DKIM-DNS-Record-Generator

Geben Sie einen Selektornamen und einen öffentlichen Schlüssel (PEM-Format) ein, um den DNS-TXT-Eintrag für die DKIM-Signatur (v=DKIM1; k=rsa; p=...) zu erzeugen. Öffentliche Schlüssel mit mehr als 255 Zeichen werden automatisch im BIND-Zonendatei-Format aufgeteilt.

Tipps

  • Sie können den Inhalt einer mit opendkim-genkey oder mit openssl genrsa → openssl rsa -pubout von OpenSSL erzeugten PEM-Datei direkt einfügen. Zeilenumbrüche und Kopfzeilen werden automatisch entfernt.
  • Mit aktiviertem Testmodus (t=y) gehen manche Empfangsserver bei DKIM-Fehlern nachsichtiger vor, statt die Mail direkt abzulehnen. Das ist während der Testphase vor dem Produktivbetrieb die sicherere Wahl.
  • Nachdem Sie den erzeugten Eintrag im DNS veröffentlicht haben, empfehlen wir, die Wirksamkeit mit dem E-Mail-Zustellbarkeits-Prüfer dieser Seite (SPF/DKIM/DMARC-Diagnose) zu bestätigen.
  • Übliche Schlüssellängen sind 1024 und 2048 Bit; bei 2048 Bit überschreitet der öffentliche Schlüssel meist 255 Zeichen und wird in mehrere Strings aufgeteilt. Diese Aufteilung ist kein Fehler.
  • Der Selektorname kann frei gewählt werden. Nutzt eine Domain mehrere E-Mail-Anbieter, erleichtert die Aufnahme des Anbieternamens (z. B. „google“, „mailgun“) die Verwaltung.

Häufig gestellte Fragen

Ein Bezeichner, mit dem eine Domain mehrere DKIM-Schlüssel gleichzeitig nutzen kann. Der Eintrag wird im DNS unter dem Namen „selektor._domainkey.domain“ veröffentlicht, und die Signatur wird mit dem öffentlichen Schlüssel des Selektors geprüft, der dem s=-Tag im DKIM-Signature-Header der gesendeten Mail entspricht.

Da ein einzelner Zeichenstring eines DNS-TXT-Eintrags auf 255 Byte begrenzt ist, wird alles darüber Hinausgehende in mehrere Anführungszeichen-Strings aufgeteilt, die ohne Lücke zu einem einzigen TXT-Eintrag zusammengefügt werden. Das von diesem Tool erzeugte BIND-Format berücksichtigt diese Aufteilung bereits.

Nein. Dieses Tool erstellt nur den Eintrag, den Sie im DNS veröffentlichen – es erzeugt keinen privaten Schlüssel. Erzeugen und verwahren Sie Ihren privaten Schlüssel sicher in Ihrer eigenen Umgebung mit einem vertrauenswürdigen Tool wie opendkim-genkey oder OpenSSL.

Direkt nach der Einführung von DKIM, während Sie prüfen, ob Signatur und Verifizierung in Ihrer tatsächlichen Versandumgebung korrekt funktionieren. Manche Empfänger behandeln DKIM-Fehler von Domains mit t=y nachsichtiger, was als Sicherheitsnetz vor dem vollständigen Produktivbetrieb dient.

Derzeit ist RSA (k=rsa) der De-facto-Standard, da es von den meisten Sende- und Empfangsservern unterstützt wird. Ed25519 (k=ed25519, RFC 8463) hat kürzere Schlüssel und signiert schneller, wird aber von manchen Mailservern noch nicht unterstützt – setzen Sie es nur ein, wenn Sie die Funktion auf beiden Seiten bestätigen können.
ツールくん

Übrigens – wie Public-Key-Kryptografie E-Mail-Identitätsdiebstahl verhindert

DKIM (DomainKeys Identified Mail) wurde 2004 standardisiert, indem zwei getrennt von Yahoo! und Cisco entwickelte Technologien – DomainKeys und Identified Internet Mail – zusammengeführt wurden. Kern des Verfahrens ist die Public-Key-Kryptografie: Der Absender verschlüsselt einen aus den Kopfzeilen und einem Teil des Nachrichtentexts berechneten Hash mit seinem privaten Schlüssel und hängt ihn als DKIM-Signature-Header an. Der Empfänger prüft diese Signatur mit dem im DNS veröffentlichten öffentlichen Schlüssel und kann bei passendem Schlüsselpaar mathematisch bestätigen, dass der Inhalt nach dem Versand nicht verändert wurde.

Während SPF die Legitimität auf Netzwerkebene – die Absender-IP-Adresse – prüft, ist DKIM grundlegend anders, da es eine digitale Signatur auf den eigentlichen Inhalt der E-Mail anwendet. Selbst wenn eine Nachricht mehrfach über legitime Server weitergeleitet wird (womit SPF bekanntermaßen Schwierigkeiten hat), bleibt die DKIM-Signatur gültig, solange der Nachrichtentext unverändert bleibt. Deshalb gilt DKIM bei Zustellwegen mit Weiterleitung, etwa Mailinglisten, als zuverlässiger als SPF.

Auch der Selektor-Mechanismus ist in der Praxis wichtig. Nutzt eine Domain mehrere E-Mail-Anbieter (eigener Server, Gmail, SendGrid usw.), lässt sich jedem Anbieter ein eigenes Schlüsselpaar und ein eigener Selektorname zuordnen, sodass Schlüssel pro Anbieter unabhängig widerrufen oder erneuert werden können. Diese betriebliche Flexibilität – ein kompromittierter Schlüssel betrifft nur seinen eigenen Selektor – ist einer der Gründe, warum DKIM trotz eines einzigen einfachen DNS-Eintrags in großangelegten Mail-Infrastrukturen seit Langem im Einsatz ist.