So verwenden Sie DKIM, um Domain-Spoofing zu verhindern

Veröffentlicht: 2020-03-24

In den 1980er Jahren, als E-Mail und SMTP (Simple Mail Transfer Protocol) entwickelt wurden, war eine Verifizierung und Validierung von Nachrichten nicht erforderlich. Die einzigen Organisationen, die damals E-Mail nutzten, waren größtenteils große Unternehmen und Bildungseinrichtungen.

Als der E-Mail-Verkehr wuchs, stellten Angreifer leider fest, dass sie Empfänger ausnutzen konnten, indem sie böswillige Nachrichten versendeten, Domains spooften und Spam versendeten. Beispielsweise könnte jemand so tun, als würde er im Namen einer vertrauenswürdigen Marke oder eines vertrauenswürdigen Absenders senden, und versuchen, die Empfänger dazu zu bringen, zu antworten und persönliche, sensible Informationen bereitzustellen. Andere Absender nutzten E-Mails, um unerwünschte Nachrichten an jede Adresse zu senden, die sie in die Finger bekommen konnten, eine Praxis, die im CAN-SPAM-Gesetz gipfelte.

Tipp: E-Mail-Spoofing tritt auf, wenn ein Angreifer E-Mails erstellt und von einer gefälschten E-Mail-Adresse an Empfänger sendet. Lesen Sie mehr darüber, warum Sie niemals E-Mails von Domains senden sollten, die Sie nicht kontrollieren, in unserem Blogbeitrag Senden Sie keine E-Mails von Domains, die Sie nicht kontrollieren

E-Mail-Authentifizierungsverfahren wie SPF, DKIM und DMARC wurden entwickelt, um zu verhindern, dass diese Art von bösartigen E-Mails die Posteingänge der Empfänger erreichen.

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist eine kryptografische Technologie, die von Cisco und Yahoo entwickelt wurde und mit der Absender ihre Nachrichten „signieren“ können. Mit DKIM kann der Empfänger einer E-Mail-Nachricht überprüfen, ob diese Nachricht autorisiert und von dem für die Domain verantwortlichen Absender gesendet wurde. Wenn Nachrichten nicht mit DKIM signiert sind, können Posteingangsanbieter wie Gmail und Microsoft Nachrichten blockieren und verhindern, dass sie an Empfänger zugestellt werden.

Wie funktioniert DKIM?

DKIM ist eine relativ einfache Form der E-Mail-Authentifizierung, da seine einzige Funktion darin besteht, zu überprüfen, ob der Absender einer E-Mail für die Domain verantwortlich ist, von der die E-Mail gesendet wird, und dass er für den Inhalt der E-Mail verantwortlich ist. Die zwei Schritte für DKIM sind:

  1. Ein Absender fügt einen privaten Schlüssel auf seinen Mailservern hinzu und signiert die Nachricht.
  2. Der empfangende Server überprüft den im txt-Eintrag von dkimselector._domainkey.domain.com gespeicherten öffentlichen Schlüssel, um den vom Absender hinzugefügten privaten Schlüssel zu validieren.

Wie verhindert DKIM Domain-Spoofing?

Wenn Sie als Marke DKIM implementieren, signieren Sie im Wesentlichen Ihre E-Mails und teilen Posteingangsanbietern mit, dass die E-Mails, die sie erhalten, von Ihrer Domain stammen und Sie die Verantwortung dafür übernehmen. Dies bedeutet, dass Angreifer keine E-Mails von Adressen wie @yourcompany.com senden können.

Warum ist DKIM wichtig?

DKIM ist wichtig, weil es eine der Möglichkeiten ist, wie Posteingangsanbieter die Identität des Absenders überprüfen können. Ohne die korrekte Implementierung von DKIM blockieren viele Posteingangsanbieter Ihre E-Mails und verhindern, dass Ihre Nachrichten ihr beabsichtigtes Ziel erreichen. Dies mag zwar nicht besonders wichtig erscheinen, aber wenn nur eine kleine Anzahl Ihrer Nachrichten blockiert wird, kann dies große Folgen für Ihr Unternehmen haben.

Wie implementiere ich DKIM in SendGrid?

Sobald Sie ein SendGrid-Konto erstellt haben, haben Sie die Möglichkeit, entweder manuelle oder automatisierte Sicherheit zu implementieren. Wenn Sie sich für die Implementierung automatisierter Sicherheit entscheiden, verwaltet SendGrid Ihre SPF- und DKIM-Einträge für Sie. Wenn Sie auf diese Weise jemals eine Änderung an Ihrem Konto vornehmen, die sich auf die E-Mail-Zustellbarkeit auswirkt (z. B. Hinzufügen einer neuen IP-Adresse), aktualisiert SendGrid Ihre DKIM- und DNS-Einstellungen in Ihrem Namen.

Wie kann ich DKIM testen?

Es gibt eine Vielzahl von DKIM-Testtools, die online verwendet werden können. Mit so etwas wie einem DKIM-Analysator oder DKIM-Checker können Sie feststellen, ob Sie Ihren DKIM-Eintrag richtig veröffentlicht haben. Im Allgemeinen wird dringend empfohlen, alle Änderungen, die Sie an Ihren SPF- oder DKIM-Einträgen vornehmen, vor der Implementierung zu testen.

