{"id":5831,"date":"2018-06-08T15:40:21","date_gmt":"2018-06-08T15:40:21","guid":{"rendered":"https:\/\/certified-senders.org\/?post_type=fti_news&p=5831"},"modified":"2020-11-13T10:38:20","modified_gmt":"2020-11-13T10:38:20","slug":"dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update","status":"publish","type":"fti_news","link":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/","title":{"rendered":"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update"},"content":{"rendered":"

1. Problemstellung<\/h2>\n

DKIM ist eine weit verbreitete Methode, um E-Mails authentifizieren zu k\u00f6nnen. Doch wenn DKIM nicht richtig eingesetzt wird, ist es nicht wirkungsvoll und kann ein falsches Gef\u00fchl von Sicherheit vermitteln. Aus diesem Grund haben wir g\u00e4ngige Best Practices f\u00fcr DKIM zusammengefasst.<\/p>\n

 <\/p>\n

2. Technische Ma\u00dfnahmen<\/h2>\n

2.1 L\u00e4nge des Schl\u00fcssels<\/h3>\n

Mit der schnell steigenden Leistungsf\u00e4higkeit von Computern k\u00f6nnen ehemals als sicher geltende RSA Schl\u00fcssel mit 512 Bit L\u00e4nge in kurzer Zeit geknackt werden. Stand heute sollte man mindestens 1024 Bit RSA verwenden.<\/p>\n

Organisationen wie das amerikanische National Institute of Standards and Technology (NIST) gehen weiter und empfehlen mindestens 2048 Bit. Zu beachten ist hierbei, dass gro\u00dfe Schl\u00fcssel (\u00fcblicherweise ab 4096 Bit) im DNS potentiell Probleme verursachen k\u00f6nnen, da die Antworten dann nicht mehr in UDP-Paket passen, sondern per TCP beantwortet werden m\u00fcssen.<\/p>\n

2.2 Algorithmen<\/h3>\n

Der DKIM Standard definiert unterst\u00fctzt lediglich RSA als Algorithmus, modernere Algorithmen werden nicht unterst\u00fctzt. An diesem Nachteil wird allerdings bereits gearbeitet.<\/p>\n

Unter dem Namen “DKIM Crypto Update” verbirgt sich die Initiative den Standard DKIM auf einen aktuellen kryptografischen Stand zu aktualisieren um eben jenes Problem zu adressieren. Der aktuelle Stand ist im RFC 8301 zu finden.\u00b9<\/p>\n

\u00b9 https:\/\/datatracker.ietf.org\/wg\/dcrup\/about\/<\/a><\/p>\n

Die wichtigsten \u00c4nderungen betreffen die bereits angesprochene Schl\u00fcssell\u00e4nge. Dar\u00fcber hinaus wird die Unterst\u00fctzung von EdDSA als kryptografischer Algorithus neben RSA aufgenommen. EdDSA hat einige Vorteile. Bei gleichem Sicherheitsniveau sind die Schl\u00fcssel deutlich k\u00fcrzer und vermeiden somit die angesprochenen DNS Probleme. Dar\u00fcber hinaus ist das signieren und verifizieren mit EdDSA weniger Ressourcenintensiv.<\/p>\n

Es ist allerdings davon auszugehen, dass heute nicht jeder Empf\u00e4nger in der Lage ist eine DKIM Signatur mit EdDSA verarbeiten zu k\u00f6nnen. Daher sollte man, wenn man EdDSA einsetzt, jede E-Mail als Fallback zus\u00e4tzlich ein zweites Mal \u00fcber einen anderen Selektor mit RSA signieren.<\/p>\n

Eine weitere Neuerung betrifft den verwendeten Hash-Algorithmus. Da SHA-1 nicht mehr als sicher gilt ist ausschlie\u00dflich SHA-256 zu verwenden.<\/p>\n

