– DKIM Erklärt

– DKIM Erklärt

Spamming unsere Posteingänge ist die bevorzugte Zeitvertreib spambots seit der ersten E-Mail-Postfach erstellt wurde. Die meisten dieser Nachrichten sind zwar ärgerlich, aber nur harmlose Versuche, Sie für einige Produkte oder Dienstleistungen zu interessieren. Wir haben gelernt, sie zu ignorieren und mit ausgeklügelten Spam-Filtern bemerken wir sie heutzutage kaum noch. Die Dinge werden etwas kniffliger, wenn ein Bot, der sich als Ihr bester Freund ausgibt, Ihnen eine E-Mail über ein neues Produkt sendet, das sie gerade gefunden hat. Würdest du widerstehen können zu sehen, was sie vorhat?,

Die DKIM-Signatur ist zusammen mit anderen Methoden wie SPF oder DMARC eine der häufigsten Methoden zur Authentifizierung als Absender einer E-Mail-Nachricht. Im Folgenden erklären wir, warum Sie es auch verwenden sollten und wie es tatsächlich funktioniert. Lass uns anfangen!

Warum DKIM verwenden?

Stellen Sie sich folgendes Szenario vor. Sie sind für den Verkauf Ihres glänzenden neuen Produkts verantwortlich und kennen einen CEO, der wirklich interessiert sein könnte. Sie haben sich vor zwei Wochen zufällig bei einem Tech-Meetup mit Yvonne getroffen und das Produkt kurz erwähnt, zu ihrem sichtbaren Interesse (zumindest dachten Sie das)., Sie gab Ihnen ihre Visitenkarte und bat um eine E-Mail mit einigen weiteren Details, woraufhin sie woanders hin eilte.

Jetzt verbringst du den ganzen Nachmittag damit, eine E-Mail für sie zu erstellen und zu erklären, wie sie ihr Unternehmen viel effizienter machen wird. Nachdem Sie es mindestens 10 Mal durchgelesen haben, drücken Sie „Senden“ und schließen den Laptop. Sie aktualisieren dann nervös die E-Mail-App auf Ihrem Telefon jede halbe Stunde, aber ohne Ergebnis. Ein Tag vergeht, dann ein anderer und ein anderer., Schließlich, nach ungefähr anderthalb Wochen, Sie senden eine kurze Notiz „Yvonne, lassen Sie es mich wissen, wenn Sie sich treffen möchten, gerne jederzeit kommen.”. Eine weitere Woche vergeht, und dann noch eine – keine Antwort. Sie beginnen sich zu fragen, was schief gelaufen ist.

Dann, bei einem weiteren Meetup drei Monate später, Sie vor Ort Yvonne über die Halle. Sie nähern sich ihr und beginnen zu chatten. Irgendwann erwähnen Sie diskret Ihr Produkt und dieses Gespräch eine Weile zurück. Verwirrt sagt Yvonne: „Mark, ich habe noch nie von dir gehört. Wir konnten nicht länger warten, also haben wir bei einer anderen Firma unterschrieben und sie sind ziemlich großartig.“,

Was ist hier wirklich schief gelaufen? Mark schickte zwar eine E-Mail, erreichte aber nie Yvonnes Posteingang. Da es nicht sprang (er hätte eine Zustellungsstatusbenachrichtigung (DSN) erhalten, wenn dies der Fall gewesen wäre), muss es den Posteingang übersprungen haben. Es landete in einem „Spam“ – Ordner, zusammen mit potenziell kräftigen Auszahlung, die er sich erhofft hatte.

Warum ist das geschehen? Es gibt viele mögliche Gründe für eine schlechte Zustellbarkeit, aber wie sich herausstellte, hat Mark vergessen, die DKIM-Authentifizierung für sein E-Mail-Konto einzurichten., Infolgedessen war sich Yvonnes Server nicht ganz sicher, ob es wirklich Mark war, der ihr eine E-Mail schrieb, und verwarf die Nachricht, nur für den Fall („Sie müssen das wirklich sehen!“in dem Thema spielte wahrscheinlich auch seine Rolle).

Was ist DKIM?

DomainKeys identified Mail (DKIM) ist eine digitale Signatur, die ist Hinzugefügt, um alle E-Mails von einer bestimmten E-Mail-Adresse. Es ist keine typische Signatur, die Sie am unteren Rand einer Unternehmens-E-Mail erwarten. In der Tat sehen Sie normalerweise nicht einmal die DKIM., Es ist ein scheinbar zufälliger Satz von Zeichen, die im Quellcode einer E – Mail versteckt sind-ein Ort, an dem die Leute normalerweise nicht schauen, aber Server, die eingehende E-Mails akzeptieren, werden es definitiv tun. Schließlich ist DKIM ein Industriestandard für die Authentifizierung.

