--- title: "Was ist DKIM? DomainKeys Identified Mail erklärt | DMARC Report" description: "DKIM (DomainKeys Identified Mail) ist ein kryptografisches E-Mail-Authentifizierungsprotokoll, das ausgehende Nachrichten signiert, damit Empfänger überprüfen können, ob die E-Mail echt und unverändert ist. Erfahren Sie, wie DKIM funktioniert, den Aufbau von DKIM-Einträgen, Selektoren und häufige Probleme." image: "https://dmarcreport.com/images/og-default.png" canonical: "https://dmarcreport.com/de/was-ist-dkim/" --- E-Mail-Authentifizierung # Was ist DKIM? DKIM (DomainKeys Identified Mail) ist ein kryptografisches E-Mail-Authentifizierungsprotokoll, das ausgehenden Nachrichten eine digitale Signatur hinzufügt, sodass Empfänger überprüfen können, ob die E-Mail tatsächlich von der angegebenen Domain stammt und während der Übertragung nicht verändert wurde. [ DKIM-Eintrag prüfen → ](/tools/dkim-lookup/) So funktioniert es ## Dreistufige kryptografische Verifizierung DKIM nutzt Public-Key-Kryptografie, um zu beweisen, dass eine E-Mail-Nachricht von der angegebenen Domain gesendet wurde und nach dem Versand nicht verändert wurde. 01 ### Absender signiert Wenn Ihr Mailserver eine E-Mail versendet, erstellt er einen Hash aus ausgewählten Headern und dem Nachrichtentext, verschlüsselt den Hash mit einem privaten Schlüssel und fügt das Ergebnis als DKIM-Signature-Header hinzu. 02 ### Nachricht wird übertragen Die signierte E-Mail durchquert das Internet. Da die DKIM-Signatur Teil des Nachrichten-Headers ist, reist sie mit der E-Mail durch eine beliebige Anzahl von Zwischenservern und Weiterleitungen. 03 ### Empfänger verifiziert Der empfangende Server liest den DKIM-Signature-Header, ruft den öffentlichen Schlüssel aus dem DNS unter selektor.\_domainkey.ihredomain.com ab, entschlüsselt den Hash, berechnet ihn neu und vergleicht. Übereinstimmung bedeutet DKIM bestanden. Eintrag-Anatomie ## Wie ein DKIM-Eintrag im DNS aussieht Ein DKIM-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht unter `selektor._domainkey.ihredomain.com`. Er enthält den öffentlichen Schlüssel, den Empfänger verwenden, um die DKIM-Signatur Ihrer ausgehenden Nachrichten zu überprüfen. - Der Selektor wird von Ihrem E-Mail-Anbieter gewählt (z.B. google, selector1) - Der öffentliche Schlüssel ist Base64-kodiert und kann 1024 oder 2048 Bit haben - NIST empfiehlt mindestens 2048-Bit-RSA-Schlüssel für die Sicherheit - Ed25519-Schlüssel sind kleiner und schneller, aber noch nicht universell unterstützt DNS TXT-Eintrag `selector1._domainkey.beispiel.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."` `v=DKIM1` Version Erforderlich. Identifiziert dies als DKIM-Schlüsseleintrag. `k=rsa` Schlüsseltyp RSA ist Standard. Ed25519 kommt auf, ist aber noch nicht universell verbreitet. `p=MIGf...` Öffentlicher Schlüssel Base64-kodierter öffentlicher Schlüssel zur Signaturverifizierung. DKIM-Selektoren ## Wie Selektoren den richtigen Schlüssel identifizieren Ein DKIM-Selektor ist eine Zeichenkette im DKIM-Signature-Header (das `s=`\-Tag), die dem Empfänger mitteilt, welcher DNS-Eintrag den öffentlichen Schlüssel enthält. Jeder E-Mail-Dienst verwendet seinen eigenen Selektor, sodass eine Domain mehrere aktive DKIM-Schlüssel gleichzeitig haben kann. Anbieter Selektor(en) DNS-Standort Google Workspace `google` `google._domainkey.beispiel.de` Microsoft 365 `selector1, selector2` `selector1._domainkey.beispiel.de` SendGrid `s1, s2` `s1._domainkey.beispiel.de` Mailchimp `k1` `k1._domainkey.beispiel.de` Amazon SES `custom (CNAME)` `xxxxxxx._domainkey.beispiel.de` Postmark `20230601xxxxx` `CNAME zu dkim.postmarkapp.com` Protokollvergleich ## DKIM vs SPF vs DMARC Die drei Protokolle arbeiten zusammen, um eine mehrschichtige E-Mail-Authentifizierung zu bieten. Jedes schützt vor unterschiedlichen Angriffsvektoren. SPF DKIM DMARC Was wird geprüft Sendende Server-IP Nachrichtensignatur SPF/DKIM-Ausrichtung Geprüft gegen DNS TXT der Domain DNS TXT am Selektor DNS TXT bei \_dmarc Überlebt Weiterleitung Nein Ja Über DKIM Schützt Inhalt Nein Ja (signierte Header + Text) Indirekt (über DKIM) Durchsetzungsmaßnahme Pass/Fail-Signal Pass/Fail-Signal None / Quarantine / Reject Berichterstattung Nein Nein Ja (RUA + RUF) RFC 7208 6376 7489 Fehlerbehebung ## Häufige DKIM-Probleme und ihre Behebung DKIM-Fehler sind meist auf Schlüsselverwaltung, DNS-Konfiguration oder Nachrichtenänderungen durch Zwischenstellen zurückzuführen. ### Signatur-Abweichung Der private Schlüssel zum Signieren stimmt nicht mit dem öffentlichen Schlüssel im DNS überein. Meist durch unvollständige Schlüsselrotation oder Veröffentlichung des falschen Schlüssels verursacht. Mit einem DKIM-Lookup-Tool überprüfen. ### Schlüsselrotations-Lücken Alter Schlüssel aus DNS entfernt, bevor alle damit signierten Nachrichten zugestellt und verifiziert wurden. Veröffentlichen Sie immer zuerst den neuen Schlüssel, warten Sie mindestens 48 Stunden, dann entfernen Sie den alten. ### Weiterleitung bricht Signatur Mailinglisten und Weiterleitungen, die Header oder Nachrichtentext ändern, machen die DKIM-Signatur ungültig. ARC (Authenticated Received Chain) hilft, aber die Verbreitung wächst noch. ### DNS-Eintrag zu lang Einige DNS-Anbieter teilen lange TXT-Einträge falsch auf. DKIM-öffentliche Schlüssel, besonders 2048-Bit-RSA, können 255 Zeichen überschreiten und müssen korrekt über mehrere Zeichenketten verkettet werden. ### Fehlender DKIM-Eintrag Der DNS-TXT-Eintrag wurde nie veröffentlicht, versehentlich gelöscht oder befindet sich am falschen Selektor-Standort. Prüfen Sie, dass der Eintrag unter selektor.\_domainkey.ihredomain.com existiert. ### Abgelaufene Signatur Das x=-Tag im DKIM-Signature-Header setzt einen Ablaufzeitstempel. Wenn die Nachricht nach diesem Zeitstempel verifiziert wird, schlägt DKIM fehl. Häufig bei verzögerter Zustellung oder in der Warteschlange befindlichen Nachrichten. FAQ ## Häufig gestellte Fragen zu DKIM ### Was ist DKIM? DKIM (DomainKeys Identified Mail) ist ein kryptografisches E-Mail-Authentifizierungsprotokoll, definiert in RFC 6376, das ausgehenden E-Mail-Nachrichten eine digitale Signatur hinzufügt. Der empfangende Mailserver verwendet die Signatur, um zwei Dinge zu überprüfen: Die E-Mail stammt tatsächlich von der Domain, die sie vorgibt, und der Nachrichteninhalt wurde während der Übertragung nicht verändert. Im Gegensatz zu SPF, das die sendende Server-IP prüft, signiert DKIM den eigentlichen Nachrichteninhalt und ist damit die zuverlässigste Authentifizierungsmethode für weitergeleitete E-Mails. ### Wie funktioniert DKIM? DKIM funktioniert in drei Schritten. Erstens erstellt der sendende Mailserver einen Hash aus ausgewählten Headern und dem Nachrichtentext, verschlüsselt diesen Hash dann mit einem privaten Schlüssel auf dem Server. Der verschlüsselte Hash wird zum DKIM-Signature-Header, der an die E-Mail angehängt wird. Zweitens veröffentlicht der Domain-Inhaber den entsprechenden öffentlichen Schlüssel als DNS-TXT-Eintrag unter selektor.