2.3 Monitoring<\/h3>\n

Um \u00fcberwachen zu k\u00f6nnen, ob die E-Mails bei den Empf\u00e4ngern korrekt verifiziert werden k\u00f6nnen empfiehlt sich der Einsatz von DMARC. Bei Verwendung einer “none” policy wird die Zustellung der E-Mails durch DMARC nicht beeinflusst, allerdings bekommt man durch das Reporting einen \u00dcberblick dar\u00fcber, ob DKIM wie erwartet funktioniert.<\/p>\n

<\/h3>\n

3. Organisatorische Ma\u00dfnahmen<\/h2>\n

3.1 Zugriff auf privaten Schl\u00fcssel<\/h3>\n

Die Sicherung und Geheimhaltung des privaten Schl\u00fcssels ist essentiell. Falls Unbefugte Zugriff auf den privaten Schl\u00fcssel erlangen ist es Ihnen m\u00f6glich selbst beliebig E-Mails f\u00fcr die zugeh\u00f6rige Domain zu signieren. Der Schl\u00fcssel sollte also mit g\u00e4ngigen Methoden (Zugriffsbeschr\u00e4nkungen durch das Betriebssystem, Verschl\u00fcsselung der Datentr\u00e4ger,..) abgesichert werden.<\/p>\n

3.2 Key rotation<\/h3>\n

Doch selbst bei aller Vorsicht ist es m\u00f6glich, dass ein privater Schl\u00fcssel kompromittiert wird, bspw. durch einen ehemaligen Mitarbeiter. Daher sollte man unbedingt die Schl\u00fcssel regelm\u00e4\u00dfig rotieren, sprich gegen ein neues Schl\u00fcsselpaar austauschen. Mindestens jedes Jahr, besser jedes Quartal oder monatlich. Insbesondere bei k\u00fcrzeren Intervallen wird klar, dass der Schl\u00fcsseltausch automatisiert werden sollte, bspw. \u00fcber entsprechende Scripte und passende cronjobs. Details zum Ablauf eines Schl\u00fcsselaustauschs sind sehr gut im Dokument “M3AAWG DKIM Key Rotation Best Common Practices” \u00b2 beschrieben.<\/p>\n

Falls man im Auftrag f\u00fcr jemand anderes E-Mails versendet, zum Beispiel als E- Mail Service Provider sieht man sich beim Schl\u00fcsseltausch besonderen Herausforderungen gegen\u00fcber, da ein neuer \u00f6ffentlicher Schl\u00fcssel im DNS publiziert werden muss und \u00c4nderungen \u00fcblicherweise durch den Domainbesitzer und damit den Kunden durchgef\u00fchrt werden m\u00fcssen. L\u00f6sungen zu diesem Problem sind in unserem Dokument “DKIM leicht gemacht”\u00b3 zu finden.<\/p>\n

\u00b2 https:\/\/www.m3aawg.org\/sites\/default\/files\/document\/M3AAWG_DKIM_Key_Rotation_BP- 2013-12.pdf<\/a><\/p>\n

\u00b3 https:\/\/certified-senders.org\/wp-content\/uploads\/2017\/05\/CSA_DKIM_leicht_gemacht .pdf<\/a><\/p>\n

