Zurück zu 'Bedeutungen'Was ist DKIM2?
Zuletzt aktualisiert:
E-Mail-Sicherheit steht nicht still, und zum Glück. Nach fast 20 Jahren bekommt DKIM ein großes Update namens DKIM2. Dieser neue Standard der E-Mail-Sicherheit geht Probleme an, die in den letzten Jahren entstanden sind, und macht E-Mails noch sicherer. DKIM2 bringt große Verbesserungen vor allem für weitergeleitete Nachrichten und Mailinglisten.
Wir haben bereits den Artikel 'Was ist DKIM?' geschrieben. Darin erklären wir genau, was das aktuelle DKIM1 ist und was es für die E-Mail-Sicherheit tut. Wir empfehlen, zuerst diesen Artikel zu lesen, um den Schritt zu DKIM2 etwas leichter zu machen.
Was ist DKIM2
DKIM2 ist die zweite Version von DomainKeys Identified Mail und befindet sich derzeit in der Entwicklung.
Wo DKIM (jetzt DKIM1 genannt) beweist, dass eine E-Mail von einer bestimmten Domain kommt, geht DKIM2 einen Schritt weiter. Es dokumentiert die gesamte Route, die eine E-Mail vom Absender bis zum Empfänger durchläuft. Jeder Mailserver, der die E-Mail behandelt, fügt eine eigene Signatur hinzu. So sehen Sie genau, welche Systeme die E-Mail verarbeitet haben.
Beispiel
Mit DKIM1 kann das manchmal für Unklarheiten sorgen: Beim Weiterleiten wird automatisch eine Zeile hinzugefügt wie "Weitergeleitet von Jan Schmidt". Durch diese eine zusätzliche Zeile stimmt die DKIM-Sicherheit nicht mehr ganz. Die E-Mail kommt meistens trotzdem an, aber der Mailserver des Empfängers kann nicht mehr prüfen, ob der Inhalt unverändert ist.
Mit DKIM2 funktioniert es anders. Wenn Ihr Mailserver die Bestellbestätigung versendet, fügt er eine DKIM2-Signatur hinzu. Wenn der Kunde die E-Mail weiterleitet, fügt sein Mailserver eine eigene Signatur hinzu und hält fest, welche Änderung gemacht wurde (diese eine Zeile "Weitergeleitet von..."). Der Mailserver des Buchhalters kann nun genau sehen:
- Die E-Mail kommt wirklich von Ihrem Webshop (erste Signatur)
- Der Kunde hat die E-Mail weitergeleitet (zweite Signatur)
- Es wurden keine Änderungen an der ursprünglichen E-Mail vorgenommen
Auf diese Weise kann der Mail-Provider des Empfängers sehen, dass die ursprüngliche E-Mail nicht geändert wurde.
Warum DKIM2 kommt
Im Jahr 2007, als DKIM eingeführt wurde, sah E-Mail ganz anders aus. Wir verschickten vor allem E-Mails direkt an einen Empfänger. Heute erhalten Sie Bestellbestätigungen von Webshops, Newsletter von Unternehmen und Passwort-Reset-E-Mails von Anwendungen. Kurz gesagt: Wir nutzen E-Mails umfangreicher als je zuvor.
Cyberkriminelle sind in der Zwischenzeit auch nicht untätig geblieben. Wo sie vor 20 Jahren hauptsächlich einfache E-Mails verschickten, nutzen sie heute fortgeschrittene Techniken, um bestehende Sicherheitsmaßnahmen wie DKIM zu umgehen.
Aktuelle Probleme von DKIM1
DKIM1 funktioniert gut, hat aber einige Schwachstellen, die in der Praxis für Probleme sorgen:
Weitergeleitete E-Mails
Wenn eine E-Mail weitergeleitet wird und sich etwas ändert (wie ein Disclaimer oder Abmeldelink), geht die DKIM1-Sicherheit kaputt. Die E-Mail kommt meistens trotzdem an, aber Mailserver können nicht mehr prüfen, ob der Inhalt unverändert ist. DKIM2 hält fest, welche Änderungen gemacht wurden, sodass dies weiterhin überprüfbar bleibt.
Alte E-Mails erneut versenden (Replay Attack)
DKIM1 hat keinen Zeitstempel. Das bedeutet, dass ein Cyberkrimineller eine alte E-Mail erneut versenden kann und Mailserver diese akzeptieren, weil die Sicherheit noch stimmt. Dies wird Replay Attack genannt.
Beispiel: Ein Webshop sendet Ihnen eine E-Mail mit einem Rabattcode. Ein Übeltäter kann dieselbe E-Mail Monate später an Tausende von Menschen erneut versenden. DKIM2 fügt einen Zeitstempel hinzu, sodass Mailserver sehen können, dass eine E-Mail zu alt ist, um noch gültig zu sein.
