DomainKeys Identified Mail (DKIM)

DKIM ist ein Verfahren, dass die Authentizität einer E-Mail sicherstellen kann. Dazu wird die E-Mail auf dem sendenden System mit einer elektronischen Signatur in den unsichtbaren Headerzeilen der E-Mail versehen. Es kommt ein asymmetrisches Schlüsselverfahren zum Einsatz. Der sendende Server verwendet seinen privaten Schlüssel, um die Signatur zu erstellen.

Der öffentliche Schlüssel wird im DNS der E-Mail-Domain veröffentlicht, so dass Empfänger die Authentizität der Signatur prüfen können.

DKIM bei Hostsharing

Die Nutzer der Hostsharing-Plattform können E-Mails, die sie über die Hostsharing-Server versenden, mit einer DKIM Signatur versehen lassen. Dazu sind zwei Voraussetzungen notwendig:

1. Die Veröffentlichung des öffentlichen Domainkey im DNS der eigenen E-Mail-Domain.
2. Das Setzen der Domain-Option "Domain Key – DKIM" mit Hilfe von HSAdmin.

Domainkey im DNS

Zur Veröffentlichung des Domainkey muss ein individuell angepastes Zonefile der E-Mail-Domain erweitert werden. Es müssen entweder der Platzhalter

{DEFAULT_ZONEFILE}

oder der Platzhalter

{DKIM_RR}

enthalten sein.

Ein nicht vorhandenes Zonefile im etc-Verzeichnis der Domain ist gleichbedeutend mit einem Zonefile, das die Zeile "{DEFAULT_ZONEFILE}" als einzige Zeile enthält.

Änderungen am Zonefile aktiviert der Domain-Administrator (hier User "xyz00-doms") durch ein "touch" auf diese Datei (auch wenn die Datei nicht vorhanden ist):

touch doms/hs-example.de/etc/pri.hs-example.de

Nach einer erfolgreichen Veröffentlichung des Domainkey (ca. 3 Minuten nach dem "touch") liefert der Befehl

dig -t TXT +short default._domainkey.hs-example.de @dns1.hostsharing.net

("hs-example.de" durch die eigene Domain ersetzen) einen Schlüssel in der Form:

v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjAN [...]"

Domainoption DKIM

Über die Domainoption "Domain Key – DKIM" wird gesteuert, dass der SMTP-Server, auf dem der Webspace mit der Domain liegt, die ausgehenden E-Mail mit einer DKIM-Signatur ausstattet.

Zum Anpassen der Domainoptionen wählt man in HSAdmin links den Punkt "Web-Paket" und im rechten Bereich im Menü die Auswahl "Domain". Bei Domains, die ab 3. September 2021 eingerichtet wurden, ist die Domainoption per Voreinstellung gesetzt,

DKIM deaktivieren

Das Abstellen der DKIM-Option in folgender Reihenfolge wird funktionieren:

1. Die Domainoption deaktivieren
2. Abwarten bis alle mit der Option (und damit mit einer Signatur) versendeten E-Mail zugestellt sind
3. Den Domainkey im DNS entfernen

DKIM bei Google

Die Server von gmail sind so eingestellt, dass E-Mails von Domains ohne DKIM oder SPF nicht zugestellt werden. Die Empfängerseite wird nicht informiert. An die Absenderseite geht eine Fehlermeldung in der Art:

... host gmail-smtp-in.l.google.com[2a00:1450:4010:c0f::1a] said: 550-5.7.26 Your email has been blocked because the sender is unauthenticated. 550-5.7.26 Gmail requires all senders to authenticate with either SPF or DKIM. 550-5.7.26 550-5.7.26 Authentication results: 550-5.7.26 DKIM = did not pass 550-5.7.26 ...

Dieser Google-Support-Artikel: Richtlinien für E-Mail-Absender (abgerufen am 26. Mai 2024) soll das erläutern.

Leider kommt diese Fehlermeldung im Mai 2024 auch zu einer E-Mail bei deren Domain DKIM nachweislich aktiviert ist (gehostet bei Hostsharing). Es kann nur vermutet werden, dass der Fehler beim Konzern liegt.

Links

• DKIM Artikel der Wikipedia
• Hostsharing-Dokumentation zur Anpassung des Zonefile
• Hostsharing-Dokumentation Domain-Optionen