Defaults.Exposed › Behebungen › DKIM
So beheben Sie DKIM
DKIM ist das unsichtbare, fälschungssichere Siegel auf jeder E-Mail, die Ihr Unternehmen versendet. Es erlaubt dem empfangenden Mailanbieter zu bestätigen, dass die E-Mail wirklich von Ihnen stammt und unverändert angekommen ist. Ohne es ist Ihre Post leichter zu fälschen, leichter zu verändern und landet weitaus eher im Spam.
Das Wichtigste für Ihr Unternehmen: Ohne DKIM können die E-Mails, die Sie versenden, unterwegs manipuliert werden, sind leichter für Kriminelle zu imitieren und werden eher in den Spam gefiltert oder gleich abgelehnt — was Sie still und leise Geschäfte, Zahlungen und Vertrauen kostet, deren Verlust Sie nie bemerken.
Was Sie das kosten kann
- Eine Rechnung, die Sie per E-Mail verschickt haben, wird abgefangen und die Bankdaten geändert, bevor sie Ihren Kunden erreicht. Die E-Mail sieht weiterhin so aus, als käme sie von Ihnen, der Kunde zahlt an den Kriminellen, und wenn alles auffliegt, geben Sie die Schuld.
- Ihre echten Angebote, Verträge und Rechnungen landen immer wieder im Spam-Ordner Ihrer Kunden. Sie nehmen an, der Kunde sei still geworden oder habe sich für jemand anderen entschieden — dabei hat er Ihre E-Mail schlicht nie gesehen.
- Das Sicherheits- oder Einkaufsteam eines größeren Kunden führt vor der Unterschrift eine schnelle Prüfung Ihrer Domain durch, sieht kein DKIM und schiebt entweder das Geschäft um Wochen auf, bis Sie es beheben, oder wählt klammheimlich einen Wettbewerber, der bestanden hat.
- Ein Krimineller versendet überzeugende gefälschte E-Mails 'von Ihrem Unternehmen' an Ihre eigenen Kunden. Weil nichts beweist, welche E-Mails wirklich Ihre sind, sind die Fälschungen genauso glaubwürdig wie das Original — und Ihr Name nimmt den Schaden.
- Große Mailanbieter und Banken behandeln unsignierte Post zunehmend als verdächtig. Mit der Zeit wird mehr von Ihrer alltäglichen Geschäftspost gedrosselt, in den Müll verschoben oder abgewiesen, und Ihre Ansprache funktioniert langsam nicht mehr.
Warum es wichtig ist. E-Mail wurde nie dafür gebaut, zu beweisen, wer gesendet hat, und den Absender zu fälschen ist kinderleicht. DKIM fügt eine kryptografische Signatur hinzu, die der empfangende Anbieter automatisch prüft — und bestätigt, dass die Nachricht wirklich von Ihrer Domain stammt und unterwegs nicht verändert wurde. Es ist eines der drei Dinge, nach denen jeder moderne Mailanbieter sucht, es beeinflusst direkt, ob Ihre E-Mails vertraut oder in den Müll geworfen werden, und die Behebung ist kostenlos.
Was das ist, in einfachen Worten
Jede E-Mail, die Ihr Unternehmen versendet, wandert durch mehrere Hände, bevor sie den Posteingang erreicht. Für sich genommen trägt eine E-Mail keinen Beweis, wer sie wirklich gesendet hat oder ob unterwegs jemand etwas geändert hat — die „Von”-Zeile ist bloß Text, den jeder eintippen kann.
DKIM behebt das. Es setzt ein unsichtbares, fälschungssicheres Siegel auf jede Nachricht, die Ihr Unternehmen versendet. Wenn die E-Mail eintrifft, prüft der empfangende Mailanbieter das Siegel gegen einen Schlüssel, den Sie auf Ihrer Domain veröffentlichen. Stimmt es überein, weiß der Anbieter zwei Dinge mit Sicherheit: Die E-Mail stammt wirklich von Ihrer Domain, und nicht ein einziges Zeichen wurde unterwegs verändert. Stimmt es nicht überein — weil die Nachricht gefälscht oder verändert wurde —, schlägt das Siegel fehl, und der Anbieter behandelt die Post mit Argwohn.
