel aus. Der private Schlüssel („Private Key“) muss auf dem Mail­ser­ver hin­ter­legt werden (dies kann nur Ihr Mail­pro­vi­der ausführen), der öf­fent­li­che wird im DKIM-Record ein­ge­tra­gen.

omJk9RXI6C4.jpg Zur Anzeige dieses Videos sind Cookies von Dritt­an­bie­tern er­for­der­lich. Ihre Cookie-Ein­stel­lun­gen können Sie hier aufrufen und ändern.

DKIM-Eintrag erstellen

Nachdem Sie Ihre beiden DKIM-Schlüssel erstellt haben, müssen diese jeweils am richtigen Ort hin­ter­legt werden. Im Falle des privaten Schlüs­sels ist dieser Ort der Mail­ser­ver, beim öf­fent­li­chen ist es ein ent­spre­chen­der DNS-Eintrag für Ihre Domain. Hat Ihr Mail-Anbieter das Schlüs­sel­paar erstellt, ist der private Key in den meisten Fällen bereits hin­ter­legt.

Hinweis

Wenn Sie Ihren eigenen Mail­ser­ver betreiben, müssen Sie den privaten Schlüssel selbst hin­ter­le­gen. Je nachdem welche Software Sie als MTA (Mail Transfer Agent) nutzen, kann dieser Prozess anders aussehen.

Um Ihren öf­fent­li­chen Schlüssel zu ver­öf­fent­li­chen, müssen Sie ihn bei Ihrer Domain als TXT-DNS-Record eintragen. Dies erledigen Sie fol­gen­der­ma­ßen:

  1. Melden Sie sich im Admin-Bereich Ihrer Domain an.
  2. Na­vi­gie­ren Sie zu den DNS-Einträgen.
  3. Erstellen Sie dort einen neuen DNS-Eintrag des Typs „TXT“.
  4. Fügen Sie nun im „Hostname“-Feld Ihren DKIM-Hostname ein. Dieser setzt sich aus Selektor und Domain zusammen und hat folgendes Format: selektor._domainkey.beispieldomain.de. Anstelle von selektor und beispieldomain.de verwenden Sie die ent­spre­chen­den Werte.
  5. Im Feld „Wert“ fügen Sie den öf­fent­li­chen Schlüssen ein.
  6. Speichern Sie den neuen Eintrag und warten Sie, bis Ihre Än­de­run­gen vom DNS auf­ge­nom­men werden (kann bis zu 2-3 Tage dauern.)

DKIM prüfen

Ob DKIM korrekt ein­ge­rich­tet wurde, können Sie mithilfe eines DKIM-Checkers prüfen, z. B. mit dem DKIM Record Lookup von EasyDMARC.

Al­ter­na­tiv können Sie sich selbst eine E-Mail senden und die Kopfzeile in­spi­zie­ren: In dieser finden Sie den Eintrag „DKIM-Signature“, insofern DKIM ord­nungs­ge­mäß ein­ge­rich­tet ist:

Bild: Screenshot eines E-Mail-Headers mit dem Ausschnitt der DKIM-Signatur
In der Kopfzeile einer E-Mail (E-Mail-Header) ist die DKIM-Signatur er­sicht­lich.
Tipp

Wenn Sie die Kopfzeile einer E-Mail in das Headline Analyzer Tool von MXToolBox kopieren, erhalten Sie über­sicht­li­che und de­tail­lier­te In­for­ma­tio­nen.

E-Mail-Marketing-Tool
Jetzt News­let­ter versenden und Umsatz ge­ne­rie­ren
  • Schnelle, KI-gestützte Be­ar­bei­tung & zahl­rei­che Vorlagen
  • Un­kom­pli­zier­ter, DSGVO-konformer News­let­ter-Versand
  • Ef­fi­zi­en­te, nahtlose Anbindung an Ihren On­line­shop
Zum Hauptmenü