Entwickler hoffen auf Verbreitung des Anti-Spam-Protokolls DKIM

Trotz einiger noch anstehender Arbeiten sei die Basisspezifikation stabil, versichert Cisco-Ingenieur Jim Fenton, einer der Autoren von Domain Keys Identified E-Mail, am Rande der IETF in Philadelphia.

In Pocket speichern vorlesen Druckansicht 214 Kommentare lesen
Lesezeit: 3 Min.
Von
  • Monika Ermert

Die Entwickler des Standards Domain Keys Identified E-Mail (DKIM) bei der Internet Engineering Task Force (IETF) hoffen auf eine weitere Verbreitung des Anti-Spam-Protokolls bei Unternehmen und Providern. Trotz der noch anstehenden Arbeiten, etwa an der "Author sending practice" (ASP), sei die Basisspezifikation stabil, versichert Cisco-Ingenieur Jim Fenton, einer der DKIM-Autoren, am Rande der IETF in Philadelphia. Neben Cisco setzt etwa Google DKIM für seine Gmail-Konten ein. Yahoo verwendet das Protokoll eingeschränkt.

Das Protokoll sieht eine einfache Signierung ausgehender E-Mails mit einem für die jeweilige Domain gültigen Schlüssel vor, der vom Empfänger über die Domain abgefragt und dann in der eingehenden E-Mail abgeglichen werden kann. Cisco selbst setzt DKIM intern für eigene E-Mails ein. Der von Cisco gekaufte Mailprovider IronPort versucht, den Kunden die Signierung schmackhaft zu machen.

In Deutschland gehört der E-Mail-Provider Taununsstein.net zu den Pionieren. "Alle von Taunusstein.net versendeten Mails werden mit DKIM signiert, sodass die Mailempfänger prüfen können, ob die betreffende Mail tatsächlich von Taunusstein.net kommt", erläutert Christian Felsing von Taunusstein.net gegenüber heise online. Auch eingehende Mails, die an den Provider gesandt werden, werden auf eine DKIM-Signatur überprüft. "Ist die Signatur in Ordnung, dann wird das nur als einer von vielen Kriterien für Spamfilter benutzt."

Die Implementierung sei nicht schwierig gewesen, so Felsing. Allerdings seien aktuelle Versionen von Mail Transfers Agents (MTA) notwendig, etwa EXIM 469. Bei manchen Linux-Distributionen seien die aktuell noch nicht in den "Stable Tree" aufgenommen. Trotzdem sei die Einführung bei Taunusstein recht problemlos gewesen.

"Problematisch ist natürlich die noch geringe Verbreitung und der systembedingte Rechenaufwand für die kryptografische Prüfung bei sehr hohem Verkehrsaufkommen", urteilt David Elze, der für seine Domain Datenschrott.de und weitere 18 betreute Domains ebenfalls DKIM eingeführt hat. Aktuell sind laut Elze rund ein Prozent der eingehenden Emails DKIM-signiert.

Bei der österreichischen Nic.at werden seit Ende Februar erst einmal alle ausgehenden automatisierten, administrativen E-Mails signiert. Wer eine E-Mail über das Anlegen oder Löschen einer Domain von der österreichischen Länderregistry bekommt, kann also prüfen, ob die Signatur stimmt. Für die normalen Office-Mails soll die Signierung später folgen.

Ebenso wie beim Vorgänger SPF reagieren Spammer rasch auf Gegenmittel, räumt Felsing ein. So besorgten sie sich etwa einfach die nötige Zahl Domains und hinterlegen DKIM-Signaturen oder SPF-Records. Die Möglichkeit, Domains kurzzeitig und kostenlos zu registrieren (Domain Tasting), mache es Spammern leicht, "Domains für drei Tage zu belegen, zu 'verbrennen' und ihren Müll in die Welt zu verteilen", sagt Felsing. Diese Vergabepraxis seht allerdings aktuell bei der Internet Corporation for Assigned Names and Numbers (ICANN) unter Beschuss. (Monika Ermert) / (anw)