Sie verwalten nichts davon von Hand. Sobald es eingeschaltet ist, geschehen das Signieren und Prüfen automatisch bei jeder E-Mail, für immer. Der ganze Sinn von DKIM ist, Ihre echte Post nachweisbar echt zu machen — sodass ihr vertraut wird und Fälschungen auffallen.
Was Sie das kosten kann
Das ist nicht abstrakt. So sieht ein fehlendes oder schwaches DKIM-Siegel in der Praxis für ein kleines oder mittleres Unternehmen aus.
- Die veränderte Rechnung. Sie schicken einem Kunden per E-Mail eine Rechnung. Irgendwo zwischen Ihrem Server und seinem fängt ein Angreifer sie ab und tauscht Ihre Bankdaten gegen seine eigenen. Die E-Mail scheint weiterhin von Ihnen zu kommen, der Kunde zahlt — auf das Konto des Kriminellen. Ohne DKIM gibt es nichts, das markiert, dass die Nachricht manipuliert wurde. Mit ihm bricht diese stille Veränderung das Siegel und wird erkannt.
- Die Geschäfte, die im Spam starben. Ihre Angebote, Vorschläge und Nachfassmails rutschen immer wieder in die Müllordner Ihrer Kunden. Sie hören nie zurück und nehmen an, es habe kein Interesse bestanden. Tatsächlich ist unsignierte Post ein starkes Spam-Signal — Ihre echte Geschäftspost wurde schlicht nicht gesehen.
- Der verlorene Auftrag. Das Einkaufs- oder Sicherheitsteam eines größeren Kunden prüft Ihre Domain, bevor es unterschreibt. Es sieht kein DKIM und behandelt das als rotes Signal — verzögert entweder das Geschäft um Wochen, während Sie es beheben, oder wählt still einen Lieferanten, dessen E-Mail-Sicherheit in Ordnung war.
- Ihr Name gegen Ihre eigenen Kunden verwendet. Ein Betrüger schickt überzeugende E-Mails „von Ihrem Unternehmen” an Ihren Kundenstamm. Weil nichts beweist, welche Nachrichten wirklich Ihre sind, sehen die Fälschungen so legitim aus wie das Original — und es ist Ihr Ruf, der den Schaden nimmt, wenn Menschen geschädigt werden.
- Die langsame Strangulierung Ihrer E-Mail. Banken, große Mailanbieter und Unternehmensfilter misstrauen unsignierter Post zunehmend. Der Effekt schleicht sich mit der Zeit ein: mehr Drosselung, mehr Müll, mehr Rückläufer — bis Ihre alltägliche Ansprache still und leise nicht mehr ankommt.
Was es eigentlich ist
DKIM steht für DomainKeys Identified Mail. So funktioniert das Siegel, ohne den Fachjargon:
- Sie veröffentlichen einen öffentlichen Schlüssel auf Ihrer Domain (in Ihren DNS-Einstellungen). Jeder kann ihn lesen — das ist der Sinn.
- Ihr Mailanbieter hält den passenden privaten Schlüssel und nutzt ihn, um jede E-Mail, die Sie versenden, zu signieren, indem er einen verborgenen Header hinzufügt.
- Wenn die E-Mail eintrifft, holt sich der Anbieter des Empfängers Ihren öffentlichen Schlüssel, prüft die Signatur gegen die Nachricht und bestätigt, dass sie echt und unverändert ist.
Ein paar Begriffe, die Sie von Ihrem IT-Menschen hören könnten:
- Selektor — eine Bezeichnung, die auf einen bestimmten Schlüssel zeigt, z. B.
selector1._domainkey.ihredomain. Er erlaubt, mehrere Schlüssel sauber zu betreiben und zu rotieren. Ihr Anbieter richtet das ein. - Schlüsselstärke — DKIM-Schlüssel gibt es in verschiedenen Größen. Die moderne Basis ist 2048-Bit-RSA; 4096-Bit-RSA- oder Ed25519-Schlüssel sind noch stärker. Ältere 1024-Bit-Schlüssel funktionieren noch, gelten aber nach heutigen Maßstäben als schwach (NIST SP 800-131A / RFC 8301).
