Defaults.Exposed › Einrichtung › DKIM

DKIM bei Cloudflare einrichten

Veröffentlichen Sie den DKIM-Schlüssel Ihres E-Mail-Anbieters im Cloudflare-DNS, damit Ihre E-Mails eine fälschungssichere Signatur tragen.

Warum das für Ihr Unternehmen zählt

DKIM (DomainKeys Identified Mail) versieht jede E-Mail, die Sie versenden, mit einer unsichtbaren digitalen Signatur. Der empfangende E-Mail-Anbieter prüft anhand eines öffentlichen Schlüssels, den Sie in Ihrem DNS hinterlegt haben, zwei Dinge: dass die Nachricht wirklich von Ihrer Domain stammt und dass sie unterwegs niemand verändert hat.

Im Klartext: DKIM ist ein Echtheitssiegel auf Ihrer E-Mail. Es erschwert Betrügern, sich als Sie auszugeben, und erhöht die Chance, dass Ihre echten Nachrichten im Posteingang landen statt im Spam. Wie die übrigen Maßnahmen ist es kostenlos und wird nur einmal eingerichtet.

Wichtig: DKIM besteht aus zwei Hälften

DKIM ist der eine Eintrag, bei dem es wirklich darauf ankommt, wer was macht:

• Ihr E-Mail-Anbieter erzeugt den Schlüssel. Google Workspace, Microsoft 365 oder wer auch immer Ihre Postfächer betreibt, erstellt den DKIM-Schlüssel für Sie – in dessen Verwaltungsbereich. Diesen Wert können Sie sich nicht ausdenken; Sie müssen den exakten Hostnamen und Wert von dort holen. Cloudflare erzeugt keine DKIM-Schlüssel; es ist Ihr DNS-Betreiber, nicht Ihr Postfach-Anbieter.
• Cloudflare veröffentlicht ihn. Sie tragen diesen Schlüssel anschließend im DNS Ihrer Domain bei Cloudflare ein (vorausgesetzt, Cloudflare betreibt Ihr DNS – siehe unten).

Also: beim E-Mail-Anbieter erzeugen, beim DNS-Betreiber veröffentlichen.

Zuerst prüfen: Betreibt Cloudflare Ihr DNS?

Ein DKIM-Eintrag funktioniert nur, wenn Cloudflare das DNS für Ihre Domain beantwortet. Cloudflares DNS ist erst aktiv, wenn die Nameserver Ihrer Domain (bei Ihrem Registrar gesetzt) auf die im Dashboard angezeigten Cloudflare-Nameserver verweisen. Öffnen Sie Ihre Domain bei Cloudflare und sehen Sie sich die Overview-Seite an – sie bestätigt, ob Cloudflare aktiv ist. Zeigen Ihre Nameserver auf einen anderen Anbieter, tragen Sie den DKIM-Eintrag stattdessen dort ein; bei Cloudflare würde er nicht wirksam.

Den Schlüssel beim E-Mail-Anbieter holen

Suchen Sie im Verwaltungsbereich Ihres E-Mail-Anbieters die Einstellung für DKIM bzw. E-Mail-Authentifizierung und erzeugen/aktivieren Sie einen Schlüssel. Sie erhalten zwei Textbausteine:

• Einen Host-/Selector-Namen, etwa google._domainkey oder selector1._domainkey.
• Einen langen Wert, der mit v=DKIM1; beginnt, gefolgt von k=rsa; p= und einer sehr langen Zeichenkette (dem öffentlichen Schlüssel).

Kopieren Sie beides exakt.

Schritt für Schritt bei Cloudflare

1. Melden Sie sich bei Cloudflare an und wählen Sie Ihre Domain aus.
2. Gehen Sie im linken Menü zu Ihren DNS-Einstellungen (suchen Sie nach DNS / Records).
3. Klicken Sie auf Add record.
4. Setzen Sie Type für die meisten DKIM-Schlüssel auf TXT. Nehmen Sie CNAME nur, wenn Ihr Anbieter es Ihnen ausdrücklich vorgegeben hat – manche Anbieter, darunter Microsoft 365, verwenden CNAME-Einträge, die auf ihre eigenen Server verweisen.
5. Tragen Sie im Feld Name nur den Selector-Teil ein – zum Beispiel google._domainkey oder selector1._domainkey. Hängen Sie Ihren Domainnamen nicht hinten an; Cloudflare ergänzt ihn automatisch.
6. Fügen Sie im Feld Content den langen Schlüsselwert exakt so ein, wie Ihr Anbieter ihn übergeben hat. (Bei einem CNAME fügen Sie stattdessen den angegebenen Zielhost ein.)
7. Lassen Sie TTL auf Auto.
8. Klicken Sie auf Save.

Cloudflare-Stolperfallen, die häufig danebengehen

• Tragen Sie nicht die ganze Domain in Name ein. Zeigt die Anleitung Ihres Anbieters selector1._domainkey.ihredomain.de, geben Sie bei Cloudflare nur selector1._domainkey ein – der Rest wird ergänzt. Wer die Domain erneut anhängt, erzeugt einen fehlerhaften Host ..ihredomain.de.ihredomain.de.
• Fügen Sie den ganzen Schlüssel ein – er ist lang. Öffentliche DKIM-Schlüssel sind Hunderte Zeichen lang. Achten Sie darauf, dass nichts abgeschnitten ist und sich beim Kopieren keine überzähligen Leerzeichen oder Zeilenumbrüche eingeschlichen haben. Cloudflare teilt einen langen TXT-Wert intern in Segmente auf – das ist normal und in Ordnung.
• Setzen Sie keine eigenen Anführungszeichen. Fügen Sie den reinen Wert ein; um die Anführungszeichen kümmert sich Cloudflare. Selbst gesetzte "-Zeichen können den Eintrag beschädigen.
• TXT oder CNAME – richten Sie sich nach Ihrem Anbieter. Heißt es CNAME, wählen Sie CNAME und fügen Sie deren Zielhost als Content ein; wandeln Sie ihn nicht in TXT um.
• Wenn Sie einen CNAME anlegen, stellen Sie ihn auf DNS only (graue Wolke). Authentifizierungseinträge dürfen nicht über den Proxy laufen – achten Sie darauf, dass der Proxy-Status die graue Wolke zeigt, nicht die orange, damit der Eintrag auf den Wert Ihres E-Mail-Anbieters auflöst und nicht auf Cloudflares Proxy.
• Treffen Sie den Selector genau. Der Selector im Feld Name muss zeichengenau dem entsprechen, was Ihr Anbieter erwartet – nur so findet der Empfänger den richtigen Schlüssel.
• Geben Sie ihm Zeit. DNS-Änderungen brauchen ein paar Minuten bis einige Stunden, bis sie sich verbreitet haben und DKIM zu prüfen beginnt.

Prüfen, ob es geklappt hat

Nach dem Speichern und einer kurzen Verbreitungszeit nutzen Sie den kostenlosen Test auf dieser Seite. Er bestätigt Ihnen in klarer Sprache, ob Ihr DKIM-Eintrag veröffentlicht und lesbar ist.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.