Was ist das DKIM-Verfahren?
DKIM ist eines von verschiedenen Authentifizierungsverfahren zur sicheren E-Mail-Kommunikation. Es arbeitet mit Ver- und Entschlüsselungsprozessen und stellt dabei sicher, dass eine versendete E-Mail auf dem Weg zu den Empfängern nicht zu Spam- oder Phishing-Zwecken abgefangen und manipuliert wurde. In diesem Artikel erklären wir Ihnen detailliert, was DKIM eigentlich ist und welche Vorteile es mit sich bringt.
⚠️ Hinweis: Wichtige Änderung ab Februar 2024
Viele Provider – insbesondere Gmail und Yahoo – erhöhen ab Februar 2024 ihre Sicherheitsstandards und lassen nur noch E-Mails von authentifizierten Absendern zu. Damit sollen vor allem Empfängerinnen und Empfänger vor Phishing und Spam geschützt werden. Gleichzeitig schützen Sie sich und Ihre Organisation vor Identitätsdiebstahl, verbessern Ihre Zustellbarkeit und verringern die Wahrscheinlichkeit einer Spam-Einstufung.
Wir empfehlen allen E-Mail-Versender:innen dringend, die gängigen Authentifizierungsverfahren DKIM, SPF und DMARC einzurichten, damit Ihre Mailings auch zukünftig in den Postfächern Ihrer Kontakte ankommen.
In unserem Blog finden Sie ausführliche Infos zum Thema.
1. Definition: Was ist DKIM?
Das Authentifizierungsverfahren DKIM steht für Domain Keys Identified Mail und wird eingesetzt, um eine maximale Sicherheit in der E-Mail-Kommunikation zu gewährleisten – sowohl für Versender:innen als auch für Empfänger:innen eines Mailings.
Mithilfe von Verschlüsselungs- und Entschlüsselungsmechanismen, die hintergründig von den Absender- und Empfängerservern durchgeführt werden, wird mit dem DKIM-Verfahren sichergestellt, dass eine E-Mail (und ihre Anhänge) auf dem Weg zu den Empfängern nicht verändert wird.
🤔 Das Kernproblem: Spam, Phishing und Betrug im E-Mail-Verkehr
Spam-Versender:innen versuchen immer wieder, versendete E-Mails auf dem Weg abzufangen und ihre Inhalte zu verändern bzw. zu manipulieren. Solche manipulierten E-Mails sollen weiterhin den Anschein erwecken, als wären Sie von Ihnen versendet worden. Schließlich haben Sie als Absender oftmals bereits eine vertrauliche Beziehung zu Ihren Newsletter-Kontakten aufgebaut.
Die manipulierten Inhalte oder Verlinkungen dieser E-Mails zielen aber in den meisten Fällen auf den Betrug der Empfänger:innen ab, indem persönliche Daten o. ä. abgefragt werden. Das schadet Ihrer eigenen E-Mail-Sicherheit und auch Ihrer Versandreputation enorm – denn früher oder später werden Ihre E-Mails als unerwünscht bzw. als Spam markiert und Ihre Zustellungsrate verschlechtert sich erheblich.
Einfach ausgedrückt hilft DKIM einem Empfängerserver dabei, den Absender einer E-Mail zu identifizieren und sicherzustellen, dass es sich dabei um einen „echten” Absender handelt. Für diese Überprüfung wird jeder versendeten E-Mail eine versteckte Signatur im E-Mail-Header hinzugefügt, die vor der Zustellung der E-Mail durch den Empfängerserver zu entschlüsseln versucht wird.
Dafür werden zwei zusammengehörende digitale Schlüssel erzeugt. Einer der beiden Schlüssel (der Public Key) wird für Ihre Absenderdomain (z. B. newsletter@meinefirma.de) im DNS bei Ihrem Webhoster hinterlegt und ist öffentlich einzusehen. Der zweite Schlüssel (der Private Key) wird auf dem Absenderserver (in unserem Fall dem rapidmail Server) hinterlegt und dort sicher verwahrt – er ist nicht öffentlich einzusehen.
