DKIM (DomainKeys Identified Mail) verbessert die Zustellbarkeit in den Posteingang. Wenn die Domains im Header einer E‑Mail mittels DKIM signiert sind, weiß der Mailbox Provider, dass diese nicht missbraucht wurden. Mailbox Provider analysieren und merken sich die Reputation einer Domain für zukünftige E‑Mails.
Wenn E‑Mail Service Provider große Versände für Marken übernehmen, dann stimmen die From-Adresse im Header der Mail und die physikalische Adresse des versendenden Servers nicht mehr überein. Das macht die Situation schwieriger, denn jetzt ist das Domain Alignment nicht automatisch gegeben. Seriöse Marken achten daher darauf, Kampagnen und Inhalte mittels DKIM Alignment im eigenen Namen unter Verwendung der eigenen, weithin bekannten Marken-Domain zu versenden.
DKIM Alignment bezeichnet dabei die Übereinstimmung der verwendeten Domains in den einzelnen Headern einer E‑Mail (Header.From, Mail.From, Reply-To und weitere) und der Domain „d=“ mindestens einer DKIM Signatur. Nur ein legitimer Nutzer der Domain kann den Public Key für die DKIM in der DNS hinterlegen und gleichzeitig mit Hilfe des Private Key die Signatur vornehmen.
Auf den Header kommt es an
Grundlegend gibt es keine Vorgaben, wie viele DKIM Signaturen eine E‑Mail maximal enthalten darf. Folglich ist es theoretisch möglich, für jede einzelne verwendete Domain eine DKIM Signatur einzusetzen.
Halten wir uns jedoch einmal die theoretisch mögliche Zahl an Domains in einem E‑Mail-Header und E‑Mail-Body vor Augen:
- Header.From nach RFC5322
- Mail.From nach RFC5321
- Reply-To
- List-Header
- Link-Tracking
- Bild-Links
- Weitere Domains
Das macht deutlich, dass es durch das Hinzufügen der notwendigen DKIM Signaturen im E‑Mail-Header sehr unübersichtlich und komplex werden kann.
Demnach empfiehlt es sich ein E‑Mail-Setup so zu wählen, dass es eine sinnvolle Verwendung von Domains und DKIM Signaturen geben kann.
Umfang des DKIM Alignment
Grundlegend kategorisieren wir einfaches, vollständiges oder erweitertes DKIM Alignment:
- Einfaches DKIM Alignment: DKIM Domain stimmt mit der Header.From Domain (RFC5322) mindestens auf organisatorischer Ebene überein
- Vollständiges DKIM Alignment: DKIM Domain stimmt mit der Header.From Domain (RFC5322) und der Mail.From Domain (RFC5321) mindestens auf organisatorischer Ebene überein
- Erweitertes DKIM Alignment: DKIM Domain stimmt mit der Header.From Domain (RFC5322), der Mail.From Domain (RFC5321) sowie weiteren Domains des E‑Mail Headers (Reply-to, List-Header, weitere) mindestens auf organisatorischer Ebene überein
Relaxed oder strict DKIM Alignment
Darüber hinaus kann das DKIM Alignment als relaxed oder strict festgelegt werden. Bei dieser weiteren Kategorisierung spielen die organisatorischen Domains eines Versenders oder einer Marke, oder die verwendeten Subdomains dieser organisatorischen Domains eine Rolle.
- Relaxed DKIM Alignment: Die Übereinstimmung der DKIM Domain mit den Header-Domains auf organisatorischer Ebene – Bsp.: example.com, child.example.com
- Strict DKIM Alignment: Die genaue Übereinstimmung der DKIM Domain mit den Header-Domains – Bsp.: example.com, example.com oder child.example.com, child.example.com
Die häufigsten Best Practice Beispiele
Wesentlich und entscheidend für die erfolgreiche Zustellung von E‑Mails in den Posteingang sind die Header.From Domain nach RFC5322 und Mail.From Domain nach RFC5321. Entsprechend sollte eine DKIM Signatur erstellt werden, welche beide From-Header gleichzeitig abdeckt – vollständiges DKIM Alignment.
Beispiel – einfaches, relaxed DKIM Alignment
DKIM Domain = example.com
5322.From = child1.example.com
Beispiel – einfaches, strict DKIM Alignment
DKIM Domain = child.example.com
5322.From = child.example.com
Beispiel – vollständiges, relaxed DKIM Alignment
DKIM Domain = example.com
5322.From = child1.example.com
5321.From = child2.example.com
Beispiel – vollständiges, strict DKIM Alignment
DKIM Domain = child.example.com
5322.From = child.example.com
5321.From = child.example.com
DKIM Alignment nach Punkt 2.22 der CSA Kriterien
Seit der Aktualisierung der CSA Kriterien müssen seit dem 18.01.2022 alle E‑Mails eines Versenders ein DKIM Alignment enthalten. Das bedeutet laut Punkt 2.22 der CSA Kriterien die mindestens relaxte Übereinstimmung des “d=”-Tags mindestens einer DKIM-Signatur mit der Domain aus dem From Header (RFC5322) mindestens auf organisatorischer Ebene.
Beispiel – einfaches, relaxed DKIM Alignment
DKIM Domain = example.com
5322.From = child1.example.com
Wer sich die Mühe macht und die gängigen technischen Standards wie DMARC und das damit verbundene Domain Alignment implementiert, der kann sicherstellen, dass die eigene Markenidentität nicht missbraucht wird. Das schafft Vertrauen und verhindert große Schäden an der Markenreputation.
Bildnachweis Titelgrafik: Andrii Sedykh