DKIM Key Rotation - bei mailbox.org aktuell/generell nicht vorhanden, oder?

Der Dkim-schlüssel von den regulären mailbox.org-Adressen scheint ebenso seit längerer Zeit nicht erneuert worden zu sein. Also gibt es keinen Unterschied zu dem Dkim-schlüssel der bei der eigenen Domain verwendet wird.

Vermutlich wird mailbox.org das Sicherheitsrisiko oder besser gesagt den Sicherheitsgewinn durch regelmäßige Erneuerung des Dkim-Schlüssels als zu gering bewerten was das Kosten-Nutzen-Verhältnis anbelangt. Da es dabei nicht um Verschlüsselung sondern um Absenderverifizierung geht, halte ich das nicht für zwingende notwendig. Vermutlich ist ein Wechsel der Dkim-Schlüssel nicht anders zu bewerten wie der regelmäßige Wechsel von Passwörtern. Gut gemacht ein geringer Sicherheitsgewinn, schlecht gemacht (Zettel klebt am Bildschirm, einfache Passwörter, etc.) ist ein Passwortwechsel sogar schädlich. Und ja, das ist eher bildlich gesprochen, als direkt vergleichbar.

Vermutlich ist es auch die Summe der Sicherheitsmechanismen (DANE, DNSSEC, etc.) und nicht ein einzelnes Merkmal, was ausschlaggebend ist.

Sicherheit ist übrigens nur eines der Hauptthemen bei mailbox.org. Auch Privatsphäre ist ein zentrales Anliegen von mailbox.org. In allen Bereichen Vorreiter zu sein, geht vermutlich nicht .... zumindest nicht bei der großen Nutzerzahl. Ein kleinerer Anbieter hat es da sicher einfacher.

Nachtrag: mailbox.org hat bei der eigenen Domain ja mehrere DKIM-Einträge, ich glaube vier sind es. Das ist - wenn ich mich richtig erinnere - deswegen so gemacht, dass im Falle des Falles (z.B. Einbruch in das System, oder Sicherheitslücken im Algorithmus) der verwendete Schlüssel direkt geändert werden kann.

Danke Dir für Dein Feedback.

Wenn man auf div. Seiten schaut, wird überall die DKIM Key Rotation empfohlen oder als Best Practice angesehen. Und das sogar schon etwas länger.

https://www.m3aawg.org/sites/default/files/m3aawg-dkim-key-rotation-bp-2019-03.pdf

https://easydmarc.com/blog/what-is-dkim-key-rotation/

https://powerdmarc.com/de/dkim-key-rotation-explained/

Das die Empfehlung existiert muss ja auch einen Hintergrund haben. Auch unabhängig von den anderen Mechanismen die angewandt werden, oder liege ich da falsch?

Freue mich auf noch weiteres Feedback bzw. Beteiligung in der Sache.

Schön, dass man sich zu so Themen hier im Forum auch austauschen kann.

Der Grund für die 4 DKIM-Keys ist wohl eher, dass es 2 RSA und 2 ED25519 Keys gibt. Mit Kompromittierung hat das (meines Erachtens) wenig zu tun.

Es gab hier schon mal den Vorschlag, alte DKIM-Keys nach einer gewissen Zeit zu veröffentlichen (also die Private Keys). Das dient der Abstreitbarkeit von (unsignierten) Mails. Finde den Thread aber gerade nicht mehr.