DKIM (DomainKeys Identified Mail) ist ein Verfahren, das die Authentizität von E-Mails überprüft. Damit kann der Empfänger einer E-Mail sicherstellen, dass sie wirklich vom angegebenen Absender kommt und nicht verändert wurde. DKIM nutzt kryptografische Schlüssel, die im DNS-Eintrag der Domain hinterlegt sind. Der Absender fügt einen digitalen Signatur-Header in die E-Mail ein, der mit dem öffentlichen Schlüssel der Domain abgeglichen werden kann.

Die Einrichtung

Ich wollte DKIM für meine Domain aktivieren, weil einige große öffentliche E-Mail-Anbieter angekündigt haben, E-Mails ohne DKIM-Signatur künftig als Spam zu markieren. Um das zu tun, habe ich mich an das offizielle Tutorial von Microsoft gehalten. Das Tutorial war sehr einfach und verständlich.

Ich musste nur ein paar Schritte in der Admin-Oberfläche ausführen. Für die erforderlichen Änderungen an den DNS-Records gab es genaue Anweisungen. Nach einer kurzen Wartezeit konnte ich den DKIM-Schalter umlegen. Der Vorgang wurde mit der Meldung “DKIM-Signaturen für diese Domäne werden signiert.” abgeschlossen.

Ich dachte, das bedeutet, dass die Schlüsselerzeugung noch läuft und der Vorgang nicht abgeschlossen sei. Deshalb wollte ich testen, ob meine E-Mails jetzt DKIM-Signaturen haben. Ich habe mir selbst ein paar Test-Mails geschickt und den Header überprüft. Es waren keine Signaturen zu sehen. Irgendwas war wohl tatsächlich schiefgegangen.

Die Fehlersuche

Nach etwas Nachdenken und Suchen bin ich auf einen DKIM Tester dmarcadvisor gestoßen. Der Test hat gezeigt, dass Schlüsselpaare erzeugt wurden und der öffentliche Schlüssel abrufbar ist. Anscheinend habe ich die Meldung im Admin-Panel falsch verstanden.

In einem Microsoft-Forum ist mir zufällig die Information zugeflogen, dass interne E-Mails nicht signiert werden. Das heißt, wenn ich mir selbst oder einem anderen Nutzer meiner E-Mail-Domäne eine E-Mail schicke, wird sie nicht mit DKIM signiert. Das ergibt durchaus Sinn, da die interne Kommunikation als vertrauenswürdig gilt und keine zusätzliche Prüfung benötigt. Außerdem spart es Ressourcen. Interne Test-E-Mails sind also nutzlos.

Ich habe eine weitere E-Mail an einen externen Anbieter geschickt. Diesmal waren die erwarteten Signaturen im Header vorhanden. Das hat mir bestätigt, dass DKIM erfolgreich aktiviert wurde.

Das Ergebnis

Es war eigentlich ganz einfach, DKIM für meine E-Mail-Domäne zu aktivieren. Das Tutorial von Microsoft war sehr nützlich und die Schritte waren nicht kompliziert. Das einzige Problem war, dass ich die Meldung falsch gedeutet habe und nicht wusste, dass interne E-Mails nicht signiert werden.

Aufgabe erledigt. Wieder etwas dazugelernt.