DKIM erklärt: Was es ist, wie es funktioniert und wie du es einrichtest

Jeden Tag laufen Milliarden von E-Mails durchs Internet. Ohne eine Möglichkeit zu verifizieren, dass eine Nachricht wirklich von der Domain stammt, die sie behauptet, können Angreifer die "From"-Adresse fälschen und vertrauenswürdige Marken imitieren. DKIM (DomainKeys Identified Mail) löst dieses Problem, indem es jeder ausgehenden E-Mail eine kryptografische Signatur anhängt. Empfangende Mailserver können so überprüfen, dass die Nachricht nicht manipuliert wurde und tatsächlich von deiner Domain stammt.

In diesem Guide erklären wir genau, wie DKIM funktioniert, gehen den Setup-Prozess Schritt für Schritt durch und zeigen die häufigsten Fehler, über die viele stolpern.

Was ist DKIM?#

DKIM ist ein E-Mail-Authentifizierungsstandard, der in RFC 6376 definiert ist. Er erlaubt einer sendenden Domain, Verantwortung für eine Nachricht zu übernehmen, indem sie diese mit einer digitalen Signatur signiert. Der empfangende Server kann dann den öffentlichen Schlüssel des Senders im DNS nachschlagen und die Signatur verifizieren.

Im Kern beantwortet DKIM eine Frage: Wurde diese E-Mail tatsächlich von der Domain in der Signatur gesendet, und wurde sie unterwegs verändert?

DKIM verhindert für sich allein weder Spam noch Phishing. Stattdessen liefert es einen Baustein, den andere Systeme — insbesondere DMARC — nutzen, um Richtlinienentscheidungen über nicht authentifizierte Mail zu treffen.

Wie DKIM funktioniert: Der Signaturprozess#

DKIM basiert auf Public-Key-Kryptografie. Das passiert, wenn eine E-Mail von einer DKIM-aktivierten Domain gesendet wird:

1. Schlüsselpaar-Generierung#

Der Domain-Inhaber generiert ein RSA- (oder Ed25519-) Schlüsselpaar:

• Privater Schlüssel: Sicher auf dem Mailserver gespeichert. Dieser Schlüssel signiert ausgehende Nachrichten.
• Öffentlicher Schlüssel: Als TXT-Record im DNS veröffentlicht. Empfangende Server nutzen ihn zur Verifikation der Signaturen.

2. Signierung der Nachricht#

Wenn eine E-Mail den sendenden Mailserver verlässt, führt das DKIM-Modul Folgendes aus:

• Kanonisiert Header und Body: DKIM normalisiert Whitespace und Zeilenumbrüche, damit kleine Formatierungsänderungen während des Transports die Signatur nicht zerstören. Die zwei Kanonisierungsmodi sind "simple" (strikt) und "relaxed" (toleranter gegenüber Whitespace-Änderungen).
• Hashed den Nachrichtenbody: Ein SHA-256-Hash des kanonisierten Bodys wird berechnet. Dieser Hash wird im bh=-Tag (Body Hash) des Signatur-Headers abgelegt.
• Signiert ausgewählte Header: Das Modul wählt bestimmte Header aus, die in die Signatur einfließen (From, To, Subject, Date und weitere). Es berechnet einen Hash über diese kanonisierten Header plus den DKIM-Signature-Header selbst (ohne den b=-Wert) und verschlüsselt diesen Hash dann mit dem privaten Schlüssel.
• Fügt den DKIM-Signature-Header ein: Die resultierende Signatur wird zusammen mit Metadaten als DKIM-Signature-Header zur E-Mail hinzugefügt.

