Lizenzportal
English

Verwendung von DKIM

Kategorie: DNS E-Mail
Erstellt: 24.01.2024

DKIM (Domain-Keys Identified Mail) ist ein Verfahren, bei dem versendete E-Mails signiert werden, so dass der Mailserver des Empfängers die Authentizität der E-Mail prüfen kann. Anders als SPF (Sender Policy Framework) funktioniert DKIM auch mit weitergeleiteten E-Mails.

Google and Yahoo haben angekündigt, ab dem 01. Februar 2024 die Annahme von E-Mails zu verschärfen und insbesondere beim Versand von >5.000 E-Mails pro Tag nur noch authentifizierte E-Mails (SPF und/oder DKIM) zuzulassen.

LiveConfig unterstützt DKIM seit Version 1.8.3. Um DKIM zu verwenden, gehen Sie wie folgt vor:

  • installieren Sie das Paket opendkim
  • starten Sie LiveConfig (bzw. den lcclient) auf dem entsprechenden Server neu, um die OpenDKIM-Installation zu erkennen
  • melden Sie sich in LiveConfig als admin an und gehen auf Serververwaltung -> Tab E-Mail und bearbeiten die Postfix-Einstellungen. Im Tab Viren/Spam aktivieren Sie die Checkbox für den DKIM-Service (OpenDKIM).

DKIM muss jeweils pro Domain aktiviert werden. Gehen Sie hierzu (als Endkunde) auf den Punkt Hosting -> Domains, klicken auf die gewünschte (Sub-)Domain, und dort auf den Tab E-Mail. Neben dem Aktivieren von DKIM können Sie hier auch einen DKIM-Schlüssel erzeugen oder importieren, sowie den Selektor gegebenenfalls ändern. Im Normalfall erzeugen Sie einfach einen 2048-Bit RSA-Schlüssel und speichern die Einstellungen ab.

Der öffentliche Teil des DKIM-Schlüssels muss im Domain Name Service (DNS) hinterlegt werden - und zwar als TXT-Record unter dem Namen <selector>._domainkey.<domain>. Wenn die DNS-Einträge einer Domain direkt über LiveConfig verwaltet werden, müssen Sie an dieser Stelle nichts weiter machen. Wenn eine Domain mittels externer DNS-Server betrieben wird, dann müssen Sie dort den entsprechenden TXT-Eintrag anlegen.

Häufige Fragen (FAQ)

Muss ich DKIM auch für den Empfang von E-Mails einrichten?

Nein. Falls der Spam-Filter für eine E-Mail-Adresse aktiviert ist, prüft dieser, ob empfangene E-Mails mit DKIM signiert sind und berücksichtigt das bei der Bewertung. Die hier beschriebene Einrichtung von DKIM betrifft nur den Versand von E-Mails, also um ausgehende E-Mails zu signieren damit diese (besser) beim Empfänger ankommen.

Muss ich zwingend DKIM verwenden, um an Google/Yahoo senden zu können?

Nicht unbedingt. Google schreibt lediglich vor, dass eingelieferte E-Mails authentifiziert sein müssen - und da könnte SPF bereits genügen. Je größer aber die E-Mail-Mengen sind, desto schärfer sind vermutlich die Tests.

Sollte eine E-Mail aufgrund nicht ausreichender Authentifizierung nicht zugestellt werden können, so erhalten Sie in jedem Fall eine Fehlermeldung (“Postmaster Notification” bzw. “Bounce-Meldung”) und können dann entsprechende Maßnahmen ergreifen.

Sollte ich sowohl SPF als auch DKIM verwenden?

Schwierig. Rein technisch ergänzen sich diese Verfahren eigentlich nicht wirklich, denn sie verfolgen den selben Zweck. DKIM geht dabei etwas weiter als SPF, da mittels Prüfsummen und Kryptographie sichergestellt wird, dass die E-Mail tatsächlich von der Absenderdomain stammt (egal über welchen Mailserver diese dann tatsächlich zugestellt wurde). SPF ist zudem broken by design, da übliche E-Mail-Weiterleitungen damit nicht mehr funktionieren. Zusammen mit SRS (Sender Rewriting Scheme, eine Krückentechnologie um Weiterleitungen bei SPF zu ermöglichen) kann das sogar die DKIM-Prüfsummen zerstören und somit alles noch schlimmer machen.

Allerdings ist SPF sehr einfach zu implementieren und “günstig” in der Prüfung, daher ist das weit etabliert.

Zusammenfassend kann man sagen, dass SPF und DKIM zusammen keinen Sinn machen, aber mindestens eines davon eingerichtet sein sollte - was dann wiederum bedeutet, dass man tatsächlich beide Verfahren eingerichtet haben sollte.