DKIM würde Mark erlauben, die Verantwortung für eine E-Mail-Nachricht zu übernehmen, die er an Yvonne senden würde. Mit dieser Unterschrift würde er sagen: „Hey, ich bin Mark und schreibe von meiner E-Mail-Adresse [email protected] Juni 2019 um 15: 52 Uhr PST. Ich füge in diese E-Mail die folgende Nachricht ein: (…)“., Wenn die Nachricht empfangen wird, würde Yvonnes E-Mail-Server diese Nachricht lesen, für einen kurzen Moment nachdenken (wie, wirklich kurz) und wenn alles gut klingt, die Nachricht in Yvonnes Mailbox anzeigen. Natürlich garantiert das Hinzufügen der DKIM-Signatur keine Lieferung, erhöht jedoch die Wahrscheinlichkeit eines positiven Ergebnisses erheblich.

Natürlich muss Mark nicht jedes Mal eine solche Nachricht schreiben, wenn er jemandem eine E-Mail senden möchte. Dies geschieht automatisch jedes Mal, wenn DKIM für seine Domain konfiguriert ist.

Wie sieht ein DKIM-Header aus?,

Hier ist ein Beispiel für einen DomainKeys identifizierten Mail-Datensatz:

DKIM besteht aus verschiedenen Elementen, die mit verschiedenen Tags und entsprechenden Werten beschrieben werden. Lassen Sie uns die Bedeutung der oben verwendeten aufschlüsseln:

Tag und sein Wert Bedeutung Obligatorisch/optional
v=1 Version. Immer gleich ‚1‘., Obligatorisch
a=rsa-sha256 Signaturalgorithmus (also derjenige, der verwendet wurde, um einen DKIM-Datensatz am Ende des Absenders zu erstellen). Normalerweise ist es entweder rsa-sha oder rsa-sha256. Es gibt andere Algorithmen, die jedoch nicht immer von empfangenden Clients unterstützt werden. Obligatorisch
d=example.net Die Domäne eines Absenders einer Nachricht (wobei DKIM signiert ist) Obligatorisch
s=newyork Selektor., Dies beinhaltet Anweisungen, mit welchem öffentlichen Schlüssel eine bestimmte DKIM aufgelöst werden soll (mehr dazu später). Obligatorisch
c=relaxed / simple Kanonisierungsalgorithmus, der sowohl für Header als auch für body verwendet wird. Obligatorisch
q=dns / txt Abfragemethode zum Abrufen des öffentlichen Schlüssels., Standardmäßig ist es ‚dns/txt‘ Optional (empfohlen)
t=1117574938 Ein Zeitstempel, wann die Nachricht signiert wurde Obligatorisch
x=1118006938 Ablaufzeit dieses DKIM (wenn eine E-Mail ankommt nach Ablauf der Zeit schlägt die Überprüfung fehl, auch wenn alles andere perfekt übereinstimmt) Optional (empfohlen)
h=from:to:subject:dat
e:keywords:keywords;
Liste der Header, getrennt durch Doppelpunkte.,
bh=MTIzNDU2Nzg5M
DEyMzQ1Njc4OTAxMj
M0NTY3ODkwMTI=
Der Hash-Nachrichtentext wird nach der Kanonisierung mit der Methode aus dem Tag ‚c‘ durch die Hash-Funktion vom Tag ‚a’ausgeführt. Obligatorisch
b=dzdVyOfAKCdLXdJO
c9G2q8LoXSlEniSbav+
yuU4zGeeruD00lszZVo
G4ZHRNiYzR
Und schließlich ist dies die digitale Signatur von Kopf-und Körper, mit der gleichen Funktion hashed.,

Wie Sie sehen können, ist die tatsächliche Signatur nur ein kleiner Teil von DKIM. Alles, was darüber liegt, sind Metadaten, die beschreiben, wie die Hash-Werte berechnet wurden.

