Defaults.Exposed › Einrichtung › DKIM

DKIM bei Google Workspace einrichten

Erzeugen Sie einen DKIM-Schlüssel in der Google Admin-Konsole und veröffentlichen Sie ihn in Ihrem DNS, damit Ihre E-Mails eine fälschungssichere Signatur tragen.

Warum das für Ihr Unternehmen zählt

DKIM (DomainKeys Identified Mail) versieht jede E-Mail, die Sie versenden, mit einer unsichtbaren digitalen Signatur. Der empfangende E-Mail-Anbieter prüft anhand eines öffentlichen Schlüssels, den Sie in Ihrem DNS hinterlegt haben, zwei Dinge: dass die Nachricht wirklich von Ihrer Domain stammt und dass sie unterwegs niemand verändert hat.

Im Klartext: DKIM ist ein Echtheitssiegel auf Ihrer E-Mail. Es erschwert Betrügern, sich als Sie auszugeben, und erhöht die Chance, dass Ihre echten Nachrichten im Posteingang landen statt im Spam. Es ist kostenlos und wird nur einmal eingerichtet.

Wichtig: DKIM besteht aus zwei Hälften

DKIM ist der eine Eintrag, bei dem es wirklich darauf ankommt, wer was macht:

• Google erzeugt den Schlüssel – in der Google Admin-Konsole. Sie melden sich bei admin.google.com an und lassen Google den DKIM-Schlüssel für Ihre Domain erstellen. Diesen Wert können Sie sich nicht ausdenken; Google erzeugt ihn für Sie.
• Ihr DNS-Betreiber veröffentlicht ihn. Sie tragen diesen Schlüssel anschließend im DNS Ihrer Domain ein – bei dem Unternehmen, das Ihre Nameserver betreibt (Ihr Registrar, Webhoster, Cloudflare usw.). Das ist in der Regel nicht Google.

Also: bei Google Workspace erzeugen, beim DNS-Betreiber veröffentlichen. Beide Hälften sind nötig, und am Ende gibt es noch einen zusätzlichen Schritt, bei dem Sie zurück zu Google gehen und DKIM einschalten.

Schritt 1 – Den Schlüssel in der Google Admin-Konsole erzeugen

1. Melden Sie sich mit einem Administratorkonto bei der Google Admin-Konsole unter admin.google.com an.
2. Gehen Sie zu Apps → Google Workspace → Gmail und öffnen Sie E-Mails authentifizieren (das ist der DKIM-Bereich).
3. Wählen Sie Ihre Domain aus der Liste.
4. Falls Sie gefragt werden, wählen Sie die Schlüssellänge (der Standardwert, üblicherweise 2048 Bit, ist in Ordnung) und klicken Sie auf Neuen Eintrag erstellen.
5. Google zeigt Ihnen nun zwei Textbausteine:
   • Einen DNS-Hostnamen / Selector, der bei Google üblicherweise google._domainkey lautet.
   • Einen langen TXT-Eintragswert, der mit v=DKIM1; k=rsa; p= beginnt, gefolgt von einer sehr langen Zeichenkette (dem öffentlichen Schlüssel).
6. Lassen Sie diese Seite offen – Sie kopieren diese Werte gleich in Ihr DNS und kommen danach zurück, um DKIM einzuschalten.

Schritt 2 – Den Schlüssel beim DNS-Betreiber veröffentlichen

Stellen Sie zunächst sicher, dass Sie bei dem Unternehmen arbeiten, das Ihr DNS tatsächlich betreibt. Ein DKIM-Eintrag funktioniert nur, wenn er dort eingetragen wird, wohin die Nameserver Ihrer Domain zeigen. Sind Sie unsicher, prüfen Sie den Abschnitt Nameservers in Ihrem Registrar-Konto oder fragen Sie, wer Ihre Website verwaltet.

1. Melden Sie sich bei Ihrem DNS-Betreiber an und öffnen Sie die DNS-Einstellungen für Ihre Domain (suchen Sie nach DNS / Records / Advanced DNS).
2. Fügen Sie einen neuen Eintrag hinzu und wählen Sie TXT.
3. Tragen Sie im Feld Name / Host nur den Selector-Teil ein – bei Google ist das üblicherweise google._domainkey. Hängen Sie Ihren Domainnamen nicht hinten an; der DNS-Betreiber ergänzt ihn automatisch.
4. Fügen Sie im Feld Value den langen Schlüsselwert, den Google Ihnen gegeben hat, exakt ein.
5. Lassen Sie TTL auf dem Standardwert.
6. Speichern.

Schritt 3 – DKIM einschalten, zurück bei Google

Das Veröffentlichen des Eintrags genügt nicht – Sie müssen Google anweisen, mit dem Signieren zu beginnen.

1. Kehren Sie zur Seite E-Mails authentifizieren in der Google Admin-Konsole zurück.
2. Klicken Sie auf Authentifizierung starten.
3. Google prüft, ob der Eintrag in Ihrem DNS sichtbar ist. Findet es ihn noch nicht, geben Sie dem DNS etwas Zeit zur Verbreitung (Minuten bis einige Stunden) und versuchen Sie es erneut.

Stolperfallen, die häufig danebengehen

• Zwei Stellen, in dieser Reihenfolge. Bei Google erzeugen, im DNS veröffentlichen, dann zurückkommen und Authentifizierung starten klicken. Wer den letzten Schritt auslässt, hat den Schlüssel zwar veröffentlicht, aber Google signiert Ihre Nachrichten nie.
• Tragen Sie nicht die ganze Domain in Host ein. Zeigt die Anleitung google._domainkey.ihredomain.de, geben Sie bei Ihrem DNS-Betreiber nur google._domainkey ein – der Rest wird ergänzt. Wer die Domain erneut anhängt, erzeugt einen fehlerhaften Host wie google._domainkey.ihredomain.de.ihredomain.de.
• Fügen Sie den ganzen Schlüssel ein – er ist lang. Öffentliche DKIM-Schlüssel sind Hunderte Zeichen lang. Manche DNS-Betreiber haben ein Zeichenlimit pro Feld und teilen lange TXT-Werte auf mehrere in Anführungszeichen gesetzte Strings auf – das ist normal und Google kommt damit zurecht, aber achten Sie darauf, dass nichts abgeschnitten ist und sich keine überzähligen Leerzeichen oder Zeilenumbrüche eingeschlichen haben.
• Achten Sie auf die Anführungszeichen. Fügen Sie den reinen Wert ein; die meisten DNS-Betreiber setzen die Anführungszeichen für Sie. Selbst zusätzlich gesetzte "-Zeichen können den Eintrag beschädigen.
• Treffen Sie den Selector genau. Der Host in Ihrem DNS muss zeichengenau dem entsprechen, was Google erwartet (google._domainkey) – nur so findet der Empfänger den richtigen Schlüssel.
• Geben Sie ihm Zeit. DNS-Änderungen brauchen ein paar Minuten bis einige Stunden, bis Google sie bestätigen kann und DKIM zu prüfen beginnt.

Prüfen, ob es geklappt hat

Nachdem Sie den Eintrag veröffentlicht, die Authentifizierung eingeschaltet und eine kurze Verbreitungszeit abgewartet haben, nutzen Sie den kostenlosen Test auf Defaults.Exposed. Er bestätigt Ihnen in klarer Sprache, ob Ihr DKIM-Eintrag veröffentlicht und lesbar ist. Ihre Daten werden in der EU verarbeitet.

Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.