E-Mails mit DKIM authentifizieren

DKIM

Sie können Spoofing verhindern, indem Sie ausgehenden Nachrichten-Headern eine digitale Signatur nach dem DKIM-Standard anfügen. Hierbei wird ein privater Domain-Schlüssel verwendet, mit dem Header ausgehender E-Mails verschlüsselt werden. Den DNS-Datensätzen der Domain wird eine öffentliche Version des Schlüssels hinzugefügt. Auf empfangenden Servern kann der öffentliche Schlüssel dann abrufen werden, um die eingehenden Header zu entschlüsseln und zu bestätigen, dass die Nachricht wirklich von Ihrer Domain stammt und nicht auf dem Versandweg geändert wurde.

Die digitale Signatur der G Suite entspricht dem DKIM-Standard (DomainKeys Identified Mail).

Funktionsweise von DKIM

Um ausgehenden E-Mails eine digitale Signatur hinzufügen, erstellen Sie einen Domainschlüssel, mit dem in der G Suite signierte E-Mail-Header erstellt werden, die sich eindeutig Ihrer Domain zuordnen lassen. Sie fügen den öffentlichen Schlüssel den DNS-Datensätzen (Domain Name System) für Ihre Domain hinzu. Die Empfänger können die Quelle einer E-Mail-Nachricht verifizieren, indem sie Ihren öffentlichen Schlüssel abrufen und damit Ihre Signatur bestätigen.

Um die Sicherheit zu erhöhen, können Sie jetzt anstelle eines 1024-Bit-Domainschlüssels einen 2048-Bit-Domainschlüssel erstellen. Wir empfehlen Ihnen, den stärkeren 2048-Bit-Schlüssel zu erstellen, sofern diese Schlüssellänge von Ihren Registratoren unterstützt wird. 

Falls Sie in der Vergangenheit einen Domainschlüssel mit 1024 Bit erstellt haben, sind Sie von dieser Änderung nicht betroffen. 

Die einzelnen Schritte im Überblick

Wiederholen Sie diese Schritte für jede Domain, die mit Ihrem G Suite-Konto verknüpft ist.

  1. Generieren Sie den öffentlichen Domainschlüssel für Ihre Domain.
  2. Fügen Sie den Schlüssel den DNS-Datensätzen Ihrer Domain hinzu, damit Empfänger ihn zum Lesen des DKIM-Headers abrufen können.
  3. Aktivieren Sie das Signieren von E-Mails, damit ausgehenden E-Mail-Nachrichten der DKIM-Header hinzugefügt werden kann.

Überspringen Sie die ersten beiden Schritte, wenn Sie Ihre Domain während der Registrierung für die G Suite von einem unserer Domainhostpartner gekauft haben. Google generiert den Domainschlüssel automatisch und fügt den benötigten DNS-Datensatz hinzu, wenn Sie die Authentifizierung aktivieren.

Nächster Schritt: Domainschlüssel generieren

Unsere Domain hat bereits einen DKIM-Schlüssel

Auch wenn Sie bereits einen DKIM-Domain-Schlüssel für Ihre Domain besitzen, beispielsweise wenn Ihr bestehender Mailserver ausgehende E-Mails signiert, müssen Sie einen separaten Schlüssel für die die G Suite erstellen. Der G Suite-Domainschlüssel unterscheidet sich von allen anderen Schlüsseln durch einen als Selektor-Präfix bekannten String. Das Selektor-Präfix für den G Suite-Domainschlüssel lautet standardmäßig "google". Sie können bei der Erstellung des Schlüssels jedoch ein neues Selektor-Präfix eingeben.

DMARC für die Behandlung von Nachrichten einrichten, bei denen die DKIM-Prüfung negativ ausfällt

Wenn für eine Nachricht die Prüfung des SPF-Datensatzes negativ ausfällt, entscheidet Ihr E-Mail-Anbieter, wie diese Nachricht behandelt wird. Um zu steuern, wie Ihr Anbieter Fehler behandelt, können Sie einen DMARC-Datensatz (Domain-based Message Authentication, Reporting & Conformance) für Ihre G Suite-Domain erstellen. Mit DMARC geben Sie Richtlinien an, die besagen, dass keine Aktion ausgeführt oder die Nachricht unter Quarantäne gestellt oder abgelehnt werden soll. Weitere Informationen zu DMARC

Externen Mailserver verwenden

Wenn Sie ein E-Mail-Ausgangs-Gateway verwenden, das ausgehende Nachrichten ändert und beispielsweise eine Compliance-Fußzeile einfügt, wird die DKIM-Signatur durch diese Änderung ungültig. In diesem Fall müssen Sie entweder verhindern, dass Nachrichten vom Gateway-Server geändert werden, oder die Nachrichten anschließend vom Gateway-Server signieren lassen.

Informationen zu weiteren, von Google zur Verfügung gestellten Anti-Spoofing-Maßnahmen finden Sie in den Hilfeartikeln Über SPF-Datensätze und Über DMARC.
War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?