Beachten Sie, wie zwei der Tags als optional markiert wurden – sie sind nicht erforderlich für DKIM richtig überprüft werden, aber eine zusätzliche Sicherheitsebene hinzufügen., Es gibt mehrere andere optionale tags, die Sie verwenden können:

Tag Dh Empfohlen oder nicht
‚i‘ Identität eines Benutzers oder ein agent. Der Wert dieses Tags ist eine E-Mail-Adresse, einschließlich einer Domain und Subdomain, wie unter dem Tag ‚d‘ definiert. Empfohlen
‚l‘ Länge des Nachrichtentextes (Anzahl der Zeichen), die verwendet wurde, um zu berechnen, der Körper-hash., Wenn das Tag nicht verwendet wird, wird angenommen, dass der gesamte Körper verwendet wurde. Nicht empfohlen
‚ z ‚ Liste der ursprünglichen Header der Nachricht. Nicht empfohlen)

Wie DKIM funktioniert?

Das Signieren und Empfangen von DKIM erfolgt in drei Schritten.,

  1. Der Absender entscheidet, was in einen DKIM-Datensatz aufgenommen werden soll

Als Absender können Sie sich nur auf bestimmte Teile eines Headers beschränken (‚From‘, ‚To‘, ‚cc‘, ’subject‘ oder andere), aber auch den gesamten Header und Body in DKIM einbeziehen. Sie können auch einige oder alle der oben genannten optionalen Felder hinzufügen. Obwohl wir sie in die Liste aufgenommen haben, empfehlen wir nicht, die letzten beiden Tags aus der vorherigen Tabelle zu verwenden. Sie bringen nicht viel Wert und wenn sie falsch konfiguriert sind, können sie zu einer falschen Authentifizierung führen, auch wenn der Rest des Datensatzes in Ordnung ist.,

Technisch gesehen, je mehr spezifische Details enthalten sind, desto zuverlässiger wird die Authentifizierung sein. Sie müssen jedoch auch damit vorsichtig sein, da selbst die kleinen Details, die von Ihrem E-Mail-Server geändert werden, zu einer fehlgeschlagenen DKIM-Authentifizierung auf der Empfangsseite führen. Denken Sie zum Beispiel an“ Weitergeleitet von… “ – Nachrichten, die E-Mails hinzugefügt werden, wenn Sie von E-Mail-Clients weitergeleitet werden. Wenn Sie Ihren gesamten Körper in DKIM aufgenommen haben, wird er jetzt unweigerlich fehlschlagen, da der Körper gerade modifiziert wurde.

Keine Sorge. Sie müssen sich nicht jedes Mal, wenn Sie eine E-Mail senden, für die Form eines DKIM entscheiden., Es wird automatisch von einem Server erledigt, den Sie nur einmal konfigurieren müssen.

2. Das DKIM wird erstellt und eine Nachricht, die es enthält, wird gesendet

Sobald der Server weiß, was er in das DKIM aufnehmen soll, und das Senden von E-Mails initiiert wird, beginnt er mit dem Hashing des Inhalts. Sie haben in unserem Beispiel bereits gesehen, wie die Tags ‚b‘ und ‚bh‘ aussehen. Um Ihnen ein weiteres Beispiel zu geben, sehen Sie hier, wie der vorherige Schritt aussehen würde, wenn er mit der SHA256-Methode gehackt würde:

568291DDA7ECE2594254BC8E7D70DA150968D022021081BB6E3FC40DC9C260D6CE328291830AB02CFB1D8CDEC3C2B35C73F92ADF335BCCF38C6784AC9922A8C1

Obwohl es komplex erscheinen mag, sind solche Hashes mit verschiedenen Online-Tools extrem einfach zu entziffern (probieren Sie es selbst aus!,). Deshalb wird vor dem Senden einer E-Mail jeder Hash mit einem sogenannten privaten Schlüssel verschlüsselt. Für jeden von Ihnen verwendeten Selektor können Sie einen separaten privaten Schlüssel verwenden, auch wenn Sie alle E-Mails von derselben Domain senden. Dies kann einen Schlüssel für Marketing-E-Mails bedeuten, einen anderen für transaktionale und einen dritten für E-Mails, die an Anbieter gesendet werden. Die Verwendung verschiedener privater Schlüssel ist aus Sicherheitsgründen wichtig.

Sobald alles eingerichtet ist, wird eine E-Mail gesendet!

