Die saXnot unterstützt Sie bei der Planung und Umsetzung von DKIM und DMARC
DKIM (DomainKeys Identified Mail) und DMARC (Domain-based Message Authentication, Reporting & Conformance) sind E-Mail-Authentifizierungsprotokolle, die dazu dienen, die Integrität und Authentizität von E-Mails sicherzustellen und den Missbrauch von E-Mail-Domänen zu verhindern.
DKIM (DomainKeys Identified Mail)
DKIM fügt E-Mails eine digitale Signatur hinzu, die von der sendenden Domain erstellt wird. Diese Signatur wird im E-Mail-Header gespeichert und kann von den empfangenden Mail-Servern überprüft werden, um sicherzustellen, dass die E-Mail tatsächlich von der angegebenen Domain gesendet wurde und während der Übertragung nicht manipuliert wurde.
Konfiguration von DKIM:
Generierung von Schlüsselpaaren: Erstellen eines privaten und eines öffentlichen Schlüssels.
Publikation des öffentlichen Schlüssels im DNS: Der öffentliche Schlüssel wird in einem speziellen DNS-Eintrag (TXT) für die Domain veröffentlicht.
Konfiguration des Mail-Servers: Der Mail-Server wird so konfiguriert, dass er E-Mails mit dem privaten Schlüssel signiert.
DMARC (Domain-based Message Authentication, Reporting & Conformance)
DMARC baut auf DKIM und SPF (Sender Policy Framework) auf und bietet eine Methode, um E-Mail-Authentifizierungsrichtlinien festzulegen und Berichte über Authentifizierungsfehler zu erhalten. Mit DMARC können Domain-Besitzer angeben, wie E-Mails, die die SPF- oder DKIM-Prüfungen nicht bestehen, behandelt werden sollen (z.B. ablehnen, in den Spam-Ordner verschieben).
Konfiguration von DMARC:
Erstellung eines DMARC-Policy-Eintrags: Ein DNS-TXT-Eintrag wird erstellt, der die DMARC-Richtlinien definiert.
Festlegung der Policy: Die Policy kann none (nur Berichterstattung), quarantine (in den Spam-Ordner verschieben) oder reject (ablehnen) sein.
Angabe von Bericht-Empfängern: Optional kann die Domain so konfiguriert werden, dass Berichte über fehlerhafte E-Mails an eine spezifizierte Adresse gesendet werden.
Beispiel für die Konfiguration:
DKIM:
DNS-Eintrag für den öffentlichen Schlüssel:
plaintext
default._domainkey.deine-domain.de IN TXT „v=DKIM1; k=rsa; p=DEIN_OEFFENTLICHER_SCHLUESSEL“
Mail-Server-Konfiguration:
Konfiguriere deinen Mail-Server, um ausgehende E-Mails mit dem privaten Schlüssel zu signieren. Dies hängt vom verwendeten Mail-Server ab (z.B. Postfix, Exim, etc.).
DMARC:
DNS-Eintrag für DMARC-Policy:
plaintext
_dmarc.deine-domain.de IN TXT „v=DMARC1; p=quarantine; rua=mailto:dmarc-reports@deine-domain.de; ruf=mailto:dmarc-failure@deine-domain.de; pct=100“
v=DMARC1 gibt die Version des Protokolls an.
p=quarantine legt fest, dass nicht authentifizierte E-Mails in den Spam-Ordner verschoben werden sollen.
rua=mailto:dmarc-reports@deine-domain.de gibt die Adresse an, an die aggregierte Berichte gesendet werden.
ruf=mailto:dmarc-failure@deine-domain.de gibt die Adresse an, an die detaillierte Berichte über Authentifizierungsfehler gesendet werden.
pct=100 gibt an, dass die Richtlinie auf 100% der E-Mails angewendet wird.
Zusammenfassung
DKIM: Signiert ausgehende E-Mails mit einem privaten Schlüssel, und der öffentliche Schlüssel wird im DNS veröffentlicht.
DMARC: Setzt Richtlinien für die Behandlung nicht authentifizierter E-Mails und bietet Berichterstattung.
Durch die Konfiguration beider Protokolle kannst du die Authentizität deiner E-Mails sicherstellen und den Missbrauch deiner Domain erheblich reduzieren.