FAQ
Anzeige
Horizontal (Auto)
← Zurück zum Checker

Was ist DKIM? Schlüsselpaar, Selektor und Einrichtung erklärt

DKIM (DomainKeys Identified Mail) ist wie ein fälschungssicheres, digitales Siegel für deine E-Mails. Es beweist dem Empfänger, dass die E-Mail wirklich von deiner Domain stammt und auf dem Transportweg nicht verändert wurde – und ist damit eine der wichtigsten Säulen der DMARC-Absicherung.

Warum reicht SPF allein nicht aus?

SPF prüft nur, ob die IP-Adresse des sendenden Servers autorisiert ist. Das klingt gut – hat aber einen entscheidenden Schwachpunkt: E-Mail-Weiterleitungen.

Wenn eine legitime E-Mail weitergeleitet wird (z. B. von einer Uni-Adresse zu Gmail), ändert sich die sendende IP-Adresse. SPF schlägt dann fehl, obwohl die E-Mail ursprünglich legitim war. Gmail oder Outlook könnten die weitergeleitete E-Mail fälschlicherweise als Spam markieren oder blockieren.

DKIM löst dieses Problem: Die kryptografische Signatur ist an den Inhalt der E-Mail gebunden, nicht an die sendende IP-Adresse. Bei Weiterleitungen bleibt die Signatur daher gültig – solange der Inhalt unverändert bleibt.

Anzeige
Large Rectangle (336x280)

Wie funktioniert DKIM? Das Schlüsselpaar erklärt

DKIM basiert auf asymmetrischer Kryptografie (Public-Key-Verfahren). Es gibt zwei zusammengehörige Schlüssel: einen privaten und einen öffentlichen.

1. Der private Schlüssel (Private Key) – geheim

Liegt auf deinem Mailserver (oder beim E-Mail-Dienst wie Google Workspace). Er wird genutzt, um einen mathematischen “Fingerabdruck” (Hash) aus dem E-Mail-Inhalt und wichtigen Kopfzeilen zu berechnen. Dieser Hash wird als DKIM-Signatur an die E-Mail angehängt – in einem speziellen DKIM-Signature-Header.

2. Der öffentliche Schlüssel (Public Key) – öffentlich im DNS

Du veröffentlichst diesen Schlüssel als TXT-Record in deinen DNS-Einstellungen. Jeder Empfänger kann ihn abrufen. Mit diesem Schlüssel kann der empfangende Mailserver die DKIM-Signatur rechnerisch überprüfen – und damit beweisen, dass die E-Mail von dir kommt und unverändert ist.

Der Ablauf in drei Schritten

  1. Signieren (beim Senden): Dein Mailserver berechnet einen Hash aus E-Mail-Inhalt und Headern, verschlüsselt ihn mit dem privaten Schlüssel und fügt die Signatur als DKIM-Signature-Header ein.
  2. Übertragen: Die E-Mail wird mit der Signatur wie gewohnt versandt. Der Empfänger-Server sieht die Signatur in den E-Mail-Headern.
  3. Verifizieren (beim Empfang): Der Empfänger-Server (z. B. Gmail) liest die Signatur, fragt den öffentlichen Schlüssel aus dem DNS der Absender-Domain ab und berechnet nach. Stimmt das Ergebnis überein, ist die E-Mail authentisch und unverändert.

Was ist ein DKIM-Selektor?

Der Selektor ist ein frei wählbarer Name, unter dem dein öffentlicher DKIM-Schlüssel im DNS gespeichert ist. Die vollständige DNS-Adresse des DKIM-Records setzt sich zusammen aus:

{selektor}._domainkey.{deinedomain}.de

Beispiel: Wenn dein Selektor google heißt und deine Domain beispiel.de ist, lautet der DNS-Eintrag:

google._domainkey.beispiel.de

Wozu mehrere Selektoren? Jeder E-Mail-Dienst (Google Workspace, Microsoft 365, Mailchimp) nutzt einen eigenen Selektor. So kannst du für verschiedene Dienste separate Schlüsselpaare verwalten – wenn ein Schlüssel kompromittiert wird, müssen nicht alle Dienste neu konfiguriert werden. Typische Selektoren sind selector1, selector2, google, k1 oder benutzerdefinierte Namen.

Anzeige
Medium Rectangle (300x250)

DKIM-Record: So sieht er aus

Ein DKIM-TXT-Record enthält den öffentlichen Schlüssel und sieht beispielsweise so aus:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC...
  • v=DKIM1: Version (immer DKIM1)
  • k=rsa: Algorithmus (RSA oder ed25519)
  • p=...: Der öffentliche Schlüssel als Base64-codierter String

DKIM einrichten: Schritt für Schritt

Google Workspace

  1. Öffne die Google Admin-Konsole unter admin.google.com.
  2. Navigiere zu Apps → Google Workspace → Gmail → E-Mail-Authentifizierung.
  3. Wähle deine Domain aus und klicke auf “DKIM-Schlüssel generieren”. Google schlägt Schlüssellänge (2048 Bit empfohlen) und Selektor (z. B. google) vor.
  4. Kopiere den angezeigten TXT-Record und lege ihn in den DNS-Einstellungen deiner Domain an.
  5. Warte auf DNS-Propagation (einige Minuten bis Stunden).
  6. Kehre zur Admin-Konsole zurück und klicke auf “Authentifizierung starten”.

Microsoft 365

  1. Öffne das Microsoft 365 Admin Center und navigiere zu Security → Email & collaboration → Policies & rules → Threat policies → Email authentication settings.
  2. Wähle DKIM und dann deine Domain aus.
  3. Klicke auf “Enable”. Microsoft zeigt dir zwei CNAME-Records an (für Schlüssel-Rotation).
  4. Lege beide CNAME-Records bei deinem DNS-Anbieter an:
    selector1._domainkey.deinedomain.de CNAME selector1-deinedomain-de._domainkey.microsoft.com
    selector2._domainkey.deinedomain.de CNAME selector2-deinedomain-de._domainkey.microsoft.com
  5. Aktiviere DKIM anschließend über den “Enable”-Schalter im Admin Center.

IONOS und Strato

Bei IONOS und Strato wird DKIM für das mitgelieferte Postfach meist automatisch aktiviert. Prüfe dies in deinen Postfach-Einstellungen oder nutze unseren DMARC-Checker, um zu sehen, ob ein DKIM-Record für deine Domain vorhanden ist.

Typische DKIM-Fehler

  • DKIM generiert, aber nicht im DNS eingetragen: Viele Admins generieren den Schlüssel, vergessen aber, den TXT-Record im DNS anzulegen. Prüfe nach der Einrichtung immer mit einem Checker.
  • Falscher Selektor: Wenn der Selektor im DNS-Record nicht mit dem im E-Mail-Header übereinstimmt, schlägt die Verifikation fehl.
  • E-Mail-Inhalt wird nach Signierung geändert: Manche Weiterleitungssysteme fügen Footer hinzu oder ändern den Zeichensatz. Das bricht die DKIM-Signatur. Bei DKIM über c=relaxed/relaxed (Canonicalization) wird das toleranter gehandhabt.
DKIM deiner Domain prüfenUnser DMARC-Checker prüft, ob DKIM für deine Domain korrekt konfiguriert ist – direkt am autoritativen Nameserver, ohne Cache-Probleme.

Weiterführende Artikel

Anzeige
Leaderboard (728x90)
Anzeige
Horizontal (Auto)