Was ist DKIM?
DKIM (DomainKeys Identified Mail) ist eine E-Mail-Authentifizierungsmethode, die in RFC 6376 definiert ist. Sie verwendet asymmetrische Kryptografie – ein privater Schlüssel signiert ausgehende Nachrichten auf Ihrem Mailserver, und ein im DNS veröffentlichter öffentlicher Schlüssel ermöglicht es jedem empfangenden Server, diese Signatur zu überprüfen. Wenn die Nachricht nach der Signierung manipuliert wurde, wird die Signatur ungültig.
Im Gegensatz zu SPF authentifiziert DKIM den Nachrichteninhalt selbst (Header und/oder Body) und nicht nur die sendende IP. Dies macht es resistent gegen E-Mail-Weiterleitungsszenarien, bei denen sich die IP des Absenders ändert.
Warum benötigen Sie DKIM?
1Integrität der Nachricht
Beweist, dass der E-Mail-Body und die Header seit dem Verlassen Ihres Servers nicht verändert wurden.
2Übersteht Weiterleitungen
Die Signatur ist in die E-Mail eingebettet und nicht an die sendende IP gebunden – sie bleibt über Relays hinweg gültig.
3Erforderlich für DMARC
DMARC kann das DKIM-Alignment als Grundlage für Pass/Fail-Entscheidungen nutzen.
4Zustellbarkeits-Boost
Gmail, Outlook und andere belohnen DKIM-signierte Mails stark bei Filterentscheidungen.
So funktioniert DKIM – Schritt für Schritt
Sie generieren ein öffentliches/privates Schlüsselpaar und konfigurieren Ihren Mailserver für die Nutzung des privaten Schlüssels.
Sie veröffentlichen den öffentlichen Schlüssel als DNS-TXT-Eintrag unter `selector._domainkey.ihredomain.de`.
Beim Versenden einer E-Mail hasht der Mailserver ausgewählte Header und den Body und signiert diesen Hash mit dem privaten Schlüssel.
Die Signatur wird als `DKIM-Signature`-Header zur E-Mail hinzugefügt.
Der empfangende Server liest die `DKIM-Signature`, ruft den öffentlichen Schlüssel aus dem DNS ab, entschlüsselt die Signatur und hasht die Nachricht erneut zum Vergleich.
Eine Übereinstimmung bedeutet, dass die Nachricht authentisch und unverändert ist. Eine Abweichung deutet auf Manipulation oder Fehlkonfiguration hin.
DKIM DNS-Eintrag (Öffentlicher Schlüssel)
v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADC...AQABWichtige Felder
v=DKIM1— Versions-Identifikatork=rsa— Schlüsseltyp (rsa oder ed25519)p=— Base64-kodierter öffentlicher Schlüsselh=— Akzeptable Hash-Algorithmen (sha256)s=— Diensttyp (email oder *)t=s— Strict-Mode-FlagDKIM-Signature Header (in der E-Mail)
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=yourdomain.com; s=mail2024;
h=from:to:subject:date:message-id;
bh=47DEQpj8HBSa+/TImW+5JCeuQeRkm5NMpJWZG3hSuFU=;
b=mY93xZ...Bedeutung der Signaturfelder
Häufige DKIM-Probleme
Body-Modifikation
Einige Mailinglisten oder Virenscanner verändern den Body, was den bh= Body-Hash ungültig macht.
Fehlender DNS-Eintrag
Stellen Sie sicher, dass Ihr TXT-Eintrag veröffentlicht und verteilt wurde, bevor Sie senden.
Falscher Selector
Das s= in der Signatur muss exakt mit dem Selector im Namen des DNS-Eintrags übereinstimmen.
Schlüssellänge zu kurz
Verwenden Sie mindestens 2048-Bit RSA-Schlüssel. 1024-Bit-Schlüssel gelten als unsicher und werden von einigen Providern abgelehnt.
Häufig gestellte Fragen
DKIM (DomainKeys Identified Mail) ist eine kryptografische Authentifizierungsmethode, die Ihren E-Mails eine digitale Signatur hinzufügt. Diese Signatur ermöglicht es empfangenden Servern zu überprüfen, ob die E-Mail tatsächlich vom Domaininhaber autorisiert wurde und, was noch wichtiger ist, dass der Inhalt der Nachricht während der Übertragung zwischen den Servern nicht manipuliert oder verändert wurde.
Ein DKIM-Selektor ist eine eindeutige Zeichenfolge, die verwendet wird, um den spezifischen öffentlichen Schlüssel in Ihren DNS-Einträgen zu lokalisieren. Er ermöglicht es einer einzelnen Domain, mehrere DKIM-Schlüssel für verschiedene Dienste (z. B. Marketing, Support) zu haben. Sie finden den Selektor normalerweise in den Authentifizierungseinstellungen Ihres E-Mail-Dienstanbieters (ESP) oder indem Sie die Header einer gesendeten E-Mail nach dem 's='-Tag durchsuchen.
Ein fehlender DKIM-Eintrag deutet normalerweise auf eines von drei Problemen hin: Der Selektorname ist falsch, der Eintrag wurde noch nicht im globalen DNS verbreitet oder der TXT-Eintrag wurde auf der falschen Domain-Ebene hinzugefügt. Überprüfen Sie immer den von Ihrem ESP bereitgestellten Selektor und stellen Sie sicher, dass keine Leerzeichen oder versteckten Zeichen in Ihrem DNS-Eintrag vorhanden sind.
Ja, Sie können und sollten mehrere DKIM-Einträge haben, wenn Sie mehrere E-Mail-Dienste nutzen. Jeder Dienst verwendet einen eindeutigen Selektor (z. B. google._domainkey), sodass sie ohne Konflikt gleichzeitig in Ihrem DNS existieren können. Dies ist eine bewährte Methode zur Aufrechterhaltung der Sicherheit über verschiedene Plattformen hinweg.
DKIM bietet eine Vertrauensebene, die ISPs sehr schätzen. Eine gültige DKIM-Signatur beweist die Herkunft und Integrität der E-Mail, was im Laufe der Zeit zum Aufbau Ihrer Absenderreputation beiträgt. Absender mit hoher Reputation werden viel seltener gedrosselt oder in den Spam-Ordner verschoben.
Der private Schlüssel bleibt sicher auf Ihrem Mailserver und wird zum Signieren ausgehender Nachrichten verwendet. Der öffentliche Schlüssel wird in Ihren DNS-Einträgen veröffentlicht, damit ihn jeder sehen kann. Empfangende Server verwenden den öffentlichen Schlüssel, um die Signatur zu entschlüsseln und ihre Gültigkeit zu überprüfen. Diese 'asymmetrische' Verschlüsselung ist die Grundlage der DKIM-Sicherheit.