You are viewing an old version of this page. View the current version.

Compare with Current View Page History

« Previous Version 19 Next »

Was ist das DKIM-Protokoll? Dieses Protokoll ist eine Methode der E-Mail-Authentifizierung. Es ermöglicht die Signatur Ihrer E-Mail mit Ihren Domainnamen, wie bei einem Brief, den Sie mit Ihrer Unterschrift versehen. Der Empfänger Ihrer E-Mail hat die Sicherheit, dass die erhaltene E-Mail von Ihnen stammt und während der Übertragung nicht geändert wurde. Das Verwenden eines DomainKeys dient dazu, das Fälschen des Absenders einer E-Mail zu erschweren.

Auch die Header werden gegen Manipulationen gesichert. Das Protokoll soll möglichst flexibel einsetzbar sein, auch in mehrstufigen Mail-Systemen und bei E-Mail-Dienstleistern. Daher sind einige Zusatzinformationen erforderlich. Der Server fügt in die E-Mail einen zusätzlichen Header "DKIM-Signature" ein, an dem sich die Probleme und Prinzipien des Verfahrens zeigen. Er sieht beispielsweise so aus:

DKIM-Signature: v=DKIM1; a=rsa-sha1; c=relaxed/simple;
d=example.at; s=mail111222; i=dau@sub.example.at;
h=Date:From:To:Subject:Message-ID:References:Content-
Type:Content-Disposition:Content-Transfer-Encoding;
bh=8FBe8u6BvmKcvYyKlx+oYvPBSj=; b=I+oWYOxFAk

DKIM erstellen und prüfen

Um einen DKIM Eintrag zu erstellen, können Sie als Beispiel einen der vielen Generatoren verwenden, die Online zur Verfügung stehen. Zum Überprüfen kann man auch auf diverse Web-Tools zurückgreifen, wie beispielsweise: https://protodave.com/tools/dkim-key-checker/

Info

Der Schlüssel lässt sich auch auf der Kommandozeile mit dem Befehl nslookup oder dig abfragen.

Mit dem Befehl: nslookup -type=TXT mail111222._domainkey.example.net lässt sich der Schlüssel abfragen, wenn Sie
über einen shell-Zugriff verfügen. Der zurückgelieferte Wert sieht bei Erfolg ungefähr so aus:

...
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC0N
...

Die Felder enthalten die DKIM-Version (v=, optional), den Schlüsseltyp (k=, optional) und den Schlüssel selbst (p=). 
Durch unterschiedliche Selektoren kann eine Domain mehrere Schlüssel benutzen. Der RFC empfiehlt, den Schlüssel
regelmäßig zu wechseln und den alten als ungültig zu kennzeichnen. Dazu lässt der Admin den TXT-Record in seinem
DNS, löscht jedoch den eigentlichen Schlüssel, also den Teil hinter p=. Über eine Versionsnummer oder Datumsangabe
im Selektor lässt sich dann leicht zwischen gültigen und widerrufenen Schlüsseln umschalten. Die Signatur umfasst
den Körper der Mail und die Header, um beispielsweise sicherzustellen, dass sich kein Fälscher als Absender ins 
From: einträgt. Damit unterwegs eingefügte oder unwichtige Header die Signatur nicht stören, enthält der DKIM-Header
eine Liste der signierten Felder (h=). Hier können auch Header stehen, die in der E-Mail gar nicht vorkamen, um zu 
verhindern, dass sie unterwegs eingefügt werden. Das Feld i= enthält die "Identity", für die signiert wurde. Das kann
der komplette Absender sein oder auch die (Sub-)Domain, für die der signierende Server zuständig ist. Das Beispiel zeigt, 
dass die E-Mail-Adresse durchaus zu einer Subdomain der mit d= angegebenen Domain gehören darf. Im Header steht der Hash 
des Body (bh=), damit der Empfänger Veränderungen auch dann bemerken kann, wenn der öffentliche Schlüssel durch eine 
DNS-Störung nicht verfügbar ist oder widerrufen wurde. Am Ende steht dann mit b= die eigentliche Signatur.

Wie richte ich einen HCP-DKIM ein?

STEP 1

Wenn Sie Ihre Webseite mit dem "Hosting Control Panel" (HCP) verwalten, können Sie nach Ihrem Login, den Punkt "DNS Verwaltung" anklicken.


STEP 2

Danach klicken Sie auf DNS Record und anschließend auf "NEU".

DKIM erstellen

Wählen Sie bei Typ "div. Record" und hinterlegen im Feld "DNS-Record" den Namen/Selector und im TXT Record den Eintrag mit dem Schlüssel
und etwaige, zusätzliche Optionen.

DKIM Beispiel

ZIEL

Anschließend noch mit Speichern bestätigen. Nun wird der Eintrag am Server hinterlegt, dieser Prozess kann einige Zeit in Anspruch nehmen. Bitte beachten Sie, dass bei diesem System aktuell nur Schlüssel mit einer Länge von 1024 Bit akzeptiert werden.

Wie richte ich einen cPanel-DKIM ein?

STEP 1


Wenn Sie Ihre Webseite über das cPanel (WHM) verwalten, können Sie nach Ihrem Login, den Punkt "Authentifizierung" im Bereich "E-Mail" anklicken. Hier haben Sie nun mehrere Optionen. Im Bereich DKIM können Sie, sofern noch nicht geschehen, auf den "Aktivieren" Button klicken, damit DKIM für Ihren Account aktiviert wird.



  • No labels