\_domainkey.ihredomain.com. Drittens ruft der empfangende Server den öffentlichen Schlüssel aus dem DNS ab, entschlüsselt den Hash, berechnet den Hash aus der empfangenen Nachricht neu und vergleicht. Stimmen sie überein, besteht DKIM. ### Was ist ein DKIM-Selektor? Ein DKIM-Selektor ist eine Zeichenkette, die identifiziert, welcher öffentliche Schlüssel zur Überprüfung einer DKIM-Signatur verwendet werden soll. Er erscheint im DKIM-Signature-Header als s=-Tag und im DNS-Eintrag unter selektor.\_domainkey.ihredomain.com. Selektoren ermöglichen es einer Domain, mehrere aktive DKIM-Schlüssel gleichzeitig zu haben, was für die Schlüsselrotation und für Domains, die mehrere E-Mail-Dienste nutzen, unerlässlich ist. Gängige Selektoren sind google für Google Workspace, selector1 und selector2 für Microsoft 365 und s1 für SendGrid. ### Was ist der Unterschied zwischen DKIM und SPF? SPF (Sender Policy Framework) überprüft, ob die sendende Server-IP-Adresse im DNS-Eintrag der Domain autorisiert ist. Es prüft den Envelope-Absender (Return-Path), nicht den sichtbaren From-Header. DKIM überprüft, dass der Nachrichteninhalt während der Übertragung nicht verändert wurde, indem eine kryptografische Signatur angehängt wird. Der Hauptunterschied: SPF versagt bei weitergeleiteten E-Mails, weil die Weiterleitungs-IP nicht im ursprünglichen SPF-Eintrag steht, aber DKIM-Signaturen überleben die Weiterleitung, weil sie an die Nachricht selbst angehängt sind. DMARC verbindet beide, indem es erfordert, dass entweder SPF oder DKIM besteht und mit der From-Header-Domain übereinstimmt. ### Warum schlägt DKIM fehl? DKIM schlägt aus mehreren Gründen fehl: Der DKIM-Signature-Header oder signierte Header wurden während der Übertragung geändert (häufig bei Mailinglisten, die Fußzeilen hinzufügen oder die Betreffzeile ändern), der öffentliche Schlüssel im DNS stimmt nicht mit dem privaten Schlüssel überein (oft durch unvollständige Schlüsselrotation verursacht), der DNS-TXT-Eintrag fehlt oder ist nicht erreichbar, die Signatur ist abgelaufen (das x=-Tag in der Signatur gibt einen Ablaufzeitstempel an), oder der Nachrichtentext wurde von einem Zwischenserver verändert. Inhaltsänderungen durch Mailinglisten-Software wie Mailman und Google Groups sind die häufigste Ursache für DKIM-Fehler. ### Wie finde ich meinen DKIM-Selektor? Sie können Ihren DKIM-Selektor finden, indem Sie den DKIM-Signature-Header in einer beliebigen E-Mail untersuchen, die von Ihrer Domain gesendet wurde. Öffnen Sie die E-Mail-Header (in Gmail klicken Sie auf die drei Punkte und wählen Sie Original anzeigen) und suchen Sie nach dem s=-Tag im DKIM-Signature-Header. Der Wert von s= ist Ihr Selektor. Alternativ verwenden Sie das DMARC Report DKIM-Lookup-Tool unter dmarcreport.com/tools/dkim-lookup/, um alle veröffentlichten Selektoren für Ihre Domain zu entdecken. ### Wie oft sollte ich DKIM-Schlüssel rotieren? Best Practice ist die Rotation von DKIM-Schlüsseln alle 6 bis 12 Monate für RSA-Schlüssel und jährlich für Ed25519-Schlüssel. NIST empfiehlt mindestens 2048-Bit-RSA-Schlüssel. Die Schlüsselrotation umfasst die Generierung eines neuen Schlüsselpaars, die Veröffentlichung