DKIM/DMARC
Was ist DKIM?
DKIM steht für Domain Keys Identified Mail und funktioniert ähnlich wie SPF (Einrichtung hier erklärt). Hierbei wird aber nicht die IP-Adresse des sendenden Servers verglichen. DKIM nutzt hierfür ein asymmetrisches Schlüsselpaar und signiert die E-Mail digital. Das sendende System nutzt den privaten Teil des asymmetrischen Schlüsselpaares und das öffentliche Gegenstück wird mit einem TXT-Record dem empfangenden System zugänglich gemacht. Diese Signatur wird nun beim Versand einer E-Mail vom empfangenden Mailserver mittels veröffentlichtem Schlüssel der Domain abgeglichen. Wenn diese Überprüfung positiv ausfällt, ergibt sich daraus: Die E-Mail stammt vom richtigen Mailserver.
Wie binde ich DKIM in den DNS-Zonen ein?
Sie möchten einen DKIM-Eintrag eines anderen Anbieters bei uns eintragen?
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:
default_.domainkey "v=DKIM1; k=rsa; p=XXXXX;"
default_.domainkey variiert je nach Mailserver und der lange String hinter p beschreibt den öffentlichen Teil des Schlüsselpaares.
Was ist DMARC?
DMARC bedeutet Domain-based Message Authentication, Reporting and Conformance und baut auf den Methoden SPF und DKIM auf. Sowohl SPF als auch DKIM prüfen die Domäne im «Mail From» und nicht die Domäne, die dem Benutzer angezeigt wird. DMARC bietet hiermit eine Einstellung, die mehr oder weniger zwingend fordert, dass einer der beiden Checks (SPF & DKIM) die gleiche Domäne wie im «From»-Feld hat. Diese Methode gibt Feedback über die Überprüfungen und bietet zudem eine Auswertung der geprüften E-Mails.
Sie möchten DMARC bei uns eintragen?
Hierzu bräuchten Sie einen TXT-Eintrag, der bspw. wie folgt aussieht:
v=DMARC1;p=reject;pct=100;rua=mailto:postmaster@example.com
Der Parameter p= beschreibt die Policy und kann none, quarantine oder reject sein.
- none: Keine Aktion wird ausgeführt.
- quarantine: Die Mails werden vom Empfänger als verdächtig eingestuft oder als Spam markiert.
- reject: Bei nichtbestandener Prüfung soll die Mail abgelehnt werden.