Wie „gut” aussieht: ein gültiger DKIM-Schlüssel ist an einem Selektor für Ihre Domain veröffentlicht, Ihre ausgehende Post wird damit signiert, und der Schlüssel ist 2048-Bit oder stärker. Das ist das volle Bestehen.
Eine Anmerkung zur Bewertung. Diese Prüfung sucht an den von Mailanbietern üblicherweise genutzten Selektoren nach einem echten, wohlgeformten DKIM-Schlüssel. Ein veröffentlichter gültiger Schlüssel ist das positive Signal — ein Drittanbieter-Scanner kann Ihre Live-Signaturen nicht nachspielen, daher wird das Vorhandensein eines korrekten Schlüssels gemessen. Kein Schlüssel gefunden lässt die Prüfung durchfallen (es ist eine Lücke hoher Schwere). Ein gültiger, aber schwacher Schlüssel (1024-Bit-RSA) erhält etwa die halbe Punktzahl — er funktioniert, sollte aber aufgerüstet werden. Ein starker Schlüssel (2048-Bit-RSA oder besser, oder Ed25519) erhält die volle Punktzahl. Dies ist eine der E-Mail-Sicherheitsprüfungen, die in Ihre Bewertung einfließen, mit einem bedeutsamen Anteil daran.
So beheben Sie es (kostenlos, ~15 Minuten)
Dieser Teil ist für die Person, die Ihre E-Mail oder Domain betreut — falls das nicht Sie sind, geben Sie ihr diesen Abschnitt. Die Behebung ist kostenlos. Wir berechnen nur die Überwachung, dass Ihre Schutzmaßnahmen über die Zeit gesund bleiben, nicht das Einrichten.
Die allgemeine Form ist überall gleich: DKIM bei Ihrem E-Mail-Anbieter einschalten, den erzeugten Schlüssel nehmen, ihn in Ihrem DNS veröffentlichen und dann bestätigen, dass er live ist. Die genauen Schritte hängen davon ab, wer Ihre E-Mail betreibt — hier die gängigen.
Google Workspace (Gmail)
- Admin-Konsole → Apps → Google Workspace → Gmail → E-Mails authentifizieren.
- Wählen Sie Ihre Domain und klicken Sie auf Neuen Eintrag generieren (wählen Sie die 2048-Bit-Schlüssellänge).
- Google gibt Ihnen einen DNS-Eintrag. Fügen Sie ihn bei Ihrem DNS-Host als TXT-Eintrag hinzu, Host
google._domainkey.ihredomain, mit dem von Google bereitgestellten Wert. - Warten Sie, bis er sich verbreitet hat (Minuten bis wenige Stunden), kehren Sie dann zum selben Bildschirm zurück und klicken Sie auf Authentifizierung starten.
Microsoft 365 (Outlook / Exchange Online)
- Gehen Sie zum Microsoft Defender-Portal → E-Mail & Zusammenarbeit → Richtlinien & Regeln → Bedrohungsrichtlinien → E-Mail-Authentifizierungseinstellungen → DKIM.
- Wählen Sie Ihre Domain. Microsoft zeigt Ihnen zwei CNAME-Einträge zum Veröffentlichen (selector1 und selector2).
- Fügen Sie beide CNAME-Einträge bei Ihrem DNS-Host exakt wie angezeigt hinzu.
- Zurück im DKIM-Bildschirm schalten Sie das DKIM-Signieren für die Domain auf Aktiviert.
Zoho Mail
- Systemsteuerung → E-Mail-Authentifizierung → DKIM.
- Erzeugen Sie einen Schlüssel (verwenden Sie einen Selektor wie
zoho), fügen Sie dann den bereitgestellten TXT-Eintrag unterzoho._domainkey.ihredomainin Ihrem DNS hinzu. - Verifizieren Sie im Zoho-Panel, sobald der Eintrag live ist.
