Einleitung

Bei DKIM (Domain Keys Identified Mail) handelt es sich um ein Verfahren, mit dem verifiziert werden kann, ob eine E-Mail vom korrekten Absenderserver versendet wurde. Es wird innerhalb der E-Mail eine Signatur abgelegt, welche anhand eines DNS-Eintrags in der DNS-Zone der Domain verifiziert werden kann. Schlägt die Verifikation beim empfangenden Mailserver fehl, hat dieser die Möglichkeit die E-Mail abzuweisen oder entsprechend als Spam zu klassifizieren. Umgekehrt werden zudem bei vielen der grossen E-Mail Dienstleister wie Google oder Microsoft (Office 365) E-Mails mit einer gültigen Signatur seltener als Spam klassifiziert. DKIM kann also auch die Zustellsicherheit von E-Mails erhöhen.

Über DMARC (Domain-based Message Authentication, Reporting and Conformance) kann definiert werden, ob und was bei fehlerhafter oder ausbleibender DKIM-Signierung unternommen werden soll. 

Lieber auf Nummer sicher?
DNS-Änderungen wirken sich direkt auf Website und E-Mail aus. Wenn Sie unsicher sind oder kein Risiko eingehen möchten, übernehmen unsere Expertinnen und Experten die Anpassung gerne für Sie.

Preis: gemäss Preisliste Premium Services (Individuelle DNS-Settings)

So geht’s:
Senden Sie uns eine E-Mail an support@metanet.ch, bestätigen Sie die Kosten und übermitteln Sie uns die gewünschten DNS-Einträge in kopierbarer Form. Falls die Anpassung zu einem bestimmten Zeitpunkt erfolgen soll, teilen Sie uns diesen bitte ebenfalls mit.
Wir informieren Sie, sobald die Änderung umgesetzt ist.

Voraussetzungen

Um DKIM/DMARC einsetzen zu können, empfehlen wir die Nutzung der Plesk DNS-Verwaltung. Genauere Informationen zu diesem Thema finden Sie hier: Plesk: DNS-Verwaltung. So werden die nötigen DNS-Einträge automatisch aktiv. Falls trotzdem externe Nameserver verwendet werden sollen, werden die erforderlichen DNS-Einträge nach Aktivierung zusätzlich ausgegeben.

DKIM aktivieren

Sie können DKIM in den E-Mail-Einstellungen aktivieren. Klicken Sie hierfür bei der gewünschten Domain auf "E-Mail-Adressen" und dann auf den Reiter "E-Mail-Einstellungen".

Durch Aktivierung des Häkchens und Klick auf "OK" wird DKIM aktiviert und automatisch ein DNS-Eintrag in der DNS-Zone der Domain geschrieben, welcher den öffentlichen Schlüssel (Public Key) enthält. Falls nicht die Plesk Nameserver verwendet werden, können die erforderlichen DNS-Einträge via “(?) Konfiguration des externen DNS” eingesehen werden.

Beispiel:

default._domainkey.<domain>. IN TXT "v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCvKDWTq3as3GYabvj0Eh/zHL0/P1F0+2MgJvcIJ5bVhImb6wk9pJPwHuhQZ7/TH7vnrAA1ERgpXXsQb28jggIGRn/KWXueZKKgkqmcwbS0jWGc4ytpcgLVMWOTE492x9RYgr4mx0h1iSOLTeUcg9XKoxPNsUu+h1NgexMVjQxzCwIDAQAB;"

Ab diesem Zeitpunkt werden alle authentifiziert gesendeten E-Mails mit dem im System hinterlegten Key signiert und können anhand des genannten DNS-Eintrags geprüft werden.

Damit dies auch auf Zielsystemen korrekt verifiziert wird, sollte nun eine entsprechende DMARC-Regel definiert werden, siehe nächstes Kapitel.

DMARC aktivieren

Nachfolgend sind die wichtigsten DMARC-DNS-Einträge dokumentiert. Es gibt weitere Möglichkeiten, welche Sie den gängigen DMARC-Dokumentationen entnehmen können.

DNS-Einträge können Sie wie unter Plesk: DNS-Verwaltung beschrieben verwalten.

Standardmässig wird bei Neuerstellung einer Domain der nachfolgende DNS-Eintrag mit "p=none" definiert. Nach Aktivierung von DKIM empfehlen wir Ihnen "p=quarantine".

1. p=none - DMARC deaktiviert - Es muss kein Key in der DNS-Zone hinterlegt sein und E-Mails müssen nicht signiert werden. Sollte die E-Mail signiert sein, wird die Signatur geprüft und im Header der E-Mail ein entsprechender Eintrag geschrieben.

_dmarc.<domain> IN TXT "v=DMARC1; p=none"

2. p=quarantine - DMARC aktiviert - E-Mails müssen mit dem korrekten Key signiert werden. Ein DKIM-Eintrag muss im DNS vorhanden sein. Bei Verfehlung wird die E-Mail beim Empfänger als Spam markiert oder in Quarantäne bzw. in den Spam-Ordner verschoben, sofern SPF nicht konfiguriert ist oder die SPF-Prüfung fehlschlägt. Wenn SPF konfiguriert ist und die E-Mail von einem authentifizierten Server gesendet wurde, wird diese normal behandelt und es wird lediglich im Header erwähnt, dass die Signatur nicht korrekt ist.

_dmarc.<domain> IN TXT "v=DMARC1; p=quarantine"

2. p=reject - DMARC aktiviert - Gleiches Verhalten wie bei "quarantine". Die E-Mail wird jedoch im Fehlerfall (je nach Anbieter) abgewiesen oder verworfen.

_dmarc.<domain> IN TXT "v=DMARC1; p=reject"