 <\/p>\n

Autor: Alexander Zeh<\/p>\n

Certified Senders Alliance<\/p>\n

 <\/p>\n","protected":false},"author":17,"featured_media":6022,"template":"","categories":[131],"tags":[77],"yoast_head":"\nDKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update - Certified Senders Alliance<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update - Certified Senders Alliance\" \/>\n<meta property=\"og:description\" content=\"1. Problemstellung DKIM ist eine weit verbreitete Methode, um E-Mails authentifizieren zu k\u00f6nnen. Doch wenn DKIM nicht richtig eingesetzt wird, ist es nicht wirkungsvoll und […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/\" \/>\n<meta property=\"og:site_name\" content=\"Certified Senders Alliance\" \/>\n<meta property=\"article:modified_time\" content=\"2020-11-13T10:38:20+00:00\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data1\" content=\"3\u00a0Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebPage\",\"@id\":\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/\",\"url\":\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/\",\"name\":\"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update - Certified Senders Alliance\",\"isPartOf\":{\"@id\":\"https:\/\/certified-senders.org\/de\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/certified-senders.org\/wp-content\/uploads\/2020\/11\/Mann-mit-Shield_1.svg\",\"datePublished\":\"2018-06-08T15:40:21+00:00\",\"dateModified\":\"2020-11-13T10:38:20+00:00\",\"breadcrumb\":{\"@id\":\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#breadcrumb\"},\"inLanguage\":\"de\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"de\",\"@id\":\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#primaryimage\",\"url\":\"https:\/\/certified-senders.org\/wp-content\/uploads\/2020\/11\/Mann-mit-Shield_1.svg\",\"contentUrl\":\"https:\/\/certified-senders.org\/wp-content\/uploads\/2020\/11\/Mann-mit-Shield_1.svg\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/certified-senders.org\/de\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/certified-senders.org\/de\/#website\",\"url\":\"https:\/\/certified-senders.org\/de\/\",\"name\":\"Certified Senders Alliance\",\"description\":\"Certified Senders Alliance\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/certified-senders.org\/de\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update - Certified Senders Alliance","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/","og_locale":"de_DE","og_type":"article","og_title":"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update - Certified Senders Alliance","og_description":"1. Problemstellung DKIM ist eine weit verbreitete Methode, um E-Mails authentifizieren zu k\u00f6nnen. Doch wenn DKIM nicht richtig eingesetzt wird, ist es nicht wirkungsvoll und […]","og_url":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/","og_site_name":"Certified Senders Alliance","article_modified_time":"2020-11-13T10:38:20+00:00","twitter_card":"summary_large_image","twitter_misc":{"Gesch\u00e4tzte Lesezeit":"3\u00a0Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebPage","@id":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/","url":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/","name":"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update - Certified Senders Alliance","isPartOf":{"@id":"https:\/\/certified-senders.org\/de\/#website"},"primaryImageOfPage":{"@id":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#primaryimage"},"image":{"@id":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#primaryimage"},"thumbnailUrl":"https:\/\/certified-senders.org\/wp-content\/uploads\/2020\/11\/Mann-mit-Shield_1.svg","datePublished":"2018-06-08T15:40:21+00:00","dateModified":"2020-11-13T10:38:20+00:00","breadcrumb":{"@id":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#breadcrumb"},"inLanguage":"de","potentialAction":[{"@type":"ReadAction","target":["https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/"]}]},{"@type":"ImageObject","inLanguage":"de","@id":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#primaryimage","url":"https:\/\/certified-senders.org\/wp-content\/uploads\/2020\/11\/Mann-mit-Shield_1.svg","contentUrl":"https:\/\/certified-senders.org\/wp-content\/uploads\/2020\/11\/Mann-mit-Shield_1.svg"},{"@type":"BreadcrumbList","@id":"https:\/\/certified-senders.org\/de\/blog\/dkim-empfehlungen-2018-mit-beruecksichtigung-des-dkim-crypto-update\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/certified-senders.org\/de\/"},{"@type":"ListItem","position":2,"name":"DKIM Empfehlungen 2018 mit Ber\u00fccksichtigung des DKIM Crypto Update"}]},{"@type":"WebSite","@id":"https:\/\/certified-senders.org\/de\/#website","url":"https:\/\/certified-senders.org\/de\/","name":"Certified Senders Alliance","description":"Certified Senders Alliance","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/certified-senders.org\/de\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de"}]}},"_links":{"self":[{"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/news\/5831"}],"collection":[{"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/news"}],"about":[{"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/types\/fti_news"}],"author":[{"embeddable":true,"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/users\/17"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/media\/6022"}],"wp:attachment":[{"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/media?parent=5831"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/categories?post=5831"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/certified-senders.org\/de\/wp-json\/wp\/v2\/tags?post=5831"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}