3. Signatur-Verifikation#

Wenn die E-Mail beim empfangenden Server ankommt:

• Der Server extrahiert den DKIM-Signature-Header.
• Er liest die Tags d= (Domain) und s= (Selektor), um zu bestimmen, wo der öffentliche Schlüssel zu finden ist.
• Er fragt einen TXT-Record unter {selector}._domainkey.{domain} per DNS ab.
• Er nutzt den öffentlichen Schlüssel, um die Signatur zu entschlüsseln, und vergleicht sie mit seinem eigenen Hash der Header und des Bodys.
• Stimmen die Hashes überein, besteht die DKIM-Prüfung. Andernfalls schlägt sie fehl.

Anatomie eines DKIM-Signature-Headers#

Hier ist ein Beispiel für einen DKIM-Signature-Header:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=example.com; s=google;
  h=from:to:subject:date:message-id;
  bh=2jUSOH9NhtVGCQWNr9BrIAPreKQjO6Sn7XIkfJVOzv8=;
  b=AuUoFEfDxTDkHlLXSZEpZj79LICEps6eda7W3deTVFOk...

Die wichtigsten Tags sind:

• v=1: DKIM-Version (immer 1).
• a=rsa-sha256: Der Signaturalgorithmus. RSA mit SHA-256 ist am gebräuchlichsten.
• c=relaxed/relaxed: Kanonisierungsmethode für Header/Body. "relaxed/relaxed" ist am tolerantesten und wird breit empfohlen.
• d=example.com: Die signierende Domain. Sie übernimmt die Verantwortung für die Nachricht.
• s=google: Der Selektor. Er sagt dem Verifier, welchen öffentlichen Schlüssel er nachschlagen soll.
• h=from:to:subject:date:message-id: Die Liste der Header, die in die Signatur einbezogen sind.
• bh=...: Der Base64-kodierte Hash des kanonisierten Bodys.
• b=...: Die Base64-kodierte Signatur selbst.

DKIM-Selektoren verstehen#

Ein Selektor ist ein Label, das auf einen bestimmten öffentlichen Schlüssel in deinem DNS verweist. Der vollständige DNS-Lookup-Pfad ist:

{selector}._domainkey.{domain}

Wenn deine Domain zum Beispiel example.com ist und dein Selektor google, fragt der empfangende Server folgendes ab:

google._domainkey.example.com

Warum gibt es Selektoren?#

Selektoren erlauben es einer Domain, mehrere DKIM-Schlüssel gleichzeitig zu haben. Das ist nützlich für:

• Schlüsselrotation: Du kannst einen neuen Schlüssel unter einem neuen Selektor veröffentlichen, deinen Mailserver auf das Signieren damit umstellen und dann den alten DNS-Record entfernen — alles ohne Lücke in der Authentifizierung.
• Mehrere Mail-Dienste: Wenn du E-Mails über Google Workspace, SendGrid und Mailchimp versendest, kann jeder Dienst seinen eigenen Selektor und sein eigenes Schlüsselpaar haben. Google nutzt vielleicht google, SendGrid s1 und Mailchimp k1.
• Tests: Du kannst einen Test-Schlüssel unter einem separaten Selektor ausrollen, bevor du den Produktiv-Traffic umstellst.

Häufige Selektor-Namen nach Provider#

Verschiedene E-Mail-Provider nutzen unterschiedliche Standard-Selektoren:

Provider	Häufige Selektoren
Google Workspace	google
Microsoft 365	selector1, selector2
SendGrid	s1, s2, sendgrid
Mailchimp	k1, k2, k3
Zoho	s1, s2, zoho
Amazon SES	amazonses
Postmark	postmark
Mailgun	mailgun

Schritt-für-Schritt: DKIM-Setup-Guide#

Schritt 1: Generiere dein DKIM-Schlüsselpaar#

Wenn du einen gehosteten E-Mail-Dienst nutzt (Google Workspace, Microsoft 365 usw.), generiert der Provider die Schlüssel typischerweise für dich. Du musst nur den bereitgestellten öffentlichen Schlüssel veröffentlichen.

