DKIM-DNS-Record-Generator
Geben Sie einen Selektornamen und einen öffentlichen Schlüssel (PEM-Format) ein, um den DNS-TXT-Eintrag für die DKIM-Signatur (v=DKIM1; k=rsa; p=...) zu erzeugen. Öffentliche Schlüssel mit mehr als 255 Zeichen werden automatisch im BIND-Zonendatei-Format aufgeteilt.
Tipps
- Sie können den Inhalt einer mit opendkim-genkey oder mit openssl genrsa → openssl rsa -pubout von OpenSSL erzeugten PEM-Datei direkt einfügen. Zeilenumbrüche und Kopfzeilen werden automatisch entfernt.
- Mit aktiviertem Testmodus (t=y) gehen manche Empfangsserver bei DKIM-Fehlern nachsichtiger vor, statt die Mail direkt abzulehnen. Das ist während der Testphase vor dem Produktivbetrieb die sicherere Wahl.
- Nachdem Sie den erzeugten Eintrag im DNS veröffentlicht haben, empfehlen wir, die Wirksamkeit mit dem E-Mail-Zustellbarkeits-Prüfer dieser Seite (SPF/DKIM/DMARC-Diagnose) zu bestätigen.
- Übliche Schlüssellängen sind 1024 und 2048 Bit; bei 2048 Bit überschreitet der öffentliche Schlüssel meist 255 Zeichen und wird in mehrere Strings aufgeteilt. Diese Aufteilung ist kein Fehler.
- Der Selektorname kann frei gewählt werden. Nutzt eine Domain mehrere E-Mail-Anbieter, erleichtert die Aufnahme des Anbieternamens (z. B. „google“, „mailgun“) die Verwaltung.
Häufig gestellte Fragen
Übrigens – wie Public-Key-Kryptografie E-Mail-Identitätsdiebstahl verhindert
DKIM (DomainKeys Identified Mail) wurde 2004 standardisiert, indem zwei getrennt von Yahoo! und Cisco entwickelte Technologien – DomainKeys und Identified Internet Mail – zusammengeführt wurden. Kern des Verfahrens ist die Public-Key-Kryptografie: Der Absender verschlüsselt einen aus den Kopfzeilen und einem Teil des Nachrichtentexts berechneten Hash mit seinem privaten Schlüssel und hängt ihn als DKIM-Signature-Header an. Der Empfänger prüft diese Signatur mit dem im DNS veröffentlichten öffentlichen Schlüssel und kann bei passendem Schlüsselpaar mathematisch bestätigen, dass der Inhalt nach dem Versand nicht verändert wurde.
Während SPF die Legitimität auf Netzwerkebene – die Absender-IP-Adresse – prüft, ist DKIM grundlegend anders, da es eine digitale Signatur auf den eigentlichen Inhalt der E-Mail anwendet. Selbst wenn eine Nachricht mehrfach über legitime Server weitergeleitet wird (womit SPF bekanntermaßen Schwierigkeiten hat), bleibt die DKIM-Signatur gültig, solange der Nachrichtentext unverändert bleibt. Deshalb gilt DKIM bei Zustellwegen mit Weiterleitung, etwa Mailinglisten, als zuverlässiger als SPF.
Auch der Selektor-Mechanismus ist in der Praxis wichtig. Nutzt eine Domain mehrere E-Mail-Anbieter (eigener Server, Gmail, SendGrid usw.), lässt sich jedem Anbieter ein eigenes Schlüsselpaar und ein eigener Selektorname zuordnen, sodass Schlüssel pro Anbieter unabhängig widerrufen oder erneuert werden können. Diese betriebliche Flexibilität – ein kompromittierter Schlüssel betrifft nur seinen eigenen Selektor – ist einer der Gründe, warum DKIM trotz eines einzigen einfachen DNS-Eintrags in großangelegten Mail-Infrastrukturen seit Langem im Einsatz ist.