des neuen öffentlichen Schlüssels unter einem neuen Selektor, die Konfiguration Ihres Mailservers zum Signieren mit dem neuen Schlüssel und das Entfernen des alten öffentlichen Schlüssels aus dem DNS nach einer Übergangszeit. Selektoren machen diesen Prozess nahtlos, da der alte und der neue Schlüssel während des Übergangs koexistieren können. ## Entdecken Sie Ihre DKIM-Selektoren Verwenden Sie unser kostenloses DKIM-Lookup-Tool, um alle veröffentlichten DKIM-Schlüssel für Ihre Domain zu finden und zu überprüfen, ob sie korrekt konfiguriert sind. [DKIM-Eintrag prüfen](/tools/dkim-lookup/) ## Was Sicherheitsteams über die DKIM-Überwachung sagen ![G2 Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_Leader_Leader.png) Rated 4.8/5 on G2 · 469 verified reviews ![G2 Momentum Leader - DMARC](https://media.mailhop.org/dmarcreport/images/g2-badges/DMARC_MomentumLeader_Leader.png) VU Verified User in Information Technology and Services 5/5 ### "Best security tool for your own domains" The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind. 8/31/2022Verified on G2 RC Ryan C. Director 4.5/5 ### "Control Centre for Email Security" I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential. 8/29/2022Verified on G2 eg eddy g. Director 4.5/5 ### "A great solution to a common email problem." I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email. 8/29/2022Verified on G2 [Read all 469 reviews on G2 →](https://www.g2.com/products/dmarc-report/reviews) ```json {"@context":"https://schema.org","@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]},"sameAs":["https://www.wikidata.org/wiki/Q138898167","https://www.linkedin.com/company/duocircle","https://x.com/duocirclellc","https://www.g2.com/products/dmarc-report/reviews","https://github.com/duocircle","https://www.crunchbase.com/organization/duocircle-llc","https://www.trustradius.com/products/duocircle/reviews"],"aggregateRating":{"@type":"AggregateRating","ratingValue":"4.8","reviewCount":"470","bestRating":"5","worstRating":"1","url":"https://www.g2.com/products/dmarc-report/reviews"},"contactPoint":{"@type":"ContactPoint","contactType":"customer support","url":"https://dmarcreport.com/support/"},"knowsAbout":["DMARC","DMARC Reporting","DMARC Aggregate Reports","DMARC Forensic Reports","Sender Policy Framework","DKIM","Email Authentication","Email Security","DNS Management","Email Deliverability"]} ``` ```json {"@context":"https://schema.org","@type":"WebSite","name":"DMARC Report","url":"https://dmarcreport.com","description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","publisher":{"@type":"Organization","name":"DMARC Report","url":"https://dmarcreport.com","logo":{"@type":"ImageObject","url":"https://dmarcreport.com/images/dmarcreport-logo.png"},"description":"DMARC reporting and email authentication management. Monitor aggregate and forensic DMARC reports, analyze authentication results, and enforce DMARC policies across all your domains.","parentOrganization":{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138883901","name":"DuoCircle LLC","url":"https://www.duocircle.com","sameAs":["https://www.wikidata.org/wiki/Q138883901","https://www.crunchbase.com/organization/duocircle-llc","https://www.linkedin.com/company/duocircle","https://github.com/duocircle"],"subOrganization":[{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138898167","name":"DMARC Report","url":"https://dmarcreport.