Wenn du deinen eigenen Mailserver betreibst, generiere ein 2048-Bit-RSA-Schlüsselpaar:

openssl genrsa -out dkim-private.pem 2048
openssl rsa -in dkim-private.pem -pubout -out dkim-public.pem

Der private Schlüssel bleibt auf deinem Server. Der öffentliche Schlüssel wandert ins DNS.

Schritt 2: Wähle einen Selektor#

Such dir einen aussagekräftigen Selektor-Namen aus. Häufige Optionen sind default, mail, dkim oder ein datumsbasierter Name wie jan2026 für eine einfache Rotations-Verfolgung. Vermeide Selektoren, die interne Infrastrukturdetails verraten.

Schritt 3: Veröffentliche den DNS-TXT-Record#

Lege einen TXT-Record unter {selector}._domainkey.yourdomain.com mit deinem öffentlichen Schlüssel an. Der Record-Wert sieht so aus:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Die Tags im DNS-Record sind:

• v=DKIM1: Kennzeichnet den Eintrag als DKIM-Schlüsselrecord. Beachte: Laut RFC 6376 ist das v=-Tag empfohlen, aber nicht erforderlich.
• k=rsa: Der Schlüsseltyp (RSA ist Standard und kann weggelassen werden).
• p=...: Der Base64-kodierte öffentliche Schlüssel. Ist dieses Tag leer (p=), wurde der Schlüssel widerrufen.

Wichtig: Viele DNS-Provider haben ein Zeichenlimit für TXT-Records. Ein 2048-Bit-Schlüssel erzeugt einen langen String. Wenn dein Provider es unterstützt, veröffentliche den vollständigen Wert. Falls nicht, erlauben einige Provider, den Wert in mehrere Strings innerhalb eines einzigen TXT-Records aufzuteilen.

Schritt 4: Konfiguriere deinen Mailserver#

Die Konfiguration hängt von deinem Setup ab:

• Google Workspace: Gehe zur Admin-Konsole, dann Apps, dann Google Workspace, dann Gmail, dann "E-Mail authentifizieren". Google liefert dir den TXT-Record-Wert und Selektor. Du veröffentlichst ihn im DNS und klickst auf "Authentifizierung starten".
• Microsoft 365: Öffne das Microsoft 365 Defender-Portal, dann Richtlinien, dann DKIM. Aktiviere DKIM-Signierung für deine Domain. Microsoft liefert zwei CNAME-Records zur Veröffentlichung.
• Postfix mit OpenDKIM: Installiere opendkim, konfiguriere die Signing-Tabelle, Key-Tabelle und Trusted Hosts. Verweise auf deine private Schlüsseldatei.

Schritt 5: Verifiziere deine Konfiguration#

Nach Veröffentlichung des DNS-Records warte auf die DNS-Propagation (typischerweise 5 bis 60 Minuten, je nach TTL aber bis zu 48 Stunden). Schick dann eine Test-E-Mail und prüfe die Header.

Du kannst dein DKIM-Setup auch sofort mit dem kostenlosen Email Health Checker von Nova Uptime verifizieren. Er scannt automatisch über 50 gängige Selektoren, um deine DKIM-Konfiguration zu erkennen, und liefert einen detaillierten Bericht zum Status deiner E-Mail-Authentifizierung.

Häufige DKIM-Fehler#

1. Schlüssellänge zu kurz#

Ein 1024-Bit-RSA-Schlüssel gilt als schwach und wird von einigen Empfängern abgelehnt. Nutze immer 2048-Bit-Schlüssel. Manche Provider unterstützen mittlerweile 4096-Bit-Schlüssel, doch DNS-Record-Größenlimits können deren Veröffentlichung erschweren.

2. Formatierungsfehler im DNS-Record#

Zusätzliche Leerzeichen, fehlende Anführungszeichen oder Zeilenumbrüche im TXT-Record-Wert sind die häufigste Ursache für DKIM-Fehler. Verifiziere immer den exakten Record-Inhalt nach der Veröffentlichung.

