DomainKeys - SPF von Yahoo
Bei DomainKeys (auch: DomainKeys Identified Mail, DKIM) handelt es sich um einen Mechanismus von Yahoo, der einen über SPF hinausgehenden Schutz bietet. Dazu erzeugt der Betreiber eines MTA ein private/public Schlüsselpaar. Der öffentliche Teil des Schlüssels wird anschließend im DNS publiziert. Dadurch können empfangende Mail-Server den öffentlichen Schlüssel eines Servers mit DKIM leicht ermitteln.
Der versendende Server signiert nun ausgehende Mails mit seinem privaten Schlüssel. Die Signatur wird dazu einfach im Mail-Header untergebracht. Der empfangende Mail-Server verwendet nun seinerseits den öffentlichen Schlüssel, um anhand der Signatur des „From“-Headers zu entscheiden, ob der versendende Server für den Versand von Mails für die „From“-Domain autorisiert ist. Damit ist in etwa das Gleiche sichergestellt wie mit dem SPF: Der Versand von Mails mit falschen Absenderadressen ist nur noch an Server möglich, die DomainKeys nicht überprüfen – oder dann, wenn die zugehörige Domain keine DomainKeys publiziert hat.
Darüber hinaus bietet DomainKeys aber noch einen weiteren Schutz. Mit dem Verfahren wird nämlich nicht nur der From-Header der Mail signiert, sondern auch der komplette Körper der Mail. Dadurch kann der empfangende Mail-Server sicherstellen, dass der Inhalt der Mail im Verlaufe des Transports nicht verändert wurde.