Defaults.Exposed › Einrichtung › DKIM
DKIM bei AWS Route 53 einrichten
Veröffentlichen Sie den DKIM-Schlüssel Ihres E-Mail-Anbieters in Ihrer Route-53-Hosted-Zone, damit Ihre E-Mails eine fälschungssichere Signatur tragen.
Warum das für Ihr Unternehmen zählt
DKIM (DomainKeys Identified Mail) versieht jede E-Mail, die Sie versenden, mit einer unsichtbaren digitalen Signatur. Der empfangende E-Mail-Anbieter prüft anhand eines öffentlichen Schlüssels, den Sie in Ihrem DNS hinterlegt haben, zwei Dinge: dass die Nachricht wirklich von Ihrer Domain stammt und dass sie unterwegs niemand verändert hat.
Im Klartext: DKIM ist ein Echtheitssiegel auf Ihrer E-Mail. Es erschwert Betrügern, sich als Sie auszugeben, und erhöht die Chance, dass Ihre echten Nachrichten im Posteingang landen statt im Spam. Wie die übrigen Maßnahmen ist es kostenlos und wird nur einmal eingerichtet.
Wichtig: DKIM besteht aus zwei Hälften
DKIM ist der eine Eintrag, bei dem es wirklich darauf ankommt, wer was macht:
- Ihr E-Mail-Anbieter erzeugt den Schlüssel. Google Workspace, Microsoft 365, Amazon SES oder wer auch immer Ihren Versand betreibt, erzeugt den DKIM-Schlüssel für Sie – in dessen Verwaltungsbereich. Diesen Wert können Sie sich nicht ausdenken; Sie müssen den exakten Hostnamen und Wert von dort holen. Route 53 erzeugt keine DKIM-Schlüssel; es ist Ihr DNS-Betreiber, nicht Ihr Postfach-Anbieter.
- Route 53 veröffentlicht ihn. Sie tragen diesen Schlüssel anschließend im DNS Ihrer Domain bei Route 53 ein (vorausgesetzt, Route 53 betreibt Ihr DNS – siehe unten).
Also: beim E-Mail-Anbieter erzeugen, beim DNS-Betreiber veröffentlichen.
Zuerst prüfen: Betreibt Route 53 Ihr DNS?
Ein DKIM-Eintrag funktioniert nur, wenn Route 53 das DNS für Ihre Domain beantwortet. Öffnen Sie in der Route-53-Konsole Hosted zones, wählen Sie Ihre Domain und notieren Sie die vier NS-Werte (Nameserver). Diese müssen mit den bei Ihrem Registrar gesetzten Nameservern übereinstimmen. Haben Sie die Domain über Route 53 registriert, stimmen sie meist bereits überein; ist sie woanders registriert – oder haben Sie mehr als eine Hosted Zone für die Domain – prüfen Sie sorgfältig. Zeigen die aktiven Nameserver auf einen anderen Anbieter, tragen Sie den DKIM-Eintrag stattdessen dort ein; bei Route 53 würde er nicht wirksam.
Den Schlüssel beim E-Mail-Anbieter holen
Suchen Sie im Verwaltungsbereich Ihres E-Mail-Anbieters die Einstellung für DKIM bzw. E-Mail-Authentifizierung und erzeugen/aktivieren Sie einen Schlüssel. Was Sie zurückbekommen, hängt vom Anbieter ab, und das ändert, wie Sie ihn in Route 53 eingeben:
- Google Workspace gibt Ihnen einen TXT-Eintrag: einen Selector-Namen wie
google._domainkeyund einen langen Wert, der mitv=DKIM1; k=rsa; p=beginnt, gefolgt von einer sehr langen Zeichenkette. - Microsoft 365 gibt Ihnen zwei CNAME-Einträge, mit Selectors wie
selector1._domainkeyundselector2._domainkey, die jeweils auf einen Microsoft-Host verweisen. - Amazon SES gibt Ihnen drei CNAME-Einträge (sein „Easy DKIM”-Feature). Liegt Ihre Domain in Route 53, kann SES diese oft anbieten, automatisch hinzuzufügen – Sie können sie aber auch von Hand eintragen.
Kopieren Sie Hostnamen und Werte exakt.