Andere Anbieter / Ihr eigener Mailserver Das Muster ist identisch: Der Anbieter (oder Ihre Mail-Software) erzeugt ein Schlüsselpaar, signiert Ihre ausgehende Post mit dem privaten Schlüssel und gibt Ihnen einen öffentlichen Eintrag zum Veröffentlichen. Er sieht typischerweise so aus:
Host: selector1._domainkey.ihredomain
Typ: TXT (oder CNAME, je nach Anbieter)
Wert: (die lange Schlüssel-Zeichenkette, die Ihr Anbieter Ihnen gibt)
Wo DNS-Einträge hinzugefügt werden: in den DNS-Einstellungen Ihrer Domain — meist bei Ihrem Domain-Registrar oder DNS-Host (z. B. Cloudflare, GoDaddy, Ihre Hosting-Systemsteuerung). Wenn Ihr E-Mail-Anbieter ein CNAME liefert, zeigt es auf einen Eintrag, den er hostet, sodass Sie den rohen Schlüssel nie sehen — das ist normal und in Ordnung.
Bestätigen Sie, dass es funktioniert: Senden Sie sich eine Test-E-Mail an ein Gmail-Konto, öffnen Sie sie, wählen Sie Original anzeigen und prüfen Sie, dass DKIM: PASS erscheint. Prüfen Sie dann Ihre Domain hier erneut, um zu bestätigen, dass der Schlüssel als 2048-Bit oder stärker durchkam, nicht als schwacher 1024-Bit.
Häufige Fehler
- Annehmen, ein großer Anbieter habe es standardmäßig an. Viele Domains bei Google oder Microsoft müssen DKIM dennoch einschalten und einen Eintrag veröffentlichen. „Wir nutzen Microsoft 365” ist nicht dasselbe wie „DKIM ist aktiviert.”
- Einen schwachen 1024-Bit-Schlüssel erzeugen. Manche Anbieter setzen weiterhin standardmäßig auf 1024-Bit oder bieten es an. Wählen Sie 2048-Bit, wenn Sie die Wahl haben — ein schwacher Schlüssel erhält nur die halbe Punktzahl und wird von strengeren Empfängern markiert.
- Den Eintrag veröffentlichen, aber das Signieren nie aktivieren. Den DNS-Eintrag hinzuzufügen ist nur die halbe Arbeit. Wenn Sie das Signieren beim Anbieter nicht einschalten (der letzte Schalter), geht Ihre Post weiterhin unsigniert raus.
- Den Schlüssel vertippen oder abschneiden. DKIM-Schlüssel sind lang. Ein Copy-Paste, das ein Zeichen verliert oder den Wert falsch teilt, erzeugt ein defektes Siegel, das bei jeder E-Mail fehlschlägt. Fügen Sie den Wert exakt wie vorgegeben ein.
- Ihre anderen Absender vergessen. Wenn Sie über ein Newsletter-Tool, CRM, eine Rechnungs-App oder E-Commerce-Plattform versenden, braucht jedes davon womöglich seinen eigenen DKIM-Schlüssel und Selektor. Signieren Sie Post von allen Diensten, die in Ihrem Namen versenden, nicht nur von Ihrer Mailbox.
Eine Anmerkung zu DKIM, SPF und DMARC
DKIM funktioniert selten allein. Es ist eine von drei Einstellungen, die zusammen Ihre E-Mail vertrauenswürdig machen:
- SPF sagt, welche Server in Ihrem Namen versenden dürfen.
- DKIM (diese Seite) ist das fälschungssichere Siegel, das beweist, dass eine Nachricht wirklich Ihre und unverändert ist.
- DMARC ist die Anweisung, die Anbietern sagt, was mit allem zu tun ist, das fehlschlägt — und sie stützt sich auf DKIM und SPF, um diese Entscheidung zu treffen.
Wenn Sie DKIM beheben, lohnt es sich, SPF und DMARC gleichzeitig zu prüfen. Zusammen sind sie es, die verhindern, dass Ihr Unternehmen imitiert wird, und die dafür sorgen, dass Ihre echte E-Mail dort landet, wo sie soll.
