DKIM (DomainKeys Identified Mail)
Eine kryptografische Signatur, die beweist, dass eine E-Mail unterwegs nicht verändert wurde und wirklich von der Domain stammt.
DomainKeys Identified Mail (DKIM, definiert in RFC 6376) signiert ausgehende E-Mails kryptografisch. Der sendende Server erzeugt mit einem privaten Schlüssel eine Signatur über Teile der Nachricht und fügt sie in den Mail-Header ein.
Der öffentliche Schlüssel liegt als DNS-Record unter einem Selector, zum Beispiel selector1._domainkey.ihre-domain.de. Der empfangende Server holt diesen Schlüssel und prüft die Signatur. Stimmt sie, ist sicher, dass die Mail unterwegs nicht manipuliert wurde und tatsächlich von der signierenden Domain autorisiert ist.
DKIM hat einen Vorteil gegenüber SPF: Die Signatur überlebt in vielen Faellen eine Weiterleitung, während SPF dabei bricht (weil sich die sendende IP ändert).
Empfohlen sind RSA-Schlüssel mit mindestens 2048 Bit. Aeltere 1024-Bit-Schlüssel gelten als Mindeststandard, 512 Bit werden von vielen Empfängern abgewiesen.