Blog

 

Google lehnt Ihren DKIM Schlüssel ab, obwohl er völlig in Ordnung ist (und warum das eine Chance darstellt)

Ken Takahashi
07. November 2012 - Ken Takahashi, General Manager, Anti-phishing Solutions at Return Path

Ist Ihnen auch aufgefallen, dass Ihr DKIM Authentifizierungs-Schlüssel seit kurzem von Google abgelehnt wird? Dann sind Sie damit nicht auf keinen Fall alleine. Google hat kürzlich angekündigt, dass es alle DKIM-Keys mit 512 Bit Verschlüsselung oder weniger ab sofort nicht mehr länger akzeptieren wird.

Hintergrund dieser Entwicklung ist die Tatsache, dass ein findiger Mathematiker kürzlich den 512 Bit DKIM Schlüssel von Google geknackt hat und sich dann per E-Mail als die Google Gründer Sergey Brin und Larry Page ausgab. Ein in diesem Zusammenhang auf Wired.com erschienener Artikel erwähnt dann auch hektische Bemühungen der Branche, ihre DKIM-Schlüssel zu verstärken.

Google hat seine eigenen Schlussfolgerungen aus dieser Sicherheitspanne gezogen und macht es für Versender jetzt notwendig, DKIM-Schlüssel mit 1024 Bit zu verwenden. In der ersten Phase akzeptiert Google nicht mehr länger solche DKIM Schlüssel, die eine 512 Bit Verschlüsselung oder weniger verwenden. Für die nächsten Wochen sollen 768 Bit Schlüssel weiterhin akzeptiert werden. Google hat außerdem bereits angekündigt, dass das Unternehmen Postmaster schon im Laufe dieser Woche per E-Mail über jene Domains informieren wird, die (zu) schwache DKIM-Schlüssel verwenden.

DKIM Schlüssel, die von Google nicht akzeptiert werden, können Versender auf mehreren Ebenen schaden. Versender, die die DKIM-Authentifizierung nicht bestehen und zudem den List-Unsuscribe Header verwenden könnten sich höheren Beschwerderaten gegenübersehen, da Nutzern in diesem Fall keine direkte Abmeldemöglichkeit angezeigt wird. Gmail Nutzer haben außerdem die Möglichkeit, sich im Posteingang anzeigen zu lassen, ob eine korrekte Authentifizierung vorliegt. Wenn Ihre E-Mails diesen Icon nicht mehr aufweisen könnten Adressaten das Vertrauen in Ihre E-Mails verlieren und Ihre Öffnungsrate in Mitleidenschaft gezogen werden. Zwar wird ein Nicht-Bestehen der DKIM Authentifizierung keine direkte Auswirkungen auf die Zustellung der E-Mail bei Google haben; sollten Sie jedoch die DMARC Richtlinie verwenden, besteht ein zusätzliches Risiko, sollten Ihre E-Mails auch die SPF-Authentifizierung nicht bestehen.

Um zu prüfen, ob Ihre DKIM-Authentifizierung eine ausreichend starke Verschlüsselung aufweist, gehen Sie bitte wie folgt vor:

  1. Schicken Sie eine Test E-Mail an Gmail oder die Return Path Seed-Adressen bei Google. Prüfen Sie Ihre Header; sie sollten folgenden Code enthalten: Authentication-Results: mx.google.com; spf=pass (google.com: domain of xxx@xxxxx.xxx designates xxx.xxx.xxx.xxx as permitted sender) smtp.mail= xxx@xxxxx.xxx; dkim=pass header.i=xxxxxx.xxx

    Wenn Sie dkim=pass lesen, können Sie sich für den Moment entspannen. Wenn die Aussage allerdings dkim=fail heißt, sollten Sie Ihren DKIM-Schlüssel schnellstmöglich verstärken.

  2. Senden Sie von jeder Ihrer Domains mit eigenem DKIM-Schlüssel eine E-Mail an checkmyauth@auth.returnpath.net. Unser DKIM Reflektor wird Ihnen einen Report zurückschicken, der Sie darüber informiert, ob Ihr DKIM-Key mit weniger als 1024 Bit verschlüsselt wird.

Unseren Kunden stehen ihre Kundenberater bei Return Path gerne für Fragen zur empfohlenen Stärke des DKIM-Schlüssels bzw. der Validierung des verwendeten Schlüssels zur Verfügung. Wenn Sie keinen Kundenberater haben, füllen Sie bitte folgendes Formular aus, um mit uns in Kontakt zu treten.

 

Comments are closed.