Richten Sie es bei Ihrem Anbieter ein
Schritt für Schritt für gängige Anbieter:
- DKIM bei GoDaddy einrichten
- DKIM bei Namecheap einrichten
- DKIM bei Cloudflare einrichten
- DKIM bei Google Workspace einrichten
- DKIM bei Microsoft 365 einrichten
- DKIM bei Squarespace einrichten
- DKIM bei Wix einrichten
- DKIM bei AWS Route 53 einrichten
- DKIM bei Hostinger einrichten
- DKIM bei Porkbun einrichten
- DKIM bei IONOS einrichten
- DKIM bei Bluehost einrichten
FAQ
Ich bin nicht technisch versiert — kann ich das selbst regeln?
Sie müssen die Kryptografie nicht verstehen. In den meisten Fällen ist es eine Einstellung, die Sie in Ihrem E-Mail-Anbieter (Google Workspace, Microsoft 365, Zoho usw.) einschalten, woraufhin dieser Ihnen einen oder zwei Einträge gibt, die Sie Ihrer Domain hinzufügen. Geben Sie den Abschnitt 'So beheben Sie es' an die Person weiter, die Ihre E-Mail oder Domain betreut — es ist eine schnelle, kostenlose Aufgabe, meist etwa 15 Minuten.
Riskiert das Aktivieren von DKIM, meine E-Mails lahmzulegen?
DKIM korrekt hinzuzufügen ist sicher — es ändert nicht, wie Ihre Post versendet wird, sondern fügt lediglich eine Signatur hinzu, die Empfänger überprüfen können. Das eine, was stimmen muss: Veröffentlichen Sie den Schlüssel, den Ihr Anbieter erzeugt, exakt wie vorgegeben, und aktivieren Sie das Signieren erst, wenn der Eintrag im DNS live ist. In dieser Reihenfolge gibt es keine Störung für Sie oder Ihre Kunden.
Wir nutzen bereits einen großen Anbieter wie Google oder Microsoft — sind wir nicht automatisch abgesichert?
Nicht immer. Große Anbieter machen DKIM einfach, aber bei vielen Domains muss es trotzdem eingeschaltet und ein Eintrag im DNS hinzugefügt werden — es ist nicht immer standardmäßig aktiv. Genau deshalb kann eine Domain bei einem großen Anbieter diese Prüfung dennoch nicht bestehen. Es dauert wenige Minuten, das zu bestätigen und zu aktivieren.
Was ist der Unterschied zwischen DKIM, SPF und DMARC? Brauche ich alle drei?
Betrachten Sie sie als ein Set. SPF listet, welche Server in Ihrem Namen versenden dürfen. DKIM ist das fälschungssichere Siegel, das beweist, dass eine Nachricht wirklich Ihre und unverändert ist. DMARC ist die Anweisung, die Anbietern sagt, alles zu blockieren, was diese Prüfungen nicht besteht. Sie wirken am besten zusammen — DMARC stützt sich besonders auf DKIM, um seine Aufgabe zu erfüllen —, also ja, Sie wollen alle drei.
Mein IT-Mensch sagt, DKIM sei 'an' — woher weiß ich, dass es wirklich funktioniert und stark genug ist?
Zwei Dinge zählen: dass eine gültige Signatur an einem Selektor für Ihre Domain veröffentlicht wird, und dass der dahinterstehende Schlüssel stark ist (2048-Bit-RSA oder besser). Ein älterer 1024-Bit-Schlüssel funktioniert noch, gilt aber nach modernen Maßstäben als schwach und wird hier als teilweises Bestehen gewertet. Eine erneute Prüfung Ihrer Domain bestätigt beides auf einmal.
Was ist ein 'Selektor' und warum ist er wichtig?
Ein Selektor ist lediglich eine Bezeichnung, die auf einen bestimmten DKIM-Schlüssel in Ihrem DNS zeigt — er erlaubt Ihnen, mehrere Schlüssel gleichzeitig zu betreiben (zum Beispiel einen für Ihre Mailbox und einen für Ihr Newsletter-Tool) und Schlüssel sicher zu rotieren. Sie verwalten ihn nicht von Hand; Ihr Anbieter erstellt den Selektor und nennt Ihnen den zu veröffentlichenden Eintrag. Er ist hier nur deshalb relevant, weil die Prüfung an den von Mailanbietern üblicherweise genutzten Selektoren nach einem gültigen Schlüssel sucht.