mail.de versendet nun DKIM-signierte E-Mails

Mittwoch, den 09. Januar 2013 - 20:02 Uhr Verfasst von Michael Kliewe

mail.de signiert seit heute alle ausgehenden E-Mails mit einer DKIM-Signatur. Empfänger können dadurch sicherstellen, dass die E-Mails auch wirklich von einem mail.de Server versendet wurden.

Da der E-Mail-Versand standardmäßig keinen eingebauten Authentifizierungsmechanismus bietet, kann jeder auf der Welt E-Mails versenden mit jedem beliebigen Absender. Mit etwas Know-How ist es demnach möglich, dass Max Mustermann eine E-Mail mit dem Absender lady@gaga.de versendet, obwohl er das Postfach gar nicht besitzt. Das ist auch der Grund warum Spammer häufig Phishing E-Mails mit gefälschten Absendern wie PayPal, Ebay, DHL etc. versenden.

Um dem Grundproblem entgegenzutreten gab es in der Vergangenheit mehrere Versuche, wobei DKIM die aktuell bevorzugte, wenn auch noch nicht die perfekte Lösung ist.

Beim DKIM-Verfahren publiziert der Domainbesitzer per DNS-TXT-Eintrag einen öffentlichen Schlüssel, der Teil eines asymmetrischen Schlüsselpaares ist. Dies kann nur der Besitzer der Domain machen. Beim Versand jeder E-Mail wird dann die E-Mail mit dem dazu gehörigen privaten Schlüssel signiert und die Signatur als E-Mail-Kopfzeile der E-Mail hinzugefügt. Diese Kopfzeile sieht beispielsweise so aus:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/simple; d=mail.de;
    s=mail201212; t=1354722363;
    bh=6YJsPBx6/w8zSz0cdqi70+KFV9l9MlELvYNAcvWv/mM=;
    h=From:Content-Type:Subject:Date:Message-Id:To:Mime-Version;
    b=aCi8HkjQa1hlEw5YT9CxA65FfhjjJ4mMIk2wjoYneO6fSEcwDiQE+yskptc1kVx26
     lZcoM7WIwU9y7F6i2ZVR1Dd3K0w45qgkRkRHEX1gHTkAkK0XWGCILCEMVcloxO8SZr
     q+s9YdRDHvofWnK5LMB3UKJz7PCwl01JPw9cAXqA=

Der Empfänger kann nun den zur Domain gehörigen öffentlichen Schlüssel aus dem DNS-System abfragen und die Signatur prüfen. Auf diese Weise stellt er zum einen sicher, dass die E-Mail wirklich von einem Server des Besitzers versendet wurde, und zum anderen, dass diese E-Mail nicht verändert wurde.

Wenn eine E-Mail beispielsweise von mail.de an GMail gesendet wird, kann der Empfänger nachprüfen ob die E-Mail wirklich von einem mail.de Server stammt. Im Webmailer von GMail sieht das beispielsweise so aus:

mail.de signierte E-Mail

Aber auch ohne Webinterface ist das Ergebnis der Prüfung einsehbar, in den Headern der E-Mail:

Authentication-Results: mx.google.com; dkim=pass
    (1024-bit key) header.i=@mail.de header.b=sXj23bsa;
    dkim-adsp=pass

In diesem Fall hat der Server mx.google.com die DKIM Prüfung durchgeführt und die Signatur für gültig befunden.

DKIM hat eine systembedingte Schwachstelle: Wenn der Empfänger eine E-Mail zugestellt bekommt, in der keine Signatur vorhanden ist, dann muss er die E-Mail trotzdem annehmen, denn eine DKIM-Signatur ist keine Pflicht. Was hier Abhilfe schaffen würde, wäre wenn der Empfänger wüßte, dass normalerweise alle E-Mails des Versenders DKIM-signiert sind. Wenn eine empfangene E-Mail dann plötzlich keine Signatur enthält, kann er sie löschen bzw. nicht annehmen. Genau das leistet DMARC, eine Erweiterung von DKIM, an der Versender und Empfänger teilnehmen müssen um auch unsignierte E-Mails korrekt behandeln zu können, nämlich sie in den Spam-Ordner zu legen oder ganz abzuweisen. Wir sind dabei auch dieses Verfahren langsam einzuführen, sodass in Zukunft E-Mails mit dem Absender @mail.de eine DKIM-Signature tragen müssen, ansonsten werden sie von einem DMARC-fähigen System abgelehnt.

Jede E-Mail, die ab heute von den mail.de Systemen versendet wird, enthält nun eine DKIM-Signatur, sodass der Empfänger sicherstellen kann dass die E-Mail auch wirklich von mail.de kommt. Sollte von jetzt an irgendwo eine E-Mail mit einem @mail.de Absender zugestellt werden, die keine gültige DKIM-Signatur von mail.de enthält, stammt sie mit Sicherheit nicht von unseren Systemen.

Weitere Informationen können im sehr guten Artikel über DKIM bei heise.de nachgelesen werden.

Hilfe