Mit dem DKIM-Standard (DomainKeys Identified Mail) können Sie Spoofing bei ausgehenden Nachrichten aus Ihrer Domain verhindern.
E-Mail-Spoofing liegt vor, wenn E-Mail-Inhalte so verändert werden, dass die Nachricht von einem anderen als dem tatsächlichen Absender zu stammen scheint. Diese Art der nicht autorisierten Verwendung von E-Mails kommt ziemlich häufig vor. Um das zu verhindern, ist bei einigen E-Mail-Servern der Einsatz von DKIM erforderlich.
Bei diesem Verfahren erhalten alle ausgehenden Nachrichten eine verschlüsselte Signatur für den Header. Der empfangende E-Mail-Server entschlüsselt den Nachrichtenheader mithilfe von DKIM, um zu überprüfen, ob die E-Mail nach dem Absenden noch verändert wurde.
Mehr E-Mail-Sicherheit
Wir empfehlen, die folgenden Sicherheitsmethoden zusammen mit DKIM einzurichten:
- Sender Policy Framework (SPF): In den SPF-Einträgen wird angegeben, aus welchen Domains in Ihrer Organisation Nachrichten gesendet werden können.
- Domain-based Message Authentication, Reporting & Conformance (DMARC): Hiermit wird geregelt, wie in Ihrer Domain mit verdächtigen E-Mails umgegangen wird.
Einen eigenen DKIM-Schlüssel für Gmail erstellen
Die DKIM-Signierung erhöht die E-Mail-Sicherheit und kann E-Mail-Spoofing verhindern. Sie sollten am besten einen eigenen DKIM-Schlüssel für alle ausgehenden Nachrichten verwenden.
Wenn Sie keinen eigenen DKIM-Domainschlüssel generieren, werden alle ausgehenden Nachrichten in Gmail mit diesem DKIM-Standardschlüssel signiert: d=*.gappssmtp.com
E-Mails, die von Servern außerhalb von mail.google.com gesendet werden, werden nicht mit diesem DKIM-Schlüssel signiert.
DKIM einrichten
- Generieren Sie den Domainschlüssel für Ihre Domain.
- Fügen Sie den DNS-Einträgen Ihrer Domain den öffentlichen Schlüssel hinzu. Damit können E-Mail-Server die DKIM-Signaturen Ihrer Nachrichten überprüfen.
- Aktivieren Sie die DKIM-Signierung, damit alle ausgehenden Nachrichten eine DKIM-Signatur erhalten.
Häufig gestellte Fragen zu DKIM
Wie funktioniert DKIM?Bei DKIM werden Nachrichten mithilfe eines privaten und eines dazu passenden öffentlichen Schlüssels überprüft.
Mit dem privaten Domainschlüssel wird allen ausgehenden Nachrichten, die über Ihre Gmail-Domain gesendet werden, ein verschlüsselter Signatur-Header hinzugefügt.
Der dazu passende öffentliche Schlüssel wird dem DNS-Eintrag für die Gmail-Domain hinzugefügt. E-Mail-Server, die Nachrichten von Ihrer Domain erhalten, können mit ihm die Signatur entschlüsseln und die Nachrichtenquelle überprüfen.
Wenn Sie in Gmail die E-Mail-Authentifizierung aktivieren, werden die Header ausgehender Nachrichten mithilfe von DKIM verschlüsselt.
Wenn Sie DKIM bereits in Ihrer Domain verwenden, z. B. für ein anderes E-Mail-System, müssen Sie für Gmail einen neuen, eindeutigen Domainschlüssel generieren.
Domainschlüssel enthalten einen Textstring namens Selektorpräfix. Das standardmäßige Selektorpräfix für den Google Workspace-Domainschlüssel ist google. Wenn Sie den Schlüssel generieren, können Sie das standardmäßige Selektorpräfix google in einen Text Ihrer Wahl ändern und den neuen Selektor parallel zur bestehenden DKIM-Schlüsselkonfiguration der Domain verwenden.
Wenn Sie ein Ausgangsgateway für E-Mails verwenden, durch das ausgehende Nachrichten geändert werden, wird dadurch die DKIM-Signatur ungültig gemacht. Ein Beispiel sind E-Mail-Server, die jede ausgehende Nachricht mit einer Fußzeile versehen. Dieses Problem umgehen Sie, indem Sie eine der folgenden Aktionen ausführen:
- Richten Sie das Gateway so ein, dass ausgehende Nachrichten nicht geändert werden.
- Richten Sie das Gateway so ein, dass die Nachricht geändert wird, bevor die DKIM-Signatur hinzugefügt wird.
Wenn Nachrichten aus Ihrer Domain von einem E-Mail-Server abgelehnt werden, wenden Sie sich an den dafür zuständigen Administrator. Nachrichten sollten nicht wegen einer fehlenden oder nicht überprüfbaren DKIM-Signatur abgelehnt werden (RFC 4871).