Wenn Sie eine E-Mail versenden, erfolgt der Versand über Ihre Absenderdomain. Der Absenderserver (also der rapidmail Server) versieht dabei den E-Mail-Header mit der bereits erwähnten digitalen Signatur, die mithilfe des Private Keys erzeugt wurde.
Vor der Zustellung der E-Mail erfolgt ein Entschlüsselungsprozess durch den Empfängerserver: Dieser greift nun auf den Public Key, der öffentlich in Ihrem DNS einzusehen ist, zu und versucht damit, die digitale Signatur zu entschlüsseln.
Nur, wenn die Entschlüsselung erfolgreich ist, erfolgt die Zustellung ins Postfach des Empfängers bzw. der Empfängerin ohne Probleme: Ihre E-Mail wurde nicht auf dem Weg abgefangen und manipuliert.
In der Abbildung finden Sie den Ablauf noch einmal in vereinfachter Darstellung.
2. Was bringt mir DKIM?
Indem Sie einen DKIM-Key erzeugen und bei Ihrem Webhoster im DNS hinterlegen, verifizieren Sie den Absenderserver (also den rapidmail Server) für Ihre Absenderdomain. Sie geben die Erlaubnis, dass eine E-Mail mit Ihrer Absenderadresse vom rapidmail Server aus versendet werden darf.
E-Mails, die eine DKIM-Signatur enthalten, bestätigen Ihre Legitimität als Absender:in und erhöhen die Wahrscheinlichkeit einer erfolgreichen Zustellung. Außerdem sorgen Sie dafür, dass nur legitime E-Mails mit den von Ihnen gewünschten Inhalten bei Ihren Kontakten ankommen – und nicht etwa auf dem Weg durch Dritte manipuliert wurden. Im Umkehrschluss verringern Sie das Risiko einer Spam-Einstufung.
3. Und wie funktioniert’s?
In Ihren rapidmail Kontoeinstellungen finden Sie die Option, den DKIM-Key für Ihre Absenderdomain zu erstellen. Sie können ihn anschließend im DNS Ihres Webhosters hinterlegen.
Eine ausführliche Schritt-für-Schritt-Anleitung, die Sie durch den Prozess führt, finden Sie hier.
🧠 Was ist der Unterschied zwischen DKIM, SPF und DMARC?
DKIM (Domain Keys Identified Mail) sorgt durch einen Ver- und Entschlüsselungsprozess dafür, dass eine E-Mail während ihrer Übertragung nicht (missbräuchlich) verändert wurde. Dafür werden bei jedem Versand zwei Schlüssel (DKIM-Keys) miteinander abgeglichen. Einfach gesagt: Es wird sichergestellt, dass eine E-Mail unverändert vom angezeigten Absender stammt.
SPF (Sender Policy Framework) ist ein Authentifizierungsverfahren, mit dem festgelegt wird, über welche IP-Adressen E-Mails im Namen einer Person bzw. eines Unternehmens versendet werden dürfen. Es hilft dabei, gefälschte Absenderadressen zu erkennen und unterbindet die Zustellung solcher E-Mails. Einfach gesagt: Es wird festgelegt, wer eine E-Mail versenden darf.
DMARC (Domain-based Message Authentication, Reporting & Conformance) baut auf DKIM und SPF auf – mindestens eines der beiden Authentifizierungsverfahren muss eingerichtet sein, damit DMARC funktioniert. Durch DMARC wird für eine Absender-Domain festgelegt, wie mit E-Mails durch die Empfängerserver umgegangen wird, wenn die DKIM- bzw. SPF-Authentifizierung erfolgreich ist – und was mit der E-Mail passiert, wenn die Authentifizierung fehlschlägt.