3., Eine Nachricht wird empfangen und der Server validiert die DKIM – Signaturen

Innerhalb von Sekunden wird eine Nachricht vom empfangenden Server empfangen und es muss eine wichtige Entscheidung getroffen werden-ob die E-Mail zugelassen werden soll oder nicht. Wenn es sieht, dass eine DKIM in der Nachricht enthalten ist, startet es sofort den Validierungsprozess.
Mit den‘ domain ‚(‚d) und‘ selector ‚(’s‘) Felder sichtbar in DKIM, kann der Server den öffentlichen Schlüssel entsprechend dieser Kombination durch eine entsprechende DNS-Abfrage (solche Daten sind öffentlich verfügbar) zu holen., Anschließend erstellt der empfangende Server mit den verschlüsselten Feldern neu erworbener öffentlicher Schlüssel und ‚b‘ und ‚h‘ eigene Hashes und vergleicht sie mit den in einer Nachricht empfangenen. Wenn es eine Übereinstimmung gibt – die Authentifizierung ist erfolgreich. Wenn nicht, schlägt die DKIM-Autorisierung fehl. Es bedeutet nicht, dass die Nachricht verworfen wird, aber es senkt seine Chancen, geliefert zu werden.

Wie füge ich eine DKIM-Signatur zu deinen E-Mails hinzu?

Das Hinzufügen von DKIM erfordert das Ändern einiger Details Ihrer DNS-Einträge. Viele E-Mail-Clients haben es im Detail behandelt, so dass wir uns hier nicht darauf konzentrieren werden., Überprüfen Sie die folgenden Links für die Details spezifisch für die beliebtesten Anbieter:

  • MailChimp
  • SendGrid
  • Sendinblue
  • Mailjet
  • AWeber
  • Gmail
  • Outlook & Office365

Wenn Ihr E-Mail-Client keine Hilfe bei der Implementierung DKIM oder Sie richten Ihre eigene Infrastruktur ein, schauen Sie sich die offiziellen Dokumente von DKIM an.

Wie teste ich, ob DKIM richtig konfiguriert wurde?

Sobald DKIM hinzugefügt wurde, stellen Sie sicher, dass Sie es mit einem Online-DKIM-Analysator validieren. Verwenden Sie beispielsweise MXToolbox oder Mail-Tester.,letzteres kann jedoch verwendet werden, um SPF-Datensätze gleichzeitig zu überprüfen.

Sie können auch einfach eine Test-E-Mail an Ihr Google Mail-oder Yahoo-Konto senden und sich selbst überprüfen, ob eine Nachricht mit Ihrer DKIM-Signatur geliefert wurde.

Sobald die Nachricht eintrifft, erweitern Sie die Kopfzeile mit dem Dreieck-Symbol unter dem Namen des Absenders. Wenn die Domäne des Absenders sowohl für „mailed-by“ als auch für „signed-by“ angezeigt wird, wurde die Nachricht mit DKIM erfolgreich überprüft.,

Sie können auch klicken Sie auf die drei Punkte in der oberen rechten Ecke und „Original Anzeigen“. Hier sehen Sie das Ergebnis der DKIM-Authentifizierung. Wenn es mit dem Wort „PASS“ und Ihrer Domain-Adresse kommt, funktioniert alles gut. Wenn Sie eine E-Mail von Google Mail senden und keine DKIM-Autorisierung einrichten, weist Google Mail eine Standard-E-Mail für Sie zu, indem Sie Ihrer Domain-Adresse etwas wie „.20150623.gappssmtp.com“ hinzufügen., Eine solche Nachricht wird ebenfalls authentifiziert, aber nicht so effektiv wie bei Ihrem individuellen DomainKeys-identifizierten Mail-Setup.

Um den DKIM-Datensatz auf Yahoo zu überprüfen, klicken Sie auf „Vollständige Kopfzeile anzeigen“ und suchen Sie nach der Spur von DKIM. Wenn Sie dkim=pass (ok) finden, haben Sie den Test bestanden!

Andere Überlegungen

Dies schließt unseren Leitfaden für DKIM, aber es sollte kein Ende Ihrer Bemühungen zur Verbesserung der E-Mail-Zustellbarkeit sein. Schauen Sie sich unseren Leitfaden zur Lieferbarkeit an, in dem wir Tonnen anderer Ideen auflisten., Stellen Sie sicher, dass Sie sich auch bei SPF und DMARC authentifizieren, um Ihre Domain noch glaubwürdiger zu machen. Es dauert nur ein wenig Zeit und Mühe, aber die Auszahlung kann enorm sein.

Wenn Ihnen dieser Artikel gefallen hat, teilen Sie ihn bitte mit und verbreiten Sie ihn. Wir werden es wirklich zu schätzen wissen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.