DomainKeys Identified Mail, or DKIM, is a technical standard that helps protect email senders and recipients from spam, spoofing, and phishing.  It is a form of email authentication that allows an organization to claim responsibility for a message in a way that can be validated by the recipient.

Specifically, it uses an approach called “public key cryptography” to verify that an email message was sent from an authorized mail server, in order to detect forgery and to prevent delivery of harmful email like spam. It supplements SMTP, the basic protocol used to send email, because it does not itself include any authentication mechanisms.

How does it work?

It works by adding a digital signature zum headers of an email message. That signature can be validated against a public cryptographic key in the organization’s Domain Name System (DNS) records. In general terms, the process works like this:

Ein Domaininhaber veröffentlicht einen kryptografischen öffentlichen Schlüssel als speziell formatierten TXT-Eintrag in den allgemeinen DNS-Einträgen der Domain.

When a mail message is sent by an outbound mail server, the server generates and attaches a unique DKIM signature header zum message. This header includes two cryptographic hashes, one of specified headers, and one of the message body (or part of it). Die header contains information about how the signature was generated.

Wenn ein Posteingangsserver eine eingehende E-Mail erhält, sucht er im DNS nach dem öffentlichen DKIM-Schlüssel des Absenders. Der Posteingangsserver verwendet diesen Schlüssel, um die Signatur zu entschlüsseln und sie mit einer neu berechneten Version zu vergleichen. Wenn die beiden Werte übereinstimmen, kann nachgewiesen werden, dass die Nachricht authentisch ist und bei der Übertragung nicht verändert wurde.

What is a DKIM signature?

A DKIM signature is a header added to email messages. Die header contains values that allow a receiving mail server to validate the email message by looking up a sender’s DKIM key and using it to verify the encrypted signature. It looks something like this:

DKIM-Signatur: v=1; a=rsa-sha256; c=relaxed/relaxed; d=sparkpost.com; s=google; h=from:content-transfer-encoding:subject:message-id:date:to:mime-version; bh=ZkwViLQ8B7I9vFIen3+/FXErUuKv33PmCuZAwpemGco=; b=kF31DkXsbP5bMGzOwivNE4fmMKX5W2/Yq0YqXD4Og1fPT6ViqB35uLxLGGhHv2lqXBWwFhODPVPauUXxRYEpMsuisdU5TgYmbwSJYrFLFj5ZWTZ7VGgg6/nI1hoPWbzDaL9qh

Ein DKIM-Signatur-Header enthält viele Informationen, da er für die automatische Verarbeitung gedacht ist. Wie Sie in diesem Beispiel sehen können, enthält der Header eine Liste von Tag=Wert-Teilen. Bemerkenswerte Tags sind "d=" für die signierende Domain, "b=" für die eigentliche digitale Signatur und "bh=" für einen Hash, der durch Neuberechnung mit dem öffentlichen Schlüssel des Absenders überprüft werden kann.

Signaturen sind per Definition von Nachricht zu Nachricht einzigartig, aber diese grundlegenden Elemente sind in jedem DKIM-Signatur-Header enthalten.

How is it related to SPF, DMARC, or other standards?

DKIM, SPF und DMARC sind allesamt Standards, die verschiedene Aspekte der E-Mail-Authentifizierung ermöglichen. Sie befassen sich mit sich ergänzenden Themen.

• SPF allows senders to define which IP addresses are allowed to send mail for a particular domain.

• DKIM stellt einen Verschlüsselungsschlüssel und eine digitale Signatur bereit, die nachweisen, dass eine E-Mail-Nachricht nicht gefälscht oder verändert wurde.

• DMARC unifies the SPF and DKIM authentication mechanisms into a common framework and allows domain owners to declare how they would like email from that domain to be handled if it fails an authorization test.

Brauche ich DKIM?

If you are a business sending commercial or transactional email, you definitely need to implement one or more forms of email authentication to verify that an email is actually from you or your business. Properly configuring email authentication standards is one of the most important steps you can take to improve your deliverability. However, by itself it only goes so far; SparkPost and other email experts recommend also implementing SPF and DMARC to define a more complete email authentication policy.