DKIM-Check in Thunderbird   Vor kurzem aktualisiert!

Dieser Eintrag wurde veröffentlicht unter Anleitungen Sicherheit Thunderbird und verschlagwortet mit DKIM DNS E-Mail Sicherheit Thunderbird am von

Mehr Sicherheit und Transparenz im Posteingang

Mozilla Thunderbird Logo
Jon Hicks, MZLA Technologies Corporation – SVG on thunderbird.net

E-Mail-Sicherheit ist heute wichtiger denn je. Während Begriffe wie DKIM, SPF und DMARC oft nach komplizierter Server-Technik klingen, können sie direkt in Ihrem Thunderbird für deutlich mehr Vertrauen sorgen.

In diesem Beitrag geht es darum, was DKIM eigentlich ist, wie man es in Thunderbird nutzen kann und warum der „grüne Haken“ manchmal trügerisch sein kann.

Was ist eigentlich DKIM?

DKIM (DomainKeys Identified Mail) ist wie ein digitales Siegel auf einem Briefumschlag. Der Absender versieht die E-Mail mit einer kryptografischen Signatur. Das Mail-Programm (oder der Server) prüft mithilfe eines öffentlichen Schlüssels im DNS der Absender-Domain, ob dieses Siegel unbeschädigt ist.

  • Das Ziel: Sicherstellen, dass die Mail wirklich von der angegebenen Domain stammt und auf dem Weg nicht manipuliert wurde.

Das „DKIM Verifier“ Plugin

Standardmäßig zeigt Thunderbird den DKIM-Status in stabilen Versionen nicht direkt an. Das Add-on DKIM Verifier füllt diese Lücke. Es liest die Header der E-Mail aus und führt eine eigenständige Prüfung durch.

So installiert man das Plugin:

  1. Thunderbird öffnen und auf das Menü-Symbol (drei Striche) klicken oben rechts.
  2. Add-ons und Themes wählen.
  3. Im Suchfeld oben nach „DKIM Verifier“ suchen.
  4. Dann auf zu Thunderbird hinzufügen klicken.
  5. Nach der Installation erscheint bei eingehenden Mails ein neues Symbol (oft ein grüner Haken oder ein Schloss) im Kopfzeilenbereich der Nachricht.

Vor- und Nachteile der Integration

Bevor man das Tool installiert, sollte man Vor- und Nachteile abwägen:

VorteilNachteil
Schutz vor Spoofing: Man sieht sofort, ob eine Bank-Mail echt ist.Fehlalarme: Veralteter DNS-Cache kann gültige Mails als „ungültig“ markieren.
Server-Unabhängigkeit: Das Plugin prüft auch, wenn der Provider es nicht tut.Performance: Minimale Verzögerung beim Laden durch DNS-Abfragen möglich.
Forensik: Detaillierte Fehlermeldungen bei Manipulationen (z. B. „Body hash mismatch“).Komplexität: Klassische Weiterleitungen (Forwarding) brechen oft die Signatur.

Fazit: Das Plugin ist ein geeignetes Expertensystem. Es schafft Transparenz, erfordert aber ein wenig technisches Verständnis, wenn mal eine Warnung erscheint.

Wenn der Haken rot bleibt: Fehlersuche in Thunderbird

Erscheint eine Warnung, liegt das nicht immer an bösartigen Mails, sondern kann auch an lokalen Faktoren hängen:

  • Der DNS-Cache: Das Plugin speichert Schlüssel lokal. Wurde der Schlüssel beim Absender aktualisiert, schlägt die Prüfung fehl. Lösung: In den Optionen nach DKIM Schlüssel aktualisieren suchen und aktivieren.
  • Virenscanner: Manche lokalen Antiviren-Programme fügen „Geprüft“-Hinweise in den Mail-Text ein. Das verändert den Inhalt und macht die Signatur ungültig (Body-Hash-Fehler).
  • Andere Add-ons: Tools, die HTML umformatieren oder Tracker entfernen, können ebenfalls die Signatur korrumpieren.

Jenseits des Plugins: Weitere Verifizierungsmethoden

Es gibt noch andere Wege, um die Authentizität einer Mail (DKIM, SPF, DMARC) zu prüfen:

Der Blick in den Quelltext (STRG +U)

In Thunderbird kann man Strg + U tippen, um den Quelltext der aktuellen E-Mail zu öffnen. Im Quelltext kann man nach dem Header Authentication-Results suchen. Viele moderne Mailserver schreiben ihr Prüfergebnis direkt dort hinein. Steht dort dkim=pass, ist die Mail serverseitig bereits erfolgreich verifiziert worden.

Externe Analyse-Tools

Wenn Sie einer Anzeige nicht trauen, kopieren Sie den gesamten Quelltext und nutzen Sie spezialisierte Web-Dienste:

  • Mail-Tester.com: Ideal, um eigene Mails auf „Zustellbarkeit“ und korrekte DKIM/SPF-Konfiguration zu prüfen. Man schickt an die auf Mail-Tester.com angegebene Einmal-E-Mail-Adresse eine E-Mail und klickt dann auf Mail-Tester.com auf Ergebnis prüfen und bekommt eine Analyse der eigenen E-Mail.
  • dkim-check.de: Dort kann man DKIM Signaturen für verschiedene Domains prüfen.
  • G Suite Toolbox MessageHeader: Ein Tool von Google, das den gesamten Weg einer E-Mail und alle Sicherheits-Header visualisiert. Man kopiert die Header einer E-Mail in das Formularfeld und bekommt dann eine Analyse. Eine ähnliche Analyse ist mit viele LLM Modellen auch möglich, wenn man die Header mit dem Prompt „Ich habe folgende E-Mail bekommen erkläre mir warum ich die E-Mail bekommen habe und welchen Weg sie genommen hat“ beispielsweise bei ChatGPT oder Gemini eingibt.
  • DKIM Core Validator: Hilft dabei, die Syntax des öffentlichen DKIM-Schlüssels im DNS zu prüfen.

Zusammenfassend lässt sich sagen: Die DKIM-Prüfung in Thunderbird ist sehr praktisch zur Einordnung eine E-Mail und macht unsichtbare Aspekte der E-Mail-Sicherheit greifbar und schärft das Bewusstsein für die Echtheit von Nachrichten.