3. Vergessen, mit Drittanbieter-Diensten zu signieren#

Wenn du E-Mails über eine Marketing-Plattform, einen transaktionalen Mail-Dienst oder ein CRM versendest, braucht jeder Dienst seine eigene DKIM-Konfiguration. Eine über SendGrid versendete E-Mail wird nicht mit deinem Google-Workspace-Schlüssel signiert. Du musst DKIM für jeden sendenden Dienst separat konfigurieren.

4. Schlüssel nicht rotieren#

DKIM-Schlüssel sollten regelmäßig rotiert werden (alle 6 bis 12 Monate ist eine vernünftige Frequenz). Nutze Selektoren, um die Rotation reibungslos zu gestalten: Veröffentliche einen neuen Schlüssel unter einem neuen Selektor, stelle deine Signing-Konfiguration um, prüfe, dass es funktioniert, und entferne dann den DNS-Record des alten Selektors.

5. Zu wenige Header signiert#

Mindestens den From-Header solltest du immer in die Signatur aufnehmen. Die meisten Implementierungen signieren zusätzlich To, Subject, Date und Message-ID. Mehr Header zu signieren bietet stärkeren Schutz vor Manipulation, kann aber das Risiko erhöhen, dass die Signatur durch legitime Mail-Verarbeitung bricht. Der From-Header ist laut DKIM-Spezifikation Pflicht.

6. "simple"-Kanonisierung verwenden#

Der "simple"-Kanonisierungsmodus ist sehr strikt bei Whitespace und Formatierung. Wenn ein Zwischenserver (Mailingliste, Forwarding-Dienst) auch nur kleinste Änderungen an Headern oder Body vornimmt, bricht die Signatur. Nutze "relaxed/relaxed", außer du hast einen konkreten Grund dagegen.

Wie DKIM mit SPF und DMARC zusammenhängt#

DKIM ist Teil eines dreischichtigen E-Mail-Authentifizierungssystems:

• SPF (Sender Policy Framework): Legt fest, welche IP-Adressen autorisiert sind, E-Mails für deine Domain zu senden. Es prüft den Envelope-Sender (MAIL FROM), nicht den sichtbaren "From"-Header.
• DKIM: Verifiziert kryptografisch, dass der Nachrichteninhalt nicht verändert wurde und von der signierenden Domain autorisiert ist.
• DMARC (Domain-based Message Authentication, Reporting, and Conformance): Verbindet SPF und DKIM. DMARC prüft, ob die Domain im sichtbaren "From"-Header mit der Domain übereinstimmt, die SPF oder DKIM bestanden hat, und legt fest, was mit Nachrichten passiert, die fehlschlagen (none, quarantine oder reject).

Damit DMARC besteht, muss entweder SPF oder DKIM bestehen und mit der "From"-Domain übereinstimmen. Das macht DKIM besonders wichtig, wenn SPF allein versagen könnte — etwa beim Forwarding (Forwarding bricht SPF, weil sich die sendende IP ändert, doch DKIM-Signaturen überleben das Forwarding intakt).

Deine DKIM-Konfiguration prüfen#

DNS manuell nach DKIM-Records abzufragen ist mühsam, weil du den genauen Selektor-Namen kennen musst — und es gibt keinen Standardweg, Selektoren zu entdecken.

Der Email Health Checker von Nova Uptime löst das, indem er automatisch über 50 gängige Selektoren bei den großen E-Mail-Providern scannt. Er prüft deine MX-Records, SPF, DKIM und DMARC-Konfiguration in einem Durchgang und gibt dir einen Score von 0 bis 100 plus Schulnote.

Das Tool ist komplett kostenlos, erfordert keine Anmeldung und liefert konkrete Empfehlungen, falls Probleme mit deiner DKIM-Konfiguration gefunden werden.

