DKIM-Setup-Anleitung: Komplette Schritt-für-Schritt-Konfiguration

Was ist DKIM und warum ist es entscheidend#

DKIM (DomainKeys Identified Mail) ist eine digitale Signatur für deine E-Mails. Es beweist, dass eine E-Mail, die angeblich von deiner Domain stammt, auch tatsächlich aus deinem Postfach kommt — und nicht von einem Angreifer, der irgendwo anders eingebrochen ist.

Im Februar 2026: Gmail und Yahoo verlangen DKIM für die E-Mail-Zustellung. E-Mails ohne DKIM werden abgelehnt.

Diese Anleitung führt dich in 20 Minuten durch das DKIM-Setup.

Wie DKIM funktioniert#

DKIM nutzt Kryptografie mit öffentlichen/privaten Schlüsseln:

1. Dein Mailserver signiert ausgehende E-Mails mit einem privaten Schlüssel (geheim)
2. Die Signatur wird angehängt an jeden E-Mail-Header
3. Empfänger verifizieren die Signatur mit deinem öffentlichen Schlüssel (im DNS)
4. Wenn die Signatur validiert: Die E-Mail wurde nicht manipuliert ✅
5. Wenn die Signatur fehlschlägt: Die E-Mail wurde gefälscht oder verändert ❌

DKIM-Selectors verstehen#

Hier verlieren die meisten den Überblick.

DKIM-Records liegen an einer bestimmten DNS-Stelle: [selector]._domainkey.yourdomain.com

Beispiele:

• default._domainkey.yourdomain.com
• google._domainkey.yourdomain.com
• s1._domainkey.yourdomain.com
• sendgrid._domainkey.yourdomain.com

Der Selector ist einfach ein Label. Dein E-Mail-Provider wählt ihn. Häufige Selectors:

Service	Selector
Google Workspace	google, default
Microsoft 365	selector1, selector2
SendGrid	default, sendgrid
Mailgun	default, k1
Zoho	s1, s2, s3

Du kannst den Selector nicht erraten. Du musst ihn aus der Setup-Anleitung deines E-Mail-Providers entnehmen.

Schritt 1: Finde deinen DKIM-Selector#

Für Google Workspace:

1. Gehe zu admin.google.com
2. Navigiere zu Sicherheit → Authentifizierung → Domain-Verwaltung
3. Finde den DKIM-Selector (meistens "google" oder "default")

Für Microsoft 365:

1. Gehe zu admin.microsoft.com
2. Navigiere zu Einstellungen → Domains
3. Finde den DKIM-Bereich (meistens "selector1")

Für SendGrid:

1. Gehe zu den SendGrid-Einstellungen
2. Finde API-Keys und DKIM-Konfiguration
3. Der Selector ist meistens "default" oder "sendgrid"

Für Mailgun:

1. Gehe zum Mailgun-Dashboard
2. Finde die Domain-Einstellungen
3. Der Selector steht in der DKIM-Konfiguration

Nutzt du keinen Drittanbieter-Service? Dann betreibst du deinen eigenen Mailserver. Wende dich an deinen Hosting-Provider, um den DKIM-Selector zu erhalten.

Schritt 2: DKIM-Public-Key erzeugen oder abrufen#

Dein E-Mail-Provider erzeugt einen öffentlichen Schlüssel. Du erstellst ihn nicht selbst — der Provider erstellt ihn, du kopierst ihn.

Der Schlüssel sieht so aus:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDdjqFtUGxC...

Wo du ihn findest:

• Google Workspace: Aus der Admin-Konsole kopieren
• Microsoft 365: Aus dem Exchange Admin Center kopieren
• SendGrid: Dashboard → DKIM-Einstellungen
• Mailgun: Domain-Einstellungen → DKIM
• Andere Provider: Schau in deren Dokumentation

Schritt 3: DKIM-Record im DNS veröffentlichen#

Sobald du den öffentlichen Schlüssel hast, füge ihn dem DNS hinzu:

1. Gehe zu deinem DNS-Provider (Cloudflare, Route 53, GoDaddy usw.)
2. Füge einen TXT record hinzu mit:
   • Name: [selector]._domainkey (z. B. google._domainkey)
   • Wert: Der öffentliche Schlüssel aus Schritt 2
   • TTL: 3600 (oder Standard)
3. Speichern und 5–15 Minuten warten

Schritt 4: DKIM-Konfiguration testen#

Nutze diese kostenlosen Tools zur Verifizierung:

Option 1: Nova Uptime Email Health Checker

• Gehe zu /tools/email-health
• Gib deine Domain ein
• Prüfe den DKIM-Status

Option 2: MXToolbox

• Gehe zu mxtoolbox.com
• Nutze den DKIM-Checker
• Gib Selector und Domain ein

Option 3: Mail-tester

• Gehe zu mail-tester.com
• Sende eine Test-E-Mail von deiner Domain
• Prüfe die DKIM-Signatur in den Headern

Häufige DKIM-Fehler#

Fehler 1: Falscher Selector#

Wenn dein Mailserver mit dem Selector google signiert, aber im DNS der Selector default liegt, schlägt die DKIM-Validierung fehl.

