Was ist DKIM und wie nutze ich es?

DKIM (=DomainKeys) ist ein Verfahren, um E-Mails zu signieren. Dadurch soll sichergestellt werden, dass eine Nachricht mit Erlaubnis des Domaininhabers versendet wurde. Empfangende Mailserver verwenden das zur Überprüfung auf Spam.

Wie kann ich das nutzen?

Bei JPBerlin hat automatisch jede über uns neu registrierte Domain DKIM eingerichtet, falls die Nachrichten auch über unsere Server versendet werden!

Domains, die vor März 2019 bei uns eingerichtet wurden, haben diese Einstellung oft noch nicht. Falls du DKIM nutzen möchtest, prüfe bitte ob Deine Nachrichten eine DKIM-Signatur enthalten. Falls es noch nicht aktiv ist, kannst Du Dich dann gerne an den Support wenden. Der wird Dir schnellstmöglich DKIM aktivieren.

Wie kann ich feststellen, ob DKIM aktiv ist?

Um das zu prüfen, brauchst Du eine empfangene Nachricht Deiner Domain. Da der Mailserver erst kurz vor dem Abgeben an den nächsten Server die Nachricht signiert, kannst Du es leider nicht mit der Nachricht bei Dir im Postausgang/Gesendet-Ordner prüfen.

Die entsprechende empfangene Nachricht musst Du dann im Quelltext (oder auch nur den Header, falls möglich) ansehen. Da sollte dann in etwa folgender Text enthalten sein:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=<DEINE_DOMAIN>; s=MBO0001; .........

Solltest Du das nicht finden, schreibe doch bitte den Support an. Sende idealerweise von der Domain, die geprüft/angepasst werden soll.

Wie kann ich DKIM mit Domains nutzen, die nicht bei JPBerlin sind?

Grundvoraussetzung ist natürlich, dass wir DKIM für Dich nur aktivieren können, wenn zumindest die E-Mails über uns versendet werden. Zeigen dafür die MX-Records Deiner Domain auf uns, kannst Du noch zwei weitere Einträge setzen, die wir Dir im Folgenden aufführen.

Für die meisten Webfrontends passt dieser Eintrag:

Subdomain: MBO0001._domainkey
Ressource Record: TXT
Text: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2K4PavXoNY8eGK2u61LIQlOHS8f5sWsCK5b+HMOfo0M+aNHwfqlVdzi/IwmYnuDKuXYuCllrgnxZ4fG4yVaux58v9grVsFHdzdjPlAQfp5rkiETYpCMZwgsmdseJ4CoZaosPHLjPumFE/Ua2WAQQljnunsM9TONM9L6KxrO9t5IISD1XtJb0bq1lVI/e72k3mnPd/q77qzhTDmwN4TSNJZN8sxzUJx9HNSMRRoEIHSDLTIJUK+Up8IeCx0B7CiOzG5w/cHyZ3AM5V8lkqBaTDK46AwTkTVGJf59QxUZArG3FEH5vy9HzDmy0tGG+053/x4RqkhqMg5/ClDm+lpZqWwIDAQAB

Sollte es mit dieser Variante Probleme geben, kann das ganze aufgebrochen werden. Ersetze dann die Zeichenkette  p=MIIB… durch alle Zeichenketten ab „p=…“ aus dem Kasten unten (Bind-Format) inklusive Anführungszeichen in Deinem Record.

Wenn Du einen eigenen DNS-Server betreibst bzw. direkt in diesen schreiben musst, sieht das für die Nameserver-Software Bind so aus:

MBO0001._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2K4PavXoNY8eGK2u61"
"LIQlOHS8f5sWsCK5b+HMOfo0M+aNHwfqlVdzi/IwmYnuDKuXYuCllrgnxZ4fG4yV"
"aux58v9grVsFHdzdjPlAQfp5rkiETYpCMZwgsmdseJ4CoZaosPHLjPumFE/Ua2WA"
"QQljnunsM9TONM9L6KxrO9t5IISD1XtJb0bq1lVI/e72k3mnPd/q77qzhTDmwN4T"
"SNJZN8sxzUJx9HNSMRRoEIHSDLTIJUK+Up8IeCx0B7CiOzG5w/cHyZ3AM5V8lkqB"
"aTDK46AwTkTVGJf59QxUZArG3FEH5vy9HzDmy0tGG+053/x4RqkhqMg5/ClDm+lp"
"ZqWwIDAQAB" )

Zusätzlich bieten wir einen Backupschlüssel an. Bitte füge auch diesen Deiner Konfiguration hinzu.

für Webfrontend:

Subdomain: MBO0002._domainkey
Ressource Record: TXT
Text: v=DKIM1; k=rsa;
p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqxEKIg2c48ecfmy/+rj35sBOhdfIYGNDCMeHy0b36DX6MNtS7zA/VDR2q5ubtHzraL5uUGas8kb/33wtrWFYxierLRXy12qj8ItdYCRugu9tXTByEED05WdBtRzJmrb8YBMfeK0E0K3wwoWfhIk/wzKbjMkbqYBOTYLlIcVGQWzOfN7/n3n+VChfu6sGFK3k2qrJNnw22iFy4C8Ks7j77+tCpm0PoUwA2hOdLrRw3ldx2E9PH0GVwIMJRgekY6cS7DrbHrj/AeGlwfwwCSi9T23mYvc79nVrh2+82ZqmkpZSTD2qq+ukOkyjdRuUPck6e2b+x141Nzd81dIZVfOEiwIDAQAB

für Bind:

MBO0002._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqxEKIg2c48ecfmy/+r"
"j35sBOhdfIYGNDCMeHy0b36DX6MNtS7zA/VDR2q5ubtHzraL5uUGas8kb/33wtrW"
"FYxierLRXy12qj8ItdYCRugu9tXTByEED05WdBtRzJmrb8YBMfeK0E0K3wwoWfhI"
"k/wzKbjMkbqYBOTYLlIcVGQWzOfN7/n3n+VChfu6sGFK3k2qrJNnw22iFy4C8Ks7"
"j77+tCpm0PoUwA2hOdLrRw3ldx2E9PH0GVwIMJRgekY6cS7DrbHrj/AeGlwfwwCS"
"i9T23mYvc79nVrh2+82ZqmkpZSTD2qq+ukOkyjdRuUPck6e2b+x141Nzd81dIZVf"
"OEiwIDAQAB" )

Bitte beachte vor einem erneuten Headercheck, ob die TTL (=Time To Live – Aktualisierungszeit des DNS) bereits durchgelaufen ist. Häufige Werte sind 24 Stunden oder 1 Stunde Aktualisierungszeit.

  • 13. März 2019

  • o.graeber

  • Keinen Kommentar


Kommentar abgeben

Sie müssen eingeloggt sein um zu kommentieren.