DKIM-Einstellungen

Einstellungen zur DKIM-Signatur

Signaturen verfallen nach [xx] Tagen (Tag x=, 7 Tage werden empfohlen)

Sollen DKIM-Signaturen nur während einer bestimmten Frist als gültig betrachtet werden können, so muss diese Option aktiv sein. Die Dauer in Tagen, für welche die Signatur gültig sein soll, muss angegeben werden. Die Prüfung von Nachrichten mit verfallenen Signaturen schlägt immer fehl. Diese Option steuert den Tag "x=" der Signatur. Die voreingestellte Gültigkeit beträgt sieben Tage.

Signaturen enthalten Zeitstempel für den Erstellungszeitpunkt (Tag t= einschließen)

Diese Option bewirkt, dass der Zeitstempel für die Erstellungszeit der Signatur (Tag "t=") in die Signatur aufgenommen wird. Die Option ist per Voreinstellung aktiv.

Signaturen enthalten die Abfragemethode(n) (Tag q= einbeziehen)

Diese Option bewirkt, dass der Tag Abfragemethode ("query method“) in die DKIM-Signaturen aufgenommen wird (z.B. q=dns).

Signaturen enthalten die Länge des Nachrichtentexts (Tag l= einbeziehen)

Diese Option bewirkt dass die Länge des Nachrichtentexts durch den Tag Nachrichtenlänge ("body length count“) in die DKIM-Signaturen aufgenommen wird.

Signaturen enthalten den Inhalt der Ursprungs-Kopfzeilen (Tag z= einbeziehen)

Diese Option bewirkt, dass der Tag "z=" in die DKIM-Signaturen aufgenommen wird. Dieser Tag enthält eine Kopie der ursprünglichen Kopfzeilen der Nachricht; er kann daher die Signaturen beträchtlich vergrößern.

Signaturen enthalten Berichtsanforderung (Tag r=y einbeziehen)

Diese Option bewirkt, dass der Tag "r=y" in die DKIM-Signaturen aufgenommen wird. Server, die einen solchen Tag befolgen, erkennen daraus, dass der Absender einen AFRF-Fehlerbericht (Fehlerbericht über fehlgeschlagene Echtheitsbestätigung) erhalten will, falls Nachrichten geprüft werden, die zwar angeblich aus der in ihnen bezeichneten Domäne stammen, bei denen aber die DKIM-Prüfung fehlschlägt. Damit Sie diese Fehlerberichte erhalten können, müssen Sie den DNS-Einträgen der betreffenden Domäne entweder einen TXT-Eintrag mit den DKIM-Berichtsinformationen hinzufügen. Nähere Informationen hierzu finden Sie im RFC 6651, Extensions to DomainKeys Identified Mail (DKIM) for Failure Reporting (Erweiterungen zur Fehlerberichterstattung für DomainKeys Identified Mail). Die diese Option erst nach Anpassung der DNS-Einträge genutzt werden kann, ist sie per Voreinstellung abgeschaltet.

Vereinheitlichung

Die Vereinheitlichung (englisch "Canonicalisation") ist ein Prozess, mit dessen Hilfe Kopfzeilen und Nachrichtentext einer Nachricht in ein bestimmtes "Standard-Format“ umgesetzt werden, bevor die DKIM-Signatur erstellt wird. Dies ist erforderlich, da manche E-Mail-Server und –Relais während Verarbeitung und Transport der Nachrichten Veränderungen an ihnen vornehmen, die zwar unbedeutend sind, die Signatur der Nachrichten aber dennoch kompromittieren können. Es stehen derzeit zwei Methoden für die Vereinheitlichung im Zusammenhang mit DKIM-Signaturen zur Verfügung – einfach ("simple“) und tolerant ("relaxed“). Die einfache Methode ist die strengste; sie lässt fast keine Veränderungen an den Nachrichten zu. Die tolerante Methode lässt verschiedene unbedeutende Änderungen zu.