Lösung: Stelle sicher, dass der Selector exakt mit dem übereinstimmt, was dein Mailserver verwendet.

Fehler 2: Public Key im DNS abgeschnitten#

Manche DNS-Provider schneiden lange TXT-Records ab. Wenn der öffentliche Schlüssel abgeschnitten wird, schlägt DKIM fehl.

Lösung: Nutze einen DNS-Provider, der TXT-Records in voller Länge unterstützt, oder splitte den Schlüssel mit Anführungszeichen.

Fehler 3: Mehrere DKIM-Records (alt vs. neu)#

Beim Wechsel des E-Mail-Providers bleiben manchmal alte DKIM-Schlüssel im DNS hängen.

Gut: Mehrere Selectors von verschiedenen Providern

google._domainkey  → Public Key von Google
s1._domainkey      → Public Key von SendGrid

Schlecht: Mehrere Records für denselben Selector (DNS liest nur den ersten)

Lösung: Alte Selectors entfernen, nur die aktiven behalten.

Fehler 4: Schlüssel nicht rotieren#

Wenn dein privater Schlüssel kompromittiert ist und du ihn trotzdem weiternutzt, können Angreifer E-Mails fälschen.

Lösung: Rotiere die Schlüssel mindestens einmal pro Jahr. Deaktiviere alte Schlüssel im DNS, sobald die neuen funktionieren.

Fehler 5: Schwache Schlüssel verwenden (1024 Bit)#

1024-Bit-DKIM-Schlüssel sind kryptografisch schwach. Angreifer können Signaturen fälschen.

Lösung: Verwende mindestens 2048-Bit-Schlüssel. Frage bei deinem E-Mail-Provider nach, was unterstützt wird.

Mehrere E-Mail-Provider? Du brauchst mehrere Selectors#

Wenn du sowohl Google Workspace ALS AUCH SendGrid nutzt:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3... → veröffentlichen unter google._domainkey
v=DKIM1; k=rsa; p=... (anderer) ...     → veröffentlichen unter sendgrid._domainkey

Beide funktionieren unabhängig voneinander. E-Mails von Google werden mit Googles Schlüssel verifiziert. E-Mails von SendGrid mit dem Schlüssel von SendGrid.

DKIM + SPF + DMARC#

DKIM ist Teil des Authentifizierungs-Trios:

• SPF: „Ist der Server autorisiert?"
• DKIM: „Ist die Nachricht authentisch?"
• DMARC: „Bestehen beide und sind sie aligned?"

Richte alle drei ein. Nova Uptime prüft alle drei automatisch — starte deinen ersten Email Health Check.

Nach der Veröffentlichung: Monitoring#

Woche 1: Überwache die E-Mail-Zustellung, prüfe den Spam-Ordner Wöchentlich: Nutze den Nova Uptime Email Health Checker, um den DKIM-Status zu verifizieren Monatlich: Prüfe, dass keine alten Selectors im DNS herumliegen

Zusammenfassung#

1. Finde deinen DKIM-Selector (vom E-Mail-Provider)
2. Hole dir den Public Key (vom E-Mail-Provider)
3. Veröffentliche ihn im DNS unter [selector]._domainkey.yourdomain.com
4. Teste mit Verifizierungs-Tools
5. Warte 1 Woche und überwache die E-Mail-Zustellung
6. Halte die Records sauber (alte Selectors entfernen)

DKIM ist 2026 Pflicht. Das Setup dauert 20 Minuten. Es zu vergessen kostet Umsatz.

Überwache alle drei Authentifizierungs-Protokolle automatisch: Nova Uptime Email Health Checker. Kostenlos. 🚀

Weiterführende Artikel#

• DKIM Check & Setup-Guide — Umfassendes DKIM-Troubleshooting
• DKIM-Selector-Erkennung — DKIM-Selectors finden und verifizieren
• SPF-Record einrichten & prüfen — SPF-Konfiguration zusammen mit DKIM
• DMARC-Setup: von None bis Reject — DMARC braucht DKIM-Alignment
• Email Health Checker Guide — Vollständiges Authentifizierungs-Audit
• Kostenloser DKIM Checker — Deinen DKIM-Record sofort validieren