E-Mails mit DKIM authentifizieren

DKIM

E-Mail-Spoofing bei ausgehenden Nachrichten verhindern

Mit dem DKIM-Standard (DomainKeys Identified Mail) können Sie E-Mail-Spoofing bei ausgehenden Nachrichten verhindern.

E-Mail-Spoofing liegt vor, wenn E-Mail-Inhalte so verändert werden, dass die Nachricht von einem anderen als dem tatsächlichen Absender zu stammen scheint. Diese nicht autorisierte Nutzung von E-Mails tritt häufig auf. Einige E-Mail-Server erfordern deshalb DKIM, um das zu verhindern.

Bei diesem Verfahren erhalten alle ausgehenden Nachrichten eine verschlüsselte Signatur für den Header. Der empfangende E-Mail-Server entschlüsselt den Nachrichtenheader mithilfe von DKIM, um zu überprüfen, ob die E-Mail nach dem Absenden noch verändert wurde. 

DKIM in Verbindung mit SPF und DMARC verwenden

Zusätzlich zu DKIM sollten Sie SPF (Sender Policy Framework) und Domain-based Message Authentication, Reporting and Conformance (DMARC) einrichten. Mithilfe von DKIM wird bestätigt, dass die Nachrichteninhalte echt und unverändert sind. Das SPF-Verfahren gibt Ihnen die Möglichkeit, festzulegen, über welche Domains von Ihrer Organisation aus E-Mails gesendet werden dürfen. Über die DMARC-Spezifikation wird bestimmt, welche Aktionen erfolgen sollen, wenn verdächtige E-Mails erkannt werden.

Einen eigenen DKIM-Schlüssel für Gmail erstellen

Die DKIM-Signierung erhöht die E-Mail-Sicherheit und kann E-Mail-Spoofing verhindern. Sie sollten am besten einen eigenen DKIM-Schlüssel für alle ausgehenden Nachrichten verwenden.

Wenn Sie keinen eigenen Schlüssel für die E-Mail-Signierung verwenden möchten, werden in Gmail standardmäßig alle ausgehenden E-Mails mit dem DKIM-Domainschlüssel "d=*.gappssmtp.com" signiert. E-Mails, die von Servern außerhalb von mail.google.com gesendet werden, sind nicht mit dem diesem DKIM-Schlüssel signiert.

DKIM einrichten

  1. Generieren Sie den Domainschlüssel für Ihre Domain.
  2. Fügen Sie den öffentlichen Schlüssel den DNS-Einträgen Ihrer Domain hinzu. E-Mail-Server können ihn verwenden, um DKIM-Header zu lesen.
  3. Aktivieren Sie die DKIM-Signierung, damit alle ausgehenden Nachrichten eine DKIM-Signatur erhalten.
Jetzt starten

Häufig gestellte Fragen zu DKIM

Wie funktioniert DKIM?

Bei DKIM werden Nachrichten mithilfe eines privaten und eines dazu passenden öffentlichen Schlüssels überprüft.

Mit dem privaten Domainschlüssel wird allen ausgehenden Nachrichten, die über Ihre Gmail-Domain gesendet werden, ein verschlüsselter Header hinzugefügt.

Der dazu passende öffentliche Schlüssel wird dem DNS-Eintrag für die Gmail-Domain hinzugefügt. E-Mail-Server, die Nachrichten von Ihrer Domain erhalten, verwenden ihn, um die Header zu entschlüsseln und die Quelle zu überprüfen.

Wenn Sie in Gmail die E-Mail-Authentifizierung aktivieren, werden die Header ausgehender Nachrichten mithilfe von DKIM verschlüsselt.

Was, wenn für meine Domain bereits ein DKIM-Schlüssel vorhanden ist?

Wenn Sie DKIM bereits in Ihrer Domain (z. B. mit einem anderen E-Mail-System) verwenden, müssen Sie für Gmail einen neuen, eindeutigen Domainschlüssel erstellen

Domainschlüssel enthalten einen Textstring, genannt Selektor-Präfix, den Sie beim Generieren des Schlüssels ändern können. Das Standardpräfix für den G Suite-Domainschlüssel lautet google.

Wie richte ich DKIM für einen Server ein, auf dem der Inhalt ausgehender E-Mails geändert wird?

Wenn Sie ein Ausgangsgateway für E-Mails verwenden, durch das ausgehende Nachrichten geändert werden, wird dadurch die DKIM-Signatur ungültig gemacht. Ein Beispiel sind E-Mail-Server, die jede ausgehende Nachricht mit einer Fußzeile versehen. Dieses Problem umgehen Sie, indem Sie eine der folgenden Aktionen ausführen:

  • Richten Sie das Gateway so ein, dass ausgehende Nachrichten nicht geändert werden.
  • Richten Sie das Gateway so ein, dass die Nachricht geändert wird, bevor die DKIM-Signatur hinzugefügt wird.
Was geschieht, wenn E-Mails aus meiner Domain abgelehnt werden, weil sie die DKIM-Prüfung nicht bestanden haben?

Wenn Nachrichten aus Ihrer Domain von einem E-Mail-Server abgelehnt werden, wenden Sie sich an den dafür zuständigen Administrator. Nachrichten sollten nicht wegen einer fehlenden oder nicht überprüfbaren DKIM-Signatur abgelehnt werden (RFC 4871).

War dieser Artikel hilfreich?
Wie können wir die Seite verbessern?