Kopfzeilen vereinheitlichen nach Methode einfach ("simple"), tolerant ("relaxed")

Hier wird die Methode zur Vereinheitlichung ausgewählt, die bei Erstellung der Signatur auf die Kopfzeilen der Nachricht angewendet wird. Die einfache Methode gestattet keine Änderungen an den Kopfzeilen. Die tolerante Methode gestattet die Umsetzung der Namen der Kopfzeilen in Kleinschreibung, die Zusammenfassung mehrere aufeinander folgender Leerzeichen zu einem und andere unwesentliche Änderungen. Sie gestattet keine Änderungen an den Inhalten der Kopfzeilen. Per Voreinstellung ist die einfache Methode aktiv.

Nachrichtentext vereinheitlichen nach Methode einfach ("simple"), tolerant ("relaxed")

Hier wird die Methode zur Vereinfachung ausgewählt, die bei Erstellung der Signatur auf den Nachrichtentext angewendet wird. Die einfache Methode ignoriert Leerzeilen am Ende des Nachrichtentexts, andere Änderungen sind nicht zugelassen. Die tolerante Methode gestattet Leerzeilen am Ende des Nachrichtentexts, ignoriert Leerzeichen am Beginn der Zeilen, fasst mehrere aufeinander folgende Leerzeichen zu einem einzelnen Leerzeichen zusammen und gestattet andere unwesentliche Änderungen. Per Voreinstellung ist die einfache Methode aktiv.

Einstellungen zur DKIM-Prüfung

Prüfroutine wertet die Länge des Nachrichtentextes aus (Tag l=)

Ist diese Option aktiv, so beachtet MDaemon die Länge des Nachrichtentexts, wenn sie in den DKIM-Signaturen eingehender Nachrichten enthalten ist. Überschreitet die Nachrichtenlänge den Wert, der in dem entsprechenden Tag angegeben ist, so prüft MDaemon nur den Anteil, der der Länge aus der Signatur entspricht, der Rest der Nachricht wird nicht geprüft. Eine solche Veränderung der Nachrichtengröße und der nicht geprüfte Teil der Nachricht erscheinen verdächtig, da sie darauf hindeuten, dass der Nachricht etwas hinzugefügt wurde. Ist die tatsächliche Größe der Nachricht geringer als in dem entsprechenden Tag angegeben, so schlägt die Prüfung der Signatur fehl (es wird das Ergebnis "FAIL" gemeldet). Eine geringere Größe deutet darauf hin, dass Teile der Nachricht gelöscht wurden.

Prüfroutine verlangt, dass die Signaturen auch die Betreffzeile schützen

Diese Option bewirkt, dass von DKIM-Signaturen eingehender Nachrichten verlangt wird, dass sie auch die Betreffzeile schützen müssen.

Bei gültigen Signaturen auf der Liste zugelassener Domänen folgenden Wert zur Spam-Filter-Bewertung addieren

Der hier angegebene Wert wird der Bewertung des Spam-Filters einer mit DKIM signierten Nachricht nach dem Ergebnis "Pass" hinzugefügt, falls die aus der Signatur entnommene Domäne in der Liste zugelassener Domänen erfasst ist. Wird die Signatur einer Nachricht erfolgreich überprüft, und ist die Domäne aus der Signatur aber nicht in der Liste zugelassener Domänen erfasst, so wird die Bewertung des Spam-Filters nicht geändert. Die geprüfte Signatur hat dann zwar keine Auswirkung auf die Spam-Bewertung, die Nachricht durchläuft den Spam-Filter aber wie üblich und wird auch durch den Spam-Filter bewertet.

Hier sollte üblicherweise ein negativer Wert angegeben werden, sodass die Spam-Bewertung für Nachrichten verringert wird, wenn sie gültige kryptografische Signaturen enthalten und die Domäne aus der Signatur in der Liste zugelassener Domänen erfasst ist Die Voreinstellung für diesen Wert beträgt –0.5.

Siehe auch: