DKIM gegen Spam

DKIM gegen Spam

Spam für immer ausrotten? Kurzfristig sicher unmöglich, auf längere Sicht aber könnte die Authentifizierung des Absenders neben anderen Maßnahmen durchaus ein wirksames Gegenmittel sein. Ein vielversprechendes Verfahren dafür ist DKIM.

DKIM [1] ist ein System zur Authentifizierung von E-Mails, das auf der Public-Key-Kryptografie aufbaut. Sein Ziel ist die Verbreitung im gesamten Internet. Deshalb hielten die Entwickler die Funktionen bewusst einfach: DKIM ermöglicht es dem empfangenden System, zweifelsfrei zu überprüfen, ob eine E-Mail tatsächlich aus der Domain kommt, die der Absender angibt. DKIM ist dabei weder der erste noch der einzige Ansatz für eine kryptografische Überprüfung des Absenders. Daneben gibt oder gab es beispielsweise PEM [2], S/MIME [3] oder OpenPGP [4]. DKIM unterscheidet sich von diesen Verfahren jedoch durch seinen strikte Beschränkung auf ein eng gefasstes Entwicklungsziel: Es möchte ein minimalistisches, transparentes und stets verfügbares System sein, das ausschließlich der Sender-Authentifizierung dient. Authentifizierung ist bei ihm keine Funktion neben anderen, sondern sein erster und einziger Zweck.

An der Wurzel packen

Bevor es um die Details von DKIM geht, lohnt sich ein Blick auf die Gründe, die zu seiner Entstehung führten. Treibende Kraft dabei war die Überzeugung der Entwickler, dass die Möglichkeit, auf einfache und sichere Weise den Absender einer E-Mail ermitteln zu können, der entscheidende erste Schritt ist, um die Qualität des gesamten Mailverkehrs im Internet grundlegend zu verbessern.

Wer den Absender zuverlässig identifizieren kann, der kann auch die Mailverteilung – etwa durch Filter – sicher steuern. Zwar löst Authentifizierung selbst noch nicht alle Probleme, aber sie ist die Voraussetzung für weitere Schritte, die sich zusammengenommen positiv auswirken. Kurz gesagt: Authentifizierung ist zwar alleine noch nicht ausreichend, aber absolut notwendig.

Domains im Fokus

DKIM hatte von Anfang an das Ziel, sich bei der Authentifizierung auf die Ebene der Domains zu konzentrieren, die sich natürlicherweise als die administrativ kontrollierten Endpunkte anbieten, an denen sich Verantwortung fest machen lässt. Entscheidet sich ein Empfänger dafür, Mail von paypal.com anzunehmen, dann gilt das vermutlich für jede Mail von dort und umgekehrt, wer nichts mit bigspammer.com zu tun haben will, der lehnt wahrscheinlich jede Zusendung aus dieser Domain ab.

Die Granularität auf die Domains zu beschränken ist freilich keine perfekte Lösung. Zum Beispiel stellt sich sofort die Frage, wie mit Domains großer Provider zu verfahren sei – etwa yahoo.com – aus denen sehr verschiedene Mails stammen. Trotzdem überwiegen die Vorteile. Ein großer Vorteil ist beispielsweise, dass es für jede Domain bereits jemanden gibt, der die juristische Verantwortung übernimmt. DKIM profitiert auf diese Weise also auch von den Rechtsvorschriften, die für die Registrierung von Domains gelten. Ein weiterer entscheidender Vorteil ist, dass so für DKIM nur wenige Komponenten der E-Mail-Infrastruktur anzupassen sind.

Ein zweites Designziel hieß: DKIM soll für Benutzer und Nichtbenutzer transparent sein. Nach Auffassung der Entwickler errichten Eingriffe in den Inhalt einer Mail – wie sie etwa S/MIME erfordert – zu hohe Hürden. Die Benutzer empfinden ein solches System nicht als bedienfreundlich. Selbst wenn sich das im Fall von S/MIME noch verbessern ließe, sprächen weitere technische Probleme dagegen, wie etwa die Möglichkeit Zertifikate zu verwenden, die keine autorisierte Instanz ausgegeben hat.

Ähnliche Artikel

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Google+

Ausgabe /2019