Schritt für Schritt bei Route 53
- Melden Sie sich in der AWS-Konsole an und öffnen Sie Route 53.
- Wählen Sie im linken Menü Hosted zones und klicken Sie auf den Namen Ihrer Domain.
- Klicken Sie auf Create record.
- Erscheint ein Assistent mit Routing-Optionen, wechseln Sie zum einfachen Formular (suchen Sie nach Quick create record).
- Tragen Sie unter Record name nur den Selector-Teil ein – zum Beispiel
google._domainkeyoderselector1._domainkey. Hängen Sie Ihren Domainnamen nicht hinten an; Route 53 ergänzt die Zone automatisch (sie wird neben dem Feld angezeigt). - Setzen Sie Record type auf TXT oder CNAME, exakt passend zu dem, was Ihr Anbieter Ihnen gegeben hat (Google = TXT; Microsoft 365 und Amazon SES = CNAME).
- Bei Value:
- Bei einem TXT-Schlüssel fügen Sie den langen Wert in doppelte Anführungszeichen gesetzt ein:
"v=DKIM1; k=rsa; p=...". - Bei einem CNAME fügen Sie den von Ihrem Anbieter angegebenen Zielhost ohne Anführungszeichen ein (z. B.
selector1-yourdomain._domainkey.yourdomain.onmicrosoft.com).
- Bei einem TXT-Schlüssel fügen Sie den langen Wert in doppelte Anführungszeichen gesetzt ein:
- Lassen Sie TTL auf dem Standardwert.
- Klicken Sie auf Create records. Wiederholen Sie das für jeden Eintrag (Microsoft 365 braucht zwei; Amazon SES braucht drei).
Route-53-Stolperfallen, die häufig danebengehen
- TXT-Schlüssel brauchen doppelte Anführungszeichen; CNAMEs nicht. Das bringt die Leute ständig durcheinander. Ein TXT-DKIM-Wert kommt als
"v=DKIM1; ... p=..."mit Anführungszeichen hinein. Ein CNAME-Wert ist nur der reine Zielhost, ohne Anführungszeichen. Das Verwechseln zerstört den Eintrag. - Tragen Sie nicht die ganze Domain in Record name ein. Zeigt die Anleitung Ihres Anbieters
selector1._domainkey.ihredomain.de, geben Sie bei Route 53 nurselector1._domainkeyein – der Rest wird ergänzt. Wer die Domain erneut anhängt, erzeugt einen fehlerhaften Hostselector1._domainkey.ihredomain.de.ihredomain.de. - Fügen Sie den ganzen Schlüssel ein – er ist lang. Öffentliche TXT-DKIM-Schlüssel sind Hunderte Zeichen lang. Achten Sie darauf, dass nichts abgeschnitten ist und sich beim Kopieren keine überzähligen Leerzeichen oder Zeilenumbrüche eingeschlichen haben.
- Fügen Sie jeden Eintrag hinzu, den Ihr Anbieter verlangt. Microsoft 365 validiert nicht mit nur einem seiner beiden CNAMEs; Amazon SES braucht alle drei. Ein unvollständiger Satz lässt DKIM stillschweigend scheitern.
- TXT oder CNAME – richten Sie sich nach Ihrem Anbieter. Wandeln Sie einen CNAME nicht in einen TXT um oder umgekehrt. Nehmen Sie den Typ, den der Anbieter vorgibt.
- Richtige Hosted Zone, richtiges Konto. Bei mehreren Zonen oder AWS-Konten bearbeitet man leicht das falsche. Stellen Sie sicher, dass die vier NS-Werte der Zone mit Ihren aktiven Nameservern übereinstimmen.
- Geben Sie ihm Zeit. DNS-Änderungen brauchen ein paar Minuten bis einige Stunden, bis sie sich verbreitet haben und DKIM zu prüfen beginnt.
Prüfen, ob es geklappt hat
Nach dem Speichern und einer kurzen Verbreitungszeit nutzen Sie den kostenlosen Test auf dieser Seite. Er bestätigt Ihnen in klarer Sprache, ob Ihr DKIM-Eintrag veröffentlicht und lesbar ist.
Fertig? Prüfen Sie Ihre Domain kostenlos um zu bestätigen, dass es funktioniert hat – und sehen Sie Ihre vollständige Bewertung über alle 34 Prüfungen.