Weitere Ziele

Für die Einführung eines Systems wie DKIM kann es keinen Stichtag geben, an dem sich alle Internetbenutzer gleichzeitig dafür entscheiden. Deswegen muss die Konzeption gewährleisten, dass das Verfahren für alle, die es nicht benutzen wollen, völlig unsichtbar bleibt. Das ermöglicht eine allmähliche Verbreitung über längere Zeit. Das dritte große Entwurfsziel ist eine Folge der Transparenz. Es besagt, dass es möglich sein sollte, die komplette E-Mail-Infrastruktur so wie gegenwärtig weiterzubenutzen, ohne DKIM dabei in die Quere zu kommen. Dieses Ziel markiert einen der grundlegenden Unterschiede zwischen DKIM und Systemen mit End-zuEnd-Authentifizierung wie SPF, die beispielsweise keine Weiterleitung von Mails unterstützen. Dazu gleich mehr.

Das vierte Designziel war größtmögliche Einfachheit und damit niedrige Implementierungskosten. Das fünfte Ziel schließlich bestand darin, dass DKIM seinen Anwendern keine finanziellen Belastungen zumuten sollte. Im Gegensatz dazu verlangen viele andere Public-Key-Verfahren – beispielsweise SSL, HTTPS oder wieder S/MIME – fortlaufende Zahlungen an eine Zertifizierungsstelle (CA). Es liegt auf der Hand, dass sich ein solches gebührenfinanziertes System nur schwer global durchsetzen kann.

Wie es funktioniert

Wie erwähnt bedient sich DKIM der Public-Key-Kryptografie oder genauer gesagt des Verfahrens der asymmetrischen privaten und öffentlichen Schlüssel. Der private Schlüssel – soviel zur Erinnerung – erzeugt die Signaturen, und der Anwender muss ihn unbedingt geheim halten. Den öffentlichen Schlüssel, mit dem jeder die Signatur verifizieren kann, darf und muss er dagegen verteilen. Die Abbildungen 1 bis 3 verdeutlichen noch einmal dieses Funktionsprinzip.

Abbildung 1: Das Prinzip der asymmetrischen Schlüssel: Der private Key bleibt unter Verschluss, der öffentliche wird verteilt. Was der erste signiert hat, kann der zweite verifizieren.
Abbildung 2: Mit dem geheimen privaten Schlüssel wird die Mail signiert, bevor sie auf die Reise zum Empfänger geht.
Abbildung 3: Der Empfänger kann mit Hilfe des öffentlichen Schlüssels des Absenders prüfen, ob der tatsächlich die Mail unterschrieben hat.

Dieses Prinzip verwenden alle Public-Key-Verfahren einschließlich SSL, S/MIME und PGP. DKIM unterscheidet sich von ihnen in folgenden Punkten:

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023