In Gesprächen mit den Security-Teams vieler unserer Enterprise-Kunden stoßen unsere Experten immer wieder auf ein oft übersehenes Detail: Einige Mail-Sicherheitslösungen aktivieren standardmäßig das DKIM „l=“-Tag (Length-Tag). Eine Option, die historisch sinnvoll erschien, heute aber erhebliche Sicherheitsrisiken birgt.
Was ist das „l=“-Tag und wofür war es ursprünglich gedacht?
DKIM (DomainKeys Identified Mail) ist ein bewährtes Verfahren, um sicherzustellen, dass E-Mails unterwegs nicht unbemerkt manipuliert werden. Der Empfänger prüft mithilfe eines öffentlichen Schlüssels, ob der Inhalt und bestimmte Header unverändert geblieben sind.
Das „l=“-Tag legt fest, bis zu welchem Byte des Nachrichtentexts die Signatur reicht – der Rest bleibt ungesichert. Ursprünglich war dies nützlich für Mailing-Listen oder Weiterleitungen, bei denen der Nachrichtenkörper verändert wird (z. B. durch angehängte Fußzeilen), sodass der Kern der Mail trotzdem als gültig erkannt wird.
Warum das „l=“-Tag ein Sicherheitsrisiko darstellt
Gleichzeitig eröffnet diese Mechanik erhebliche Angriffsflächen, etwa durch Phishing-Links oder unerwünschte Inhalte, ohne dass die DKIM-Prüfung anschlägt. Auch DMARC-Checks werden dadurch geschwächt, da die Signatur formal gültig bleibt. Zudem lassen sich Angriffe mittels Weiterleitung durchführen. Einige große E-Mail-Anbieter reagieren bereits mit entsprechenden Warnhinweisen oder Ablehnungen.
Besonders gefährlich: Manche Sicherheitslösungen aktivieren das „l=“-Tag standardmäßig, ohne dass dies den Anwendern bewusst ist. Kunden gehen oft davon aus, ihre E-Mails seien vollständig signiert und sicher.
Dies Problem ist alles andere als theoretisch: Audits durch unsere Experten zeigen, dass DKIM-Signaturen mit dem „l=“-Tag in einigen Organisationen immer noch verwendet werden. Sprich ihre E-Mails lassen sich manipulieren, ohne dass dies Auswirkungen auf die DKIM-Verifizierung hat.
Empfehlungen für den Empfang (Inboud)
Empfänger sollten Mails mit „l=“-Tags kritisch prüfen. Eine Möglichkeit ist, diese Nachrichten zunächst standardmäßig mittels der eigenen E-Mail Security Lösung in die Quarantäne zu verschieben oder die DKIM-Signatur zu ignorieren, sodass die Mail anderen Sicherheitsmechanismen wie SPF oder DMARC unterliegt.
Empfehlungen für den Versand (Outbound)
E-Mail-Versender sollten das „l=“-Tag vermeiden und stattdessen den gesamten Nachrichteninhalt signieren. Regelmäßige Rotation der DKIM-Schlüssel, unterschiedliche Selektoren für verschiedene Mail-Ströme und ggf. Ablaufzeiten für Signaturen erhöhen die Sicherheit zusätzlich.