Das sehen wir besonders rund um Black Friday und die geschäftigen Feiertage, wenn Webshops massenhaft Rabattcodes verschicken. Cyberkriminelle sammeln diese E-Mails und versenden sie später erneut.
Fehlermeldungen bei der falschen Person (Backscatter)
Wenn eine E-Mail nicht zugestellt werden kann, erhält der Absender normalerweise eine Bounce-Meldung. Cyberkriminelle missbrauchen dies, indem sie Ihre E-Mail-Adresse als Absender von Spam verwenden. Alle Fehlermeldungen kommen dann bei Ihnen an, während Sie diese E-Mails nie verschickt haben. Dies heißt Backscatter.
DKIM2 löst dies, indem Fehlermeldungen an den Mailserver zurückgeschickt werden, der die E-Mail tatsächlich versendet hat, anstatt an die E-Mail-Adresse, die im Absender steht.
Der Unterschied zwischen DKIM und DKIM2
DKIM2 baut auf DKIM1 auf, löst aber mehrere wichtige Probleme. In der Tabelle unten sehen Sie die wichtigsten Unterschiede auf einen Blick:
| Funktion | DKIM1 | DKIM2 |
|---|---|---|
| Basis-Signatur (Absender) | Ja | Ja |
| Zeitstempel | Nein | Ja |
| Empfänger-Information | Nein | Ja |
| Änderungen verfolgen | Nein | Ja |
| Mehrere Signaturen | Ja, aber eingeschränkt | Ja, vollständig |
| Backscatter-Schutz | Nein | Ja |
| Replay Attack-Schutz | Nein | Ja |
Mit Signaturen sind digitale Sicherheitscodes gemeint, die automatisch von Mailservern hinzugefügt werden. Das hat nichts mit der Signatur zu tun, die Sie selbst am Ende Ihrer E-Mails setzen.
Wann wird DKIM2 verfügbar sein
DKIM2 befindet sich derzeit noch in der Entwicklung bei der IETF (Internet Engineering Task Force). Das ist die Organisation, die Internetstandards festlegt. Die Spezifikationen werden derzeit ausgearbeitet und getestet.
Ein endgültiges Datum für den Rollout gibt es noch nicht. Neue E-Mail-Standards dauern oft Jahre, bevor sie breit unterstützt werden. Denken Sie an DMARC: Dieser Standard wurde 2012 eingeführt, aber erst Jahre später wirklich breit von großen Mail-Providern genutzt.
Es wird erwartet, dass DKIM2 schrittweise eingeführt wird. Große Mail-Provider wie Gmail, Outlook und Yahoo werden wahrscheinlich als erste Unterstützung hinzufügen. Danach folgen E-Mail-Service-Provider wie Lettermint. Für Nutzer ändert sich wenig: Die Umstellung erfolgt größtenteils automatisch.
Habe ich auch etwas davon?
DKIM2 bringt Vorteile für alle, die E-Mail nutzen. Ob Sie E-Mails versenden oder empfangen, die verbesserte Sicherheit sorgt für weniger Probleme.
Für Absender
Ihre E-Mails kommen wie beabsichtigt an, auch wenn Empfänger sie weiterleiten. Das gilt auch für E-Mails von verschiedenen Subdomains. Cyberkriminelle können nicht länger alte E-Mails von Ihrer Domain erneut versenden oder Ihre Adresse missbrauchen, ohne dass dies auffällt.
Für Empfänger
Sie sind besser vor gefälschten E-Mails geschützt. Mailserver können genau sehen, welche Route eine E-Mail zurückgelegt hat und ob unterwegs etwas geändert wurde. Auch werden alte E-Mails, die erneut versendet werden, automatisch erkannt.
Fazit
DKIM2 ist der nächste Schritt in der E-Mail-Sicherheit. Wo DKIM1 vor allem beweist, dass eine E-Mail von Ihrer Domain kommt, dokumentiert DKIM2 die gesamte Route, die eine E-Mail zurücklegt. Weitergeleitete Nachrichten bleiben vertrauenswürdig, alte E-Mails können nicht erneut versendet werden und Cyberkriminelle können Ihre Domain nicht mehr so einfach missbrauchen.
DKIM2 befindet sich derzeit noch in der Entwicklung. Bei Lettermint verfolgen wir diese Entwicklungen genau und werden den neuen Standard übernehmen, sobald er verfügbar wird.
Was Sie jetzt schon tun können: Stellen Sie sicher, dass Ihr DKIM, SPF und DMARC korrekt eingerichtet sind. Dann sind Sie bereit, wenn DKIM2 verfügbar wird.