Wichtige Erkenntnisse#

• DKIM nutzt Public-Key-Kryptografie, um E-Mails zu signieren und zu beweisen, dass sie von deiner Domain stammen und nicht verändert wurden.
• Das Selektor-System erlaubt mehrere Schlüssel für Schlüsselrotation und mehrere sendende Dienste.
• Nutze immer 2048-Bit-RSA-Schlüssel mit "relaxed/relaxed"-Kanonisierung.
• Konfiguriere DKIM separat für jeden Dienst, der in deinem Namen E-Mails versendet.
• DKIM arbeitet zusammen mit SPF und DMARC. Alle drei sollten für eine umfassende E-Mail-Authentifizierung konfiguriert sein.
• Nutze den Email Health Checker von Nova Uptime, um dein DKIM-Setup zu verifizieren und einen vollständigen Authentifizierungsbericht zu bekommen.

DKIM richtig aufzusetzen ist eine der wirkungsvollsten Maßnahmen für deine E-Mail-Deliverability. Eine sauber signierte Nachricht zeigt empfangenden Servern, dass du ein legitimer Absender bist, der E-Mail-Sicherheit ernst nimmt — und das hilft enorm dabei, im Posteingang zu landen.

Häufig gestellte Fragen#

Wie prüfe ich meinen DKIM-Record?#

Nutze ein kostenloses DKIM-Checker-Tool, um deinen DKIM-Record nachzuschlagen. Gib deine Domain ein und das Tool scannt automatisch 50+ gängige Selektoren, um deine DKIM-Konfiguration zu finden. Du kannst auch manuell mit dig TXT selector._domainkey.yourdomain.com prüfen, falls du deinen Selektor-Namen kennst.

Was ist ein DKIM-Selektor?#

Ein DKIM-Selektor ist ein Label, das angibt, welches DKIM-Schlüsselpaar zum Signieren genutzt wird. Er erscheint im DKIM-Signature-Header signierter E-Mails als s=selector. Häufige Selektoren sind google, selector1, default, s1 und k1. Jeder E-Mail-Provider nutzt eigene Selektor-Namen, weshalb automatische Selektor-Erkennung so wertvoll ist.

Welches Tool kann ich zum Prüfen des DKIM-Records meiner E-Mail nutzen?#

Der kostenlose DKIM-Checker von Nova Uptime scannt deine Domain automatisch nach DKIM-Records. Er erkennt Selektoren, validiert den öffentlichen Schlüssel und prüft die Konformität mit RFC 6376. Für eine vollständige E-Mail-Authentifizierungs-Prüfung inklusive SPF, DKIM, DMARC und Blacklists nutze den Email Health Checker.

Ist DKIM für die E-Mail-Zustellung erforderlich?#

Ab 2026 verlangen Gmail und Yahoo DKIM von Bulk-Sendern. Selbst bei geringem Sendevolumen landen E-Mails ohne DKIM eher im Spam. DKIM ist außerdem für DMARC-Alignment erforderlich, das für Geschäfts-E-Mails zunehmend Pflicht wird.

Was passiert, wenn DKIM fehlschlägt?#

Schlägt die DKIM-Verifikation fehl, prüft der empfangende Server deine DMARC-Policy. Bei p=none wird die E-Mail normal zugestellt. Bei p=quarantine landet sie im Spam. Bei p=reject wird sie blockiert. Auch ohne DMARC erhöht ein DKIM-Fehler die Wahrscheinlichkeit, dass der Spamfilter zuschlägt.

Weiterführende Artikel#

• DKIM-Selektor-Lookup & Erkennung — Wie automatische DKIM-Selektor-Erkennung funktioniert
• DKIM-Record Setup & Validierung — DKIM-Konfiguration Schritt für Schritt
• SPF, DKIM & DMARC – Der vollständige Guide — Wie die drei Protokolle zusammenarbeiten
• E-Mail-Deliverability – Grundlagen — Warum Authentifizierung für Inbox-Placement zählt
• Kostenloser DKIM-Checker — Validiere deine DKIM-Records sofort