Schutz vor Phishing Attacken: Schritt für Schritt Anleitung zur DKIM-Verschlüsselung

Autor Return Path 

Wenn E-Marketer Phishing-Attacken, die ihren Brand missbrauchen, nicht direkt identifizieren (können), heißt das nichts anderes, als dass sie sich letztlich darauf verlassen (müssen), dass ihre E-Mail-Abonnenten sie auf verdächtige Aktivitäten hinweisen.

Mit der Implementierung des Domain-based Message Authentication, Reporting and Conformance (DMARC)-Verfahrens können E-Mail-Versender und Mailserver-Betreiber jetzt jedoch proaktiv gegen Cyberkriminelle vorgehen und so das Vertrauen ihrer Kunden in ihre E-Mails (und ihren Brand) schützen.

Um die Vorteile von DMARC nutzen zu können, müssen E-Marketer für ihre E-Mails nicht nur einen SPF-Record im Domain Name System (DNS) eintragen (wie in meinem vorigen Blog erläutert); sie müssen auch ihre E-Mails mit DKIM-Schlüsseln signieren und einen DKIM-Record im DNS hinterlegen. Im Folgenden beschreibe ich die Schritte zur Implementierung der DKIM-Verschlüsselung.

DKIM oder DomainKeys Identified Mail ist ein digitales Signierungsverfahren, um die Authentizität von E-Mails zu belegen. Es wurde zur Ergänzung der SPF-Records entwickelt, um beispielsweise das Problem der Authentifizierung weitergeleiteter E-Mails zu lösen.

Die Schritte zur Implementierung von DKIM:

1. Erfassen Sie sämtliche Versanddomains.

Nicht selten werden vom E-Mail-Marketing nicht alle Domains des Unternehmens, die zum Versenden von E-Mails dienen, beobachtet. Möglicherweise nutzen Sie in Ihrem Unternehmen je nach Sparte unterschiedliche Dienstleister für den Marketingbezogenen E-Mail-Versand, für den Kundenservice und die Geschäftskorrespondenz. Denken Sie auch an Systeme, die in Ihrem Namen bzw. im Namen Ihrer Domains E-Mails verschicken. Um sicherzugehen, dass Sie alle diese Domains erfasst haben, empfehle ich das Return Path-Tool Reputation Monitor. Um sich einen ersten Eindruck zu verschaffen können Sie auch die kostenlose senderscore.org Webseite nutzen. Bei Sender Score geben Sie den Namen der von Ihnen genutzten Domain ein. Am Ende der Seite erhalten Sie dann unter dem Punkt „Related Sending Domains“ eine Übersicht über alle Domains, die E-Mails unter Ihrem Brand versenden. Außerdem ist es sinnvoll, sich mit den Kollegen vom Kundenservice, Ihren internen IT-Administration und natürlich Ihrem E-Mail-Service Provider kurzzuschließen, um die Einführung von DKIM-Signaturen für alle E-Mail-Ströme sicherzustellen.

2. Installieren und konfigurieren Sie DKIM auf Ihrem E-MailServer.

Da alle ausgehenden E-Mails signiert werden müssen, ist es notwendig, ein DKIM-Paket speziell für Ihren E-Mail-Server zu installieren. Um zu verifizieren, dass es für Ihre Plattform DKIM-Software gibt, können Sie die DKIM.org-Website aufsuchen oder Ihren Anbieter fragen. Wenn Sie mit einem E-Mail-Service-Provider arbeiten, müssen Sie die DKIM-Verschlüsselung gemeinsam mit ihm implementieren. Für Hilfe bei der Installation können Sie sich gerne an Return Path wenden.

3. Erstellen Sie ein Schlüsselpaar aus öffentlichem und privatem Schlüssel.

Für die Erstellung der DKIM-Schlüssel gibt es diverse Assistenten, von denen ich hier als Beispiel den Port 25-Assistenten anführe, da er sehr einfach gestaltet ist. Wenn Sie nicht gerne auf Assistenten zurückgreifen, können Sie auch mittels openssl Ihren eigenen Schlüssel erzeugen. Geben Sie nun die From: Domain ein, die authentifiziert werden soll. Geben Sie als „Selector“ die Schlüssel-Bezeichnung ein. Empfehlenswert ist eine möglichst beschreibende Namensgebung, die sich am E-Mail-Typ orientiert, wie beispielsweise „Promotion“ oder „Newsletter“. Vergewissern Sie sich außerdem, dass Ihre Signatur mit mindestens 1024 Bit verschlüsselt wird (wobei Port 25 keinen geringeren Verschlüsselungsgrad anbietet). Die empfohlene Selector-Bezeichnung ist nicht zwingend. Man kann jede Bezeichnung für den Selector wählen und häufig nutzen Administratoren einfach „Selector“. Für weitere Beratung zur Namensgebung zu Segmentierungs- und Policy-Zwecken stehen wir Ihnen bei Return Path gerne zur Verfügung.

4. Veröffentlichen Sie Ihren „Public Key“.

Mit Hilfe des DKIM-Assistenten sollte jetzt der Selector-Datensatz erstellt worden sein. Dieser Datensatz setzt sich aus der Domain und dem Selector-Namen zusammen. Beispielsweise hat „domain.com“ mit „Marketing“ als Selector den Speicherplatz für den öffentlichen Schlüssel unter marketing_domainkey.domain.com. Sie speichern Ihren öffentlichen Schlüssel im TXT-Teil des DNS-Eintrags dieser Domain. In der Regel wird man die Veröffentlichung des Public Key gemeinsam mit der Systemadministration durchführen oder, bei einer Hosting-Konstellation, in Verbindung mit dem Provider für dessen Mailserver.

5. Speichern Sie den „Private Key“.

Ihr „Private Key“ wird ebenfalls vom Assistenten erzeugt. Der Speicherort wird durch Ihr DKIM-Paket spezifiziert.

6. Konfigurieren Sie Ihren E-Mail-Server.

Für die weitere Konfiguration Ihres Systems folgen Sie den Installationsanweisungen für Ihren speziellen Server oder lassen sich von Ihrem Anbieter beraten.

7. Testen Sie!

Wenn Sie Ihr System erfolgreich konfiguriert haben, brauchen Sie nur noch zu testen. Schicken Sie eine E-Mail von Ihrem E-Mail-Server an checkmyauth@auth.returnpath.net. Sie erhalten direkt eine Antwort, die Ihnen mitteilt, ob DKIM ausgeführt wurde oder nicht. Darin werden Sie auch gewarnt, falls Ihr Schlüssel nicht sicher genug ist.

Die Implementierung von DKIM erfordert ein hohes Maß an Planung und meist auch Ressourcen. Wir von Return Path können Ihnen bei der Implementierung, der Planung der Sicherheitsrichtlinien und deren Durchsetzung sowie beim Testen von DKIM helfen. Wenden Sie sich für weitere Fragen gerne an uns.

Author Image

About Return Path

Author Archive

Your browser is out of date.

For a better Return Path experience, click a link below to get the latest version.