Willkommen im User-Forum von mailbox.org
 

DKIM Key Rotation - bei mailbox.org aktuell/generell nicht vorhanden, oder?

Den hat dies geteilt, 4 Monaten her
unbeantwortet

Hi Zusammen,

ich hatte mir die Tage noch einmal den ganzen Themenpart E-Mail mit eigener Domain unter mailbox.org angeschaut und dabei festgestellt, dass (wohl auch auf Grund der Historie) es bei mailbox.org anscheinend keine DKIM Key Rotation gibt.

Kann das sein, dass das wirklich so ist?

Ganz früher wurden die DKIM-Keys ja "manuell" von mailbox.org an die User vergeben. Danach kam der TXT Record für fixe DKIM-Keys und dann irgendwann die logische Umstellung auf CNAME Einträge für DKIM-Keys.

Doch ist es evtl. genau noch dieses "Überbleibsel" die Keys via TXT Record setzen zu können, was mailbox.org daran hindert die Keys zu rotieren?

Oder habe ich das alles falsch verstanden bzw. evtl. übersehen?

DKIM Key-Rotation wird ja durchaus empfohlen (max. 6 Monate liest man oft) und gehört zu den "Best Practices".


Viele Grüße

Antworten (1)

Foto
1

Weiß hier niemand Rat? An sich ist doch mailbox.org bekannt für seine hohe Qualität gerade auf den Ebenen der Sicherheit und Perfektion im Bereich E-Mails und Absicherung derer.

Da sollte dem Thema DKIM doch auch eine gewisse Präferenz zugeordnet sein/werden, oder?

Foto
1

Der Dkim-schlüssel von den regulären mailbox.org-Adressen scheint ebenso seit längerer Zeit nicht erneuert worden zu sein. Also gibt es keinen Unterschied zu dem Dkim-schlüssel der bei der eigenen Domain verwendet wird.

Vermutlich wird mailbox.org das Sicherheitsrisiko oder besser gesagt den Sicherheitsgewinn durch regelmäßige Erneuerung des Dkim-Schlüssels als zu gering bewerten was das Kosten-Nutzen-Verhältnis anbelangt. Da es dabei nicht um Verschlüsselung sondern um Absenderverifizierung geht, halte ich das nicht für zwingende notwendig. Vermutlich ist ein Wechsel der Dkim-Schlüssel nicht anders zu bewerten wie der regelmäßige Wechsel von Passwörtern. Gut gemacht ein geringer Sicherheitsgewinn, schlecht gemacht (Zettel klebt am Bildschirm, einfache Passwörter, etc.) ist ein Passwortwechsel sogar schädlich. Und ja, das ist eher bildlich gesprochen, als direkt vergleichbar.

Vermutlich ist es auch die Summe der Sicherheitsmechanismen (DANE, DNSSEC, etc.) und nicht ein einzelnes Merkmal, was ausschlaggebend ist.

Sicherheit ist übrigens nur eines der Hauptthemen bei mailbox.org. Auch Privatsphäre ist ein zentrales Anliegen von mailbox.org. In allen Bereichen Vorreiter zu sein, geht vermutlich nicht .... zumindest nicht bei der großen Nutzerzahl. Ein kleinerer Anbieter hat es da sicher einfacher.

Foto
1

Nachtrag: mailbox.org hat bei der eigenen Domain ja mehrere DKIM-Einträge, ich glaube vier sind es. Das ist - wenn ich mich richtig erinnere - deswegen so gemacht, dass im Falle des Falles (z.B. Einbruch in das System, oder Sicherheitslücken im Algorithmus) der verwendete Schlüssel direkt geändert werden kann.

Foto
1

Danke Dir für Dein Feedback.


Wenn man auf div. Seiten schaut, wird überall die DKIM Key Rotation empfohlen oder als Best Practice angesehen. Und das sogar schon etwas länger.


https://www.m3aawg.org/sites/default/files/m3aawg-dkim-key-rotation-bp-2019-03.pdf

https://easydmarc.com/blog/what-is-dkim-key-rotation/

https://powerdmarc.com/de/dkim-key-rotation-explained/

Das die Empfehlung existiert muss ja auch einen Hintergrund haben. Auch unabhängig von den anderen Mechanismen die angewandt werden, oder liege ich da falsch?


Freue mich auf noch weiteres Feedback bzw. Beteiligung in der Sache.

Schön, dass man sich zu so Themen hier im Forum auch austauschen kann.

Foto
2

Der Grund für die 4 DKIM-Keys ist wohl eher, dass es 2 RSA und 2 ED25519 Keys gibt. Mit Kompromittierung hat das (meines Erachtens) wenig zu tun.

Es gab hier schon mal den Vorschlag, alte DKIM-Keys nach einer gewissen Zeit zu veröffentlichen (also die Private Keys). Das dient der Abstreitbarkeit von (unsignierten) Mails. Finde den Thread aber gerade nicht mehr.

Foto
Hinterlassen Sie einen Kommentar
 
Dateianlage anfügen