DOMAINKEYS IDENTIFIED E-MAIL
DKIM steht für „DomainKeys Identified E-Mail“. Stellen wir uns einmal vor, wir implementieren DKIM bei der Briefpost. Das würde dann ungefähr so aussehen.
Sie bekommen einen Brief, auf dem ein Absender versehen ist. Da Sie früher schon viele Briefe mit unerwünschtem oder gefährlichem Inhalt bekommen haben, wollen Sie sicherstellen, dass der Brief sicher von dem Absender ist, der am Kuvert angegeben ist und nicht eine Täuschung von einem Kriminellen der Ihnen Schaden zufügen will. Die Annahme des Briefes erfolgt an der Haustüre, die Person der der Brief letztendlich zugestellt werden soll ist im Haus und wartet darauf das Sie die Übernahme des Briefes abwickeln. Sie nehmen den Brief vom Zusteller. Der Briefumschlag ist nicht zugeklebt. Deshalb öffnen Sie den Brief erst einmal (der Zusteller steht immer noch an der Haustüre und wartet geduldig). Da der Brief mit DKIM abgesichert ist finden Sie Betreff, Text und Anhänge, was wir für dieses Beispiel einfach „Inhalt“ nennen, und ein weiteres, kleines versiegeltes Kuvert in dem geöffneten Umschlag.
Sie senden jetzt den gesamten „Inhalt“ durch ihre persönliche DKIM-Hash Maschine (sagen wir mal das ist eine gratis-APP auf ihrem Handy) in dem Sie den Inhalt abfotografieren. Das Ergebnis dieser Bemühungen ist eine Zahlenkombination, z.B. 4711, die man als Fingerabdruck des Inhaltes beschreiben könnte. Sie sehen sich jetzt das Siegel des kleinen Kuverts an und senden ein Foto davon an die Webseite des „zentralen Melderegisters für Absender“ (DNS). Der Stempel des Siegels (die Domänensignatur) wird damit mit dem Fingerabdruck, der im Melderegister vorliegt, abgeglichen.
Wenn das Melderegister zu dieser Überprüfung ein positives Feedback gibt, brechen Sie das Siegel auf und finden darin ebenfalls eine Zahl (den Hash-Wert des Inhaltes).
Sie vergleichen jetzt den Fingerabdruck den Sie errechnet haben mit dem im Kuvert. Wenn auch dieser übereinstimmt wissen Sie folgendes:
- Der sendende Server hat den Inhalt „gehasht“ und mit seinem Siegel versehen.
- Da das Siegel ungebrochen war und mit dem im Melderegister übereinstimmt, ist der Absender korrekt.
- Da der gehashte Inhalt identisch mit dem Hashwert von Ihnen war wurde der Inhalt am Weg nicht verändert.
Jetzt können Sie den Brief annehmen und der Person übergeben an die der Brief adressiert ist.
Sollte eines der beiden Werte nicht übereinstimmen, geben Sie den Brief an den Zusteller zurück und verweigern die Annahme.
Vorteil der Methode:
- Das sendende System kann eindeutig identifiziert werden.
- Es kann geprüft werden ob der Inhalt am Weg unverändert blieb.
Nachteile der Methode:
- Was passiert mit einer Nachricht wenn der Sender kein DKIM benutzt? Sie würden einen Brief erhalten der von von jedem am Weg verändert werden kann und der Absender gibt sich nicht die Mühe mittels DKIM zu signieren. Der Brief könnte aber trotzdem authentisch und integer sein, was tun, annehmen oder verweigern?
- Was passiert mit einer Nachricht wenn der Empfänger kein DKIM benutzt? Dann war die Methode umsonst im Einsatz. Der Empfänger nimmt trotzdem jeden Brief an, solche mit und solche ohne DKIM Signatur.
- Die Person die das Mail sendet (Sender) kann DKIM nicht forcieren und weiß nicht dass es im Einsatz war.
- Die Person die das Mail erhält (Empfänger) kann nicht erkennen ob DKIM im Einsatz war. An der Haustüre wurde zwar die DKIM Prüfung gemacht, aber diese Information wird der empfangenden Person nicht angezeigt.