Ob Newsletter oder geschäftliche E-Mail: Immer öfter landen Mails im Spam-Ordner oder werden gar nicht erst zugestellt – besonders, wenn Empfänger ihre Adresse bei einem großen Hoster wie GMX, Google oder T-Online haben. Der Grund: Mailprovider fordern zunehmend eine DKIM-Signatur für eingehende E-Mails, um so der Flut der Spam- und Phishing-Mails Herr zu werden.
DKIM steht für „DomainKeys Identified Mail“ und ist ein zusätzliches Verfahren zur Verifizierung von E-Mails neben dem schon länger eingesetzten Sender Policy Framework (SPF). Beide Verfahren wurden aus der Not geboren, um einem grundsätzlichen E-Mail-Problem zu begegnen: Die Absender-Adresse einer E-Mail lässt sich ganz einfach fälschen. In der Anfangszeit des Internets waren die Zahl der Mailserver noch überschaubar und das Vertrauen in die Absender groß, der E-Mail-Standard deshalb nicht auf sichere Authentifizierung ausgelegt.
SPF und DKIM sollen beweisen, dass eine Nachricht auch tatsächlich von dem Server kommt, von dem sie zu kommen behauptet. Damit sind alle in Zugzwang, die Mails über ihre eigene Domain versenden – Sie müssen sich künftig beim Server des Empfängers ausweisen, sonst verweigert dieser die Annahme von Mails oder setzt sogar den Absender auf eine Schwarze Liste.
SPF ist ein solches Ausweisverfahren: Im DNS-Eintrag einer Domain wird hier festgelegt, welche Server im Namen dieser Domain E-Mails versenden dürfen. Der Empfangs-Server lässt die Mail nur durch, wenn der Versand-Server in dieser SPF-Liste aufgeführt und damit authentifiziert ist. DKIM geht einen Schritt weiter. Hier erhält jede E-Mail eine digitale Signatur. Diese bestätigt nicht nur, dass die Mail tatsächlich vom angegebenen Absender kommt, sondern auch, dass die Mail auf ihrem Weg nicht verändert wurde.
Dafür nutzt DKIM ein kryptografisches Verfahren mit öffentlichen und privaten Schlüsseln – die „DomainKeys“ des Namens. Der öffentliche Schlüssel ist wie die SPF-Liste im DNS-Eintrag für die Domain des Absenders hinterlegt. Mit dem privaten Schlüssel generiert der Absender für jede Mail einen Hashwert als DKIM-Signatur. Diese kann der Empfänger anhand des öffentlichen Schlüssels auf Echtheit überprüfen.
Mit Hilfe von DKIM kann ein Empfänger also feststellen, ob eine E-Mail tatsächlich von der angegebenen Domain kommt. Dies schützt vor E-Mail-Spoofing, dem Versand von Mails mit gefälschter Absender-Adresse. Empfänger bleiben dadurch von vielen klassischen Phishing-Versuchen verschont.
Allerdings ist DKIM kein Schutz vor Spam, denn auch ein Spammer kann seine Mailserver per DKIM authentifizieren. Es erleichtert aber das Erkennen und Aussortieren von Spam über Filter und Bewertungssysteme.
DKIM bestätigt per Signatur, dass eine E-Mail vom angegebenen Absender kommt. Aber was ist mit Nachrichten ohne Signatur? Schließlich gibt es nach wie vor Unternehmen, die DKIM nicht einsetzen. Alles ohne Signatur nicht anzunehmen – das kann sich vielleicht ein Konzern wie Google leisten, aber nicht unbedingt ein kleiner oder auch größerer Mittelständler. Hier kommt DMARC ins Spiel; das steht für „Domain-based Message Authentication, Reporting and Conformance“.
Kurz gesagt: Mit DMARC lässt sich eine Richtline definieren, wie Empfänger mit Mails umgehen sollen, die nicht per SPF oder DKIM authentifiziert sind. Außerdem sind hier Regeln für den Umgang mit Fehlern definiert. Auch DMARC wird im DNS-Eintrag einer Domain hinterlegt. Allerdings ist DMARC nicht in jedem Fall sinnvoll: Je nach IT-Landschaft im Unternehmen kann der Regelsatz unerwünschte Nebeneffekte haben. Das kann sogar dazu führen, dass Mitarbeiter*innen selbst keine Mails mehr versenden können. Wer plant, DKIM und DMARC einzuführen, sollte sich deshalb individuell beraten lassen.
Um den verschärften Richtlinien der großen E-Mail-Provider entgegenzukommen, hat Auctores ein neues Verfahren für E-Mails eingeführt, die aus Websites und Anwendungen versendet werden. Der Dienst lässt sich nach individuellen Anforderungen konfigurieren. Er beherrscht SPF, DKIM und DMARC und erfüllt damit die erhöhten Anforderungen auf Seiten der Mailempfänger. Zugleich sinkt das Risiko, aufgrund schlechter Serverreputation auf zentral genutzten Blacklists zu landen. Weitere Pluspunkte sind optimiertes Monitoring mit Rückmeldung direkt in der Anwendung und sehr hohe Ausfallsicherheit.