Smarte, fokussierte E-Mails.
Perfekte Cross-Platform-Mails für mehr Ordnung – so können Sie sich aufs Wesentliche konzentrieren.
Definition
💡 DKIM (DomainKeys Identified Mail): Eine E-Mail-Authentifizierungsmethode, die deinen ausgehenden Nachrichten eine digitale Signatur hinzufügt und damit beweist, dass du sie wirklich gesendet hast und sie unterwegs nicht verändert wurden. DKIM bestätigt, dass die E-Mail tatsächlich vom Inhaber der jeweiligen Domain gesendet und autorisiert wurde. Stell es dir wie ein Sicherheitssiegel auf einem Paket vor.
Warum DKIM wichtig ist
Spammer und Phisher lieben es, sich als legitime Domains auszugeben. Sie verschicken E-Mails, die so aussehen, als kämen sie von deiner Bank, deinem Chef oder einem vertrauenswürdigen Dienst. DKIM stoppt das.
DKIM schließt eine Lücke, die SPF nicht abdecken kann: Während SPF überprüft, ob eine Nachricht von einer autorisierten IP-Adresse stammt, sagt es nichts darüber aus, ob der Nachrichtentext oder die Header manipuliert wurden. Jemand könnte deine E-Mail unterwegs abfangen und den Inhalt verändern. DKIM erkennt das.
E-Mail-Clients wie Spark prüfen DKIM-Signaturen automatisch beim Empfang von Nachrichten. Spark synchronisiert diese Einstellungen vom Anbieter – wenn der Anbieter sie wegen fehlender DKIM als Spark markiert und in den Spam-Ordner verschiebt, zeigt Spark diese Nachricht ebenfalls im Spam-Ordner an. Bestehe die DKIM-Prüfung, und deine E-Mails wirken vertrauenswürdig. Wenn sie fehlschlägt, werden Spamfilter schnell misstrauisch.
In den meisten Fällen sind DKIM-Signaturen für Endnutzer nicht sichtbar; die Validierung erfolgt auf Mailserver-Ebene. Du siehst es nie in Aktion, aber es läuft bei jeder einzelnen E-Mail, die du sendest und empfängst.
Wie DKIM funktioniert
DKIM nutzt asymmetrische Verschlüsselung. Du erzeugst zwei Schlüssel: einen privaten Schlüssel, der auf deinem Mailserver bleibt, und einen öffentlichen Schlüssel, den du in deinen DNS-Einträgen veröffentlichst.
Wenn du eine E-Mail sendest, signiert dein Server sie mit dem privaten Schlüssel. Der empfangende Server kann die Signatur überprüfen, indem er den öffentlichen Schlüssel des Absenders im DNS abruft. Wenn die Signatur übereinstimmt, ist die E-Mail legitim. Stimmt sie nicht überein oder fehlt die Signatur, gehen die Alarmglocken an.
Die Signatur umfasst bestimmte Teile deiner E-Mail: Header wie From, To, Subject sowie den Nachrichtentext. Wird auch nur ein einziges Zeichen des signierten Inhalts verändert, wird die Signatur ungültig. Genau so funktioniert die Manipulationserkennung.
Mit DKIM-Selektoren kannst du mehrere Schlüssel für eine Domain verwenden. Der Selektor ist ein spezieller Wert, der vom E-Mail-Dienstanbieter der jeweiligen Domain vergeben wird. Das Format sieht so aus: selector._domainkey.yourdomain.com. Verschiedene Versanddienste können unterschiedliche Selektoren haben, und du kannst Schlüssel rotieren, ohne alles zu zerstören.
DKIM einrichten
Dein E-Mail-Dienstanbieter übernimmt das meiste davon. Gmail, Outlook, Mailchimp und andere große Anbieter aktivieren DKIM entweder automatisch oder führen dich Schritt für Schritt durch die Einrichtung in ihrem Admin-Dashboard.
Für Gmail (Google Workspace): Du musst 24 bis 72 Stunden nach dem Aktivieren von Gmail warten, bevor du deinen DKIM-Schlüssel in der Admin-Konsole abrufen kannst. Gehe zu Apps > Google Workspace > Gmail > E-Mail authentifizieren, generiere deinen DKIM-Schlüssel und füge dann den TXT-Eintrag deinem DNS hinzu.
Für eigene Mailserver: Erzeuge ein 2048-Bit-RSA-Schlüsselpaar, veröffentliche den öffentlichen Schlüssel als TXT-Eintrag unter selector._domainkey.yourdomain.com und konfiguriere deinen Mailserver so, dass er ausgehende Nachrichten mit dem privaten Schlüssel signiert.
Neue DNS-Einträge müssen sich erst verbreiten, was bis zu 48 Stunden dauern kann. Meistens ist es aber innerhalb weniger Stunden erledigt. Nutze ein DKIM-Prüftool, um zu kontrollieren, ob alles funktioniert.
Häufige Fragen zu DKIM
Garantiert DKIM, dass meine E-Mails nicht im Spam landen?
Nein. Eine DKIM-Signatur garantiert keine Zustellung, aber sie erhöht die Chancen auf ein positives Ergebnis deutlich. DKIM beweist die Echtheit, doch Spamfilter prüfen auch Inhalt, Absender-Reputation, Engagement und weitere Faktoren.
Was passiert, wenn meine DKIM-Signatur fehlschlägt?
Eine fehlgeschlagene Signaturprüfung führt nicht automatisch zur Ablehnung der Nachricht. Die meisten empfangenden Server fügen einen Authentifizierungs-Header hinzu, der den Fehlschlag vermerkt, und beziehen ihn in ihre Spam-Bewertung mit ein. Wiederholte Fehlschläge schaden deiner Absender-Reputation.
Brauche ich DKIM, wenn ich schon SPF habe?
Ja. SPF und DKIM schützen unterschiedliche Dinge. SPF überprüft die IP-Adresse des sendenden Servers. DKIM überprüft die Integrität der Nachricht und den Besitz der Domain. Nutze beide. Setze zusätzlich DMARC ein, um einen vollständigen Schutz zu erhalten.
Wie oft sollte ich DKIM-Schlüssel rotieren?
DKIM-Schlüssel laufen nicht ab, aber du solltest sie regelmäßig austauschen; wir empfehlen alle 12 Monate. Erzeuge einen neuen Schlüssel mit einem neuen Selektor, trage ihn ins DNS ein, stelle deinen Mailserver darauf um und entferne den alten Schlüssel nach ein paar Tagen.
Kann ich denselben DKIM-Schlüssel für mehrere Domains verwenden?
Technisch ja, aber lass es lieber. Jede Domain sollte ihr eigenes DKIM-Schlüsselpaar haben. Schlüssel über mehrere Domains hinweg zu teilen, schwächt die Sicherheit und macht den Schlüsseltausch komplizierter.
Was ist ein guter Name für einen DKIM-Selektor? Alles Kurze und Beschreibende funktioniert. Gängige Beispiele: default, mail, s1, google oder etwas wie marketing2025, wenn du mehrere Versandquellen nutzt. Dein E-Mail-Anbieter weist möglicherweise automatisch einen zu.
Verwandte Inhalte
- So schreibt man eine professionelle E-Mail
- Formulierungen, die du in einer professionellen E-Mail niemals verwenden solltest
- Wie erstelle ich eine professionelle E-Mail-Adresse
- 12 nützliche Regeln für eine bessere E-Mail-Etikette
Verwandte Begriffe