DKIM (DomainKeys Identified Mail)
DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsverfahren, das ausgehende Nachrichten mittels kryptografischer Signatur digital signiert. Der Empfänger kann prüfen, ob die E-Mail tatsächlich vom angegebenen Absender stammt und unterwegs nicht manipuliert wurde.
Ausführliche Erklärung
DKIM funktioniert über ein Public-Key-Verfahren: Der sendende Mailserver fügt jeder ausgehenden E-Mail eine digitale Signatur hinzu, die mit einem privaten Schlüssel erstellt wird. Diese Signatur wird im Header der Nachricht gespeichert und ist für Endnutzer unsichtbar. Der zugehörige öffentliche Schlüssel wird als DNS-TXT-Eintrag in der Domain des Absenders veröffentlicht. Beim Empfang einer E-Mail ruft der empfangende Server diesen öffentlichen Schlüssel aus dem DNS ab und verifiziert damit die Signatur. Stimmt die Signatur, ist sichergestellt, dass die E-Mail von einem autorisierten Server stammt und wichtige Teile wie Betreff, Absender und Nachrichtentext nicht verändert wurden.
Für KMU ist DKIM ein zentraler Baustein der E-Mail-Sicherheit. Ohne korrekt konfiguriertes DKIM landen ausgehende Nachrichten zunehmend im Spam-Ordner der Empfänger, da große Anbieter wie Google, Yahoo und Microsoft seit 2024 strengere Authentifizierungsanforderungen stellen. Gleichzeitig schützt DKIM die eigene Domain vor Missbrauch: Angreifer können keine gefälschten E-Mails versenden, die vorgeben, vom Unternehmen zu stammen, da diese die Signaturprüfung nicht bestehen würden.
DKIM arbeitet typischerweise mit SPF und DMARC zusammen. Während SPF prüft, ob der sendende Server autorisiert ist, garantiert DKIM die inhaltliche Integrität. DMARC verbindet beide Protokolle und legt fest, wie mit E-Mails umgegangen werden soll, die eine der Prüfungen nicht bestehen. Im Unterschied zu SPF bleibt die DKIM-Signatur auch bei Weiterleitungen gültig, solange der Inhalt nicht verändert wird.
Die Einrichtung von DKIM erfolgt über den Hosting-Provider oder die E-Mail-Infrastruktur und erfordert das Hinterlegen eines DNS-Eintrags. Die meisten modernen E-Mail-Systeme und Managed-Service-Provider bieten DKIM-Unterstützung standardmäßig an. Eine korrekte Implementierung dauert in der Regel wenige Stunden und erhöht die Zustellrate spürbar.
Praxisbeispiel
Eine IT-Beratung mit 12 Mitarbeitenden in Linz stellt fest, dass Kundenanfragen zunehmend unbeantwortet bleiben – die Antwort-E-Mails landen im Spam. Nach Analyse der E-Mail-Infrastruktur richtet der IT-Dienstleister DKIM-Signaturen für die Unternehmens-Domain ein und veröffentlicht den öffentlichen Schlüssel im DNS. Binnen zwei Wochen normalisiert sich die Zustellrate wieder, da die ausgehenden E-Mails nun als authentifiziert erkannt werden.
Code-Beispiel
## Beispiel eines DKIM DNS-Eintrags (TXT Record)
# Format: selector._domainkey.example.com
# Der Selector identifiziert den verwendeten Schlüssel
default._domainkey.example.com IN TXT (
"v=DKIM1; k=rsa; "
"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC..."
)
# v=DKIM1 -> DKIM Version
# k=rsa -> Schlüsseltyp (RSA oder Ed25519)
# p=... -> Öffentlicher Schlüssel (Base64)