Tipp: DKIM kann sowohl für dedizierte IP-Adressen als auch für gemeinsam genutzte IP-Adresspools verwendet werden, um Ihre E-Mail-Zustellbarkeit zu verbessern, unabhängig davon, welche Art von SendGrid-Konto Sie haben.

Was macht DKIM NICHT?

Während DKIM Absendern die Möglichkeit bietet, ihre Nachrichten zu signieren, damit Posteingangsanbieter wissen, dass sie für den Nachrichteninhalt und die Domäne, von der sie gesendet werden, verantwortlich sind, gibt es einige Dinge, die DKIM nicht tut:

  • DKIM teilt Posteingangsanbietern nicht mit, wie sie mit der Nachricht umgehen sollen. Im Gegensatz zu einer E-Mail-Authentifizierungstechnologie wie DMARC sagt DKIM nicht, was zu tun ist, wenn eine Nachricht fehlschlägt oder die Überprüfung besteht.
  • DKIM berücksichtigt nicht den Absender von Nachrichten. Selbst wenn eine Nachricht die DKIM-Überprüfung besteht, könnte der für die Nachricht verantwortliche Absender immer noch ein böswilliger Akteur sein, der böswillige E-Mails sendet.
  • DKIM verhindert nicht, dass Nachrichten erneut gesendet werden. Wenn eine böswillige E-Mail von einem Empfänger geöffnet und weitergeleitet wird, kann die Nachricht dennoch geöffnet und für nachfolgende Empfänger schädlich sein.

Wie unterscheidet sich SPF von DKIM und werden beide benötigt?

Mit SPF können Absender ISPs mitteilen, welche IPs in ihrem Namen senden können. Mit DKIM können ISPs überprüfen, ob der gesendete Inhalt den Absichten des ursprünglichen Absenders entspricht. Weitere Informationen zur korrekten Zustellung Ihrer E-Mails finden Sie in unserem Leitfaden zur E-Mail-Zustellbarkeit 2019 .

Weder SPF noch DKIM sichern eine E-Mail vollständig ab. Jedem fehlt ein wichtiges Stück. SPF fehlt die Nachrichtenüberprüfung und DKIM fehlt eine Möglichkeit, zu überprüfen, woher die Nachricht kommt. Beide sind erforderlich, um ein sicherer E-Mail-Absender zu sein.

Was sind die besten DKIM-Tipps?

  • DKIM muss das Letzte sein, was der Nachricht hinzugefügt wird, bevor sie gesendet wird. Wenn danach eine Signatur, ein Leerzeichen, ein weiterer Header oder irgendetwas hinzugefügt wird, schlägt dies fehl.
  • Der Header oder sowohl Header als auch Body können signiert werden. Gmail empfiehlt, dass Sie beide unterschreiben.
  • Die Feedback-Schleife von Yahoo basiert auf der DKIM-Signatur eines Absenders. Sie verwenden Teile der Signatur, um einen Absender mit einer Beschwerde abzugleichen. Wenn Sie DKIM (oder Domänenschlüssel) nicht verwenden, können Sie die Yahoo-Feedback-Schleife nicht verwenden.
  • Bei den meisten SendGrid-Kunden wird unser Standard-DKIM automatisch in den Header eingefügt.

Gibt es Ressourcen, die ich verwenden kann, um mehr über DKIM zu erfahren?

Sehen Sie sich natürlich Folgendes an: http://dkimcore.org/tools/keycheck.html und http://www.dkim.org.
Um mehr über die Implementierung von DKIM, SPF oder DMARC mit Ihrem SendGrid-Konto und Ihren Nachrichten zu erfahren, können Sie die SendGrid-Dokumentation lesen.

Helfen Sie Posteingangsanbietern, indem Sie Ihre E-Mail authentifizieren

Um sicherzustellen, dass Kunden weiterhin auf Ihre Nachrichten reagieren, müssen Sie ISPs dabei unterstützen, Ihre Marke zu schützen. Indem Sie alle Ihre Domains mit DKIM unter Verwendung des d= signieren, weisen Sie die ISPs an, alle Domains zu blockieren, die nicht auf der „Hitliste“ stehen. Stellen Sie daher sicher, dass Sie alle Domänen signieren, von denen Sie Ihre Werbe- und Transaktions-E-Mails senden. (Dies schließt Ihre Subdomains ein, stellen Sie also sicher, dass Sie eine vollständige Bestandsaufnahme machen.)

Denken Sie daran, dass DKIM zwei Schlüsselfragen beantwortet: Hat die E-Mail eine gültige Signatur und welche Domain hat sie signiert? Es wird die E-Mail-Zustellbarkeit nicht sicherstellen, aber es wird sicherlich dazu beitragen, sie zu verbessern. Darüber hinaus wird es dazu beitragen, alle Nebeneffekte zu verhindern, die auftreten, wenn Marken gehackt werden. Sich die Zeit zu nehmen, um vorbeugende Maßnahmen zu ergreifen, kann dazu beitragen, Ihren Ruf und Ihre Marke zu schützen.

Um mehr über E-Mail-Authentifizierung und Strategien zur Sicherstellung der E-Mail-Zustellbarkeit zu erfahren, laden Sie unseren kostenlosen SendGrid-Leitfaden zur E-Mail-Infrastruktur herunter.