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897474","name":"AutoSPF","url":"https://autospf.com"},{"@type":"Organization","@id":"https://www.wikidata.org/wiki/Q138897912","name":"Phish Protection","url":"https://www.phishprotection.com"}]}}} ``` ```json [{"@context":"https://schema.org","@type":"FAQPage","mainEntity":[{"@type":"Question","name":"Was ist DKIM?","acceptedAnswer":{"@type":"Answer","text":"DKIM (DomainKeys Identified Mail) ist ein kryptografisches E-Mail-Authentifizierungsprotokoll, definiert in RFC 6376, das ausgehenden E-Mail-Nachrichten eine digitale Signatur hinzufügt. Der empfangende Mailserver verwendet die Signatur, um zwei Dinge zu überprüfen: Die E-Mail stammt tatsächlich von der Domain, die sie vorgibt, und der Nachrichteninhalt wurde während der Übertragung nicht verändert. Im Gegensatz zu SPF, das die sendende Server-IP prüft, signiert DKIM den eigentlichen Nachrichteninhalt und ist damit die zuverlässigste Authentifizierungsmethode für weitergeleitete E-Mails."}},{"@type":"Question","name":"Wie funktioniert DKIM?","acceptedAnswer":{"@type":"Answer","text":"DKIM funktioniert in drei Schritten. Erstens erstellt der sendende Mailserver einen Hash aus ausgewählten Headern und dem Nachrichtentext, verschlüsselt diesen Hash dann mit einem privaten Schlüssel auf dem Server. Der verschlüsselte Hash wird zum DKIM-Signature-Header, der an die E-Mail angehängt wird. Zweitens veröffentlicht der Domain-Inhaber den entsprechenden öffentlichen Schlüssel als DNS-TXT-Eintrag unter selektor._domainkey.ihredomain.com. Drittens ruft der empfangende Server den öffentlichen Schlüssel aus dem DNS ab, entschlüsselt den Hash, berechnet den Hash aus der empfangenen Nachricht neu und vergleicht. Stimmen sie überein, besteht DKIM."}},{"@type":"Question","name":"Was ist ein DKIM-Selektor?","acceptedAnswer":{"@type":"Answer","text":"Ein DKIM-Selektor ist eine Zeichenkette, die identifiziert, welcher öffentliche Schlüssel zur Überprüfung einer DKIM-Signatur verwendet werden soll. Er erscheint im DKIM-Signature-Header als s=-Tag und im DNS-Eintrag unter selektor._domainkey.ihredomain.com. Selektoren ermöglichen es einer Domain, mehrere aktive DKIM-Schlüssel gleichzeitig zu haben, was für die Schlüsselrotation und für Domains, die mehrere E-Mail-Dienste nutzen, unerlässlich ist. Gängige Selektoren sind google für Google Workspace, selector1 und selector2 für Microsoft 365 und s1 für SendGrid."}},{"@type":"Question","name":"Was ist der Unterschied zwischen DKIM und SPF?","acceptedAnswer":{"@type":"Answer","text":"SPF (Sender Policy Framework) überprüft, ob die sendende Server-IP-Adresse im DNS-Eintrag der Domain autorisiert ist. Es prüft den Envelope-Absender (Return-Path), nicht den sichtbaren From-Header. DKIM überprüft, dass der Nachrichteninhalt während der Übertragung nicht verändert wurde, indem eine kryptografische Signatur angehängt wird. Der Hauptunterschied: SPF versagt bei weitergeleiteten E-Mails, weil die Weiterleitungs-IP nicht im ursprünglichen SPF-Eintrag steht, aber DKIM-Signaturen überleben die Weiterleitung, weil sie an die Nachricht selbst angehängt sind. DMARC verbindet beide, indem es erfordert, dass entweder SPF oder DKIM besteht und mit der From-Header-Domain übereinstimmt."}},{"@type":"Question","name":"Warum schlägt DKIM fehl?","acceptedAnswer":{"@type":"Answer","