Kann ich mehrere DKIM-Einträge in meiner Domain haben?

Home Kann ich mehrere DKIM-Einträge in meiner Domain haben?

Kann ich mehrere DKIM-Einträge in meiner Domain haben?

20th Feb 2024 DKIM Multiple DKIM Records

Können Sie mehrere DKIM-Einträge in einer einzelnen Domain haben? Die Antwort ist ja, Sie können so viele DKIM-Einträge in Ihrer Domain haben, wie von Ihrem DNS-Anbieter zugelassen.

Was ist DKIM?

DKIM steht für DomainKeys Identified Mail. Es handelt sich um eine E-Mail-Authentifizierungsmethode, die darauf ausgelegt ist, gefälschte Header-Felder und Inhalte in E-Mails zu erkennen. Mit DKIM kann der empfangende E-Mail-Server überprüfen, ob E-Mail-Header und -Inhalte während der Übertragung manipuliert wurden.

DKIM basiert auf asymmetrischer Kryptographie, die Schlüsselpaare verwendet: private Schlüssel, die nur dem sendenden Server bekannt sind, und öffentliche Schlüssel, die im DNS veröffentlicht und für den empfangenden Server zugänglich sind.

Vor dem Verlassen des ausgehenden E-Mail-Servers wird eine E-Mail-Nachricht mit dem auf dem Server gespeicherten privaten Schlüssel signiert; Beim Eintreffen auf dem empfangenden Server wird die E-Mail-Nachricht vom Server mit dem im DNS veröffentlichten öffentlichen Schlüssel überprüft.

Was ist ein DKIM-Eintrag?

Ein DKIM-Eintrag ist ein im DNS veröffentlichter TXT-Eintrag. Es besteht aus einer Liste von Tags, von denen eines das „p="-Tag ist, das den öffentlichen DKIM-Schlüssel enthält.

Hier ist ein Beispiel für einen DKIM-Eintrag:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

Der obige DKIM-Eintrag besteht aus einer Liste von Tags, die die Parameter des Eintrags definieren. Das p-Tag im Datensatz gibt den base64-codierten öffentlichen Schlüssel an, der vom empfangenden Server zur Validierung der DKIM-Signatur verwendet wird.

Ein DKIM-Eintrag kann auch ein CNAME-Eintrag sein, in diesem Fall ordnet er den CNAME-Eintrag einem TXT-typisierten DKIM-Eintrag zu.

Wenn Sie beispielsweise DKIM in SendGrid einrichten, wird ein CNAME-typisierter DKIM-Eintrag erstellt, der wie folgt aussieht:

s1.domainkey.uXXX.wlXXX.sendgrid.net

Dieser Eintrag wird einem TXT-typisierten DKIM-Eintrag zugeordnet:

k=rsa; t=s; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCnVgd0NyrRE261IIiPqi+0H1baNyKcdj8Kea/VlSP4exzvKx8pJ01EWMwd094FV/6OCBIf7KGKgowMnWl3tW3Z5G++uZHkdgF+6xg7b9PynmX/NTo2kx92hlGgegwyulF5B7d2FM0doaCeoO4rD05jZzwi3cXx/156Gg9Xwd/Z/QIDAQAB

Alle DKIM-Einträge auf der Domäne example.com existieren auf xxx._domainkey.example.com, wobei xxx der DKIM-Selektor ist, unabhängig vom Eintragstyp.

Was ist ein DKIM-Selektor?

Ein DKIM-Selektor ist eine Zeichenfolge, die verwendet wird, um den Speicherort des öffentlichen DKIM-Schlüssels in einer Domäne anzugeben. Der Hauptzweck von DKIM-Selektoren besteht darin, mehrere DKIM-Schlüsselpaare für den Domänennamen derselben Organisation zuzulassen.

Sie können beispielsweise einen Selektor „may10“ auswählen und einen öffentlichen DKIM-Schlüssel bei diesem Selektor auf der Domain example.com erstellen: may10._domainkey.example.com.

Sie können auch einen anderen Selektor „july29“ auswählen und einen öffentlichen DKIM-Schlüssel bei diesem Selektor auf der Domain example.com erstellen: july29._domainkey.example.com.

Weitere Informationen zu DKIM-Selektoren finden Sie unter: What is a DKIM selector.

Kann ich mehrere DKIM-Einträge in einer einzelnen Domain haben?

Wie im vorherigen Abschnitt erwähnt, werden mehrere DKIM-Einträge auf einer einzelnen Domain ermöglicht, indem mehrere DKIM-Selektoren auf dieser Domain erstellt werden, wobei jeder Selektor auf einen DKIM-Eintrag zeigt.

Die Möglichkeit, mehrere DKIM-Einträge in einer einzigen Domäne zu haben, ist in den folgenden Szenarien von entscheidender Bedeutung:

Eine Organisation verwendet mehrere E-Mail-Zustelldienste, um E-Mails im Namen einer einzelnen Domäne zu senden. In diesem Fall müssen mehrere DKIM-Selektoren und private/öffentliche Schlüsselpaare verwendet werden, um diese Dienste zu trennen.

Wenn Sie beispielsweise sowohl SendGrid als auch Mailgun autorisieren, E-Mails im Namen Ihrer Domain zu senden, benötigen Sie mindestens einen DKIM-Eintrag für SendGrid und einen für Mailgun. Auf diese Weise können die Signatur-/Verifizierungsserver der beiden Dienste ihre jeweiligen Schlüsselpaare korrekt lokalisieren.
Wenn Sie nur einen E-Mail-Zustelldienst verwenden, ist es für einen DKIM-Sicherheitsmechanismus namens „DKIM key rotation“ unerlässlich, mehrere Selektoren/Schlüsselpaare zu haben. Dies ist im Grunde ein Prozess, bei dem die Schlüsselpaare regelmäßig aktualisiert werden, um das Risiko einer Kompromittierung der Schlüsselpaare zu verringern.

Weitere Informationen zu diesem Vorgang finden Sie unter What is a DKIM selector.

Im Gegensatz zu SPF und DMARC ist es nicht nur möglich, sondern oft notwendig, mehrere DKIM-Einträge in einer einzigen Domain zu haben.

Zusammenhängende Posts:

Vorheriger Beitrag Nächster Beitrag