Kann man DKIM selber bei Mails Prüfen?
Ich verstehe, dass DKIM eine vom sendenden Server signierte Signatur von E-Mails ist (bzw das system dahinter)
Aber ich verstehe nicht, wie ich das manuell machen könnte?
Wie würde ich:
1) Den öffentlichen Schlüssel für den sendenden Server im DNS abrufen?
2) Wo würde ich die Signatur in den E-Mail-Headern sehen?
2.1) Da die E-Mail normalerweise mehrere Server passiert – fügt jeder von ihnen die Signatur hinzu und überprüft sie?
LG, P
1 Antwort
DNS ist ein K/V-Store, ich muß also eine Anfrage an den korrekten Server mit dem richtigen Suchschlüssel und RR-Typ stellen.
Der DKIM-Standard erklärt das im Detail, im Endeffekt läuft es darauf hinaus, daß Du den Key selector._domainkey.domain vom Typ TXT abfragst (domain und selector sind Teil des E-Mail-Headers). Die Antwort sieht ähnlich einem DKIM-Header aus, also einer Liste von K/V-Paaren, p= ist dann der öffentliche Schlüssel.
Die Signaturen sind Teil des DKIM Headers, der DKIM ist selbst als Liste von K/V-Paaren aufgebaut, bh ist der Body Hash, b die eigentliche Signatur.
Wenn eine Mail bei einem MTA eingeht, kann der MTA entscheiden, ob er eine DKIM-Prüfung macht. Er würde dann den DKIM Header lesen und sieht, daß der DKIM Header die Mailheader X,Y,Z schützt sowie den Body. Anschließend holt er sich aus dem DNS den öffentlichen Schlüssel, hasht Header und Body une prüft die Signatur.
Ein Resigning muß dann stattfinden, wenn einer der geschützten Teile verändert wird.