Zum Hauptinhalt springen

Was ist DKIM?

DKIM ist die kryptografische Unterschrift unter deinen E-Mails — der zweite Pfeiler moderner E-Mail-Sicherheit, neben SPF und DMARC.

Kurz erklärt

DKIM steht für DomainKeys Identified Mail. Beim Versand jeder E-Mail signiert dein Mailserver bestimmte Header-Felder und den Body mit einem privaten Schlüssel. Der zugehörige öffentliche Schlüssel liegt im DNS deiner Domain — der empfangende Server holt ihn dort, prüft die Signatur und erkennt damit zweifelsfrei: Diese Mail stammt tatsächlich von einem deiner Mailserver, und sie wurde unterwegs nicht manipuliert.

Warum reicht SPF nicht?

SPF prüft nur, ob die versendende IP berechtigt ist. Wird die Mail aber irgendwo unterwegs weitergeleitet (klassischer Mailing-List- oder Forwarding-Fall), ändert sich die Absender-IP — und SPF schlägt fehl, obwohl die Mail legitim ist. DKIM dagegen reist mit der Mail mit: Die Signatur bleibt gültig, egal über wie viele Hops die Mail geht. Daher ist DKIM die robustere Authentifizierung — und genau deshalb verlangt DMARC, dass SPF oder DKIM bestehen muss.

Wie funktioniert die Signatur?

Jede mit DKIM signierte Mail bekommt einen DKIM-Signature-Header mitgeliefert. Der sieht etwa so aus: 

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
  d=deinedomain.de; s=mail2024;
  h=from:to:subject:date:message-id;
  bh=base64(BodyHash);
  b=base64(Signatur)
  • d=... — die signierende Domain.
  • s=... — der Selektor (Schlüsselname).
  • h=... — Liste der signierten Header-Felder.
  • bh=... — Hash des E-Mail-Body.
  • b=... — die eigentliche Signatur.

Der Empfänger holt den öffentlichen Schlüssel unter {selector}._domainkey.{domain}, also z. B. mail2024._domainkey.deinedomain.de, und prüft die Signatur. Stimmt sie, ist die Mail authentifiziert.

Was sind Selektoren?

Selektoren erlauben es, mehrere DKIM-Schlüssel parallel zu betreiben — etwa einen für transaktionale Mails (Bestellbestätigungen), einen für Newsletter (Mailchimp, Brevo) und einen für CRM-Mails. Pro Versender wird ein eigener Selektor verwendet, jeder mit eigenem DNS-Eintrag. Übliche Standard-Selektoren: default, google, selector1, selector2, k1, mail, s1.

Schlüsselrotation

DKIM-Schlüssel sollten alle 6–12 Monate rotiert werden. Empfohlener Ablauf:

  1. Neuen Selektor anlegen (z. B. mail2025) und neuen Public-Key im DNS hinterlegen.
  2. Mailserver auf den neuen Selektor umstellen — er signiert ab sofort mit dem neuen Schlüssel.
  3. Alten Selektor mindestens 1–2 Wochen erreichbar lassen, falls noch Mails mit alter Signatur unterwegs sind.
  4. Alten DNS-Eintrag entfernen.

Häufige Fehler

  • Schlüssel zu kurz: Mindestens 1024 Bit RSA, besser 2048 Bit. Kürzere Schlüssel sind angreifbar.
  • Body-Modifikation: Mailing-Listen, die Footer anhängen, brechen die Signatur. Lösung: c=relaxed/relaxed verwenden — toleriert Whitespace-Änderungen.
  • Falsche d=-Domain: DMARC-Alignment scheitert, wenn die signierte Domain (d=) nicht zur From-Domain passt.
  • Vergessene Selektoren: Wechselst du den Newsletter-Anbieter, bleibt der alte Selektor oft im DNS — bringt nichts mehr, aber stört auch nicht. Trotzdem aufräumen.

Selbst prüfen: DMARC-Lookup

SPF, DMARC, DKIM und MX-Records. Gib eine Domain ein und sieh in Sekunden, wie es um deinen DKIM steht.

Auch im Lexikon

DMARC erklärt

DMARC

HSTS erklärt

HSTS

SSL/TLS erklärt

SSL

SPF erklärt

SPF

CSP erklärt

CSP

X-Frame-Options erklärt

X-FRAME-OPTIONS

Subresource Integrity erklärt

SUBRESOURCE-INTEGRITY

CORS erklärt

CORS

Cookie-Flags erklärt

COOKIE-FLAGS

DNSSEC erklärt

DNSSEC

CAA-Record erklärt

CAA-RECORD

Referrer-Policy erklärt

REFERRER-POLICY

Permissions-Policy erklärt

PERMISSIONS-POLICY

MIME-Sniffing & X-Content-Type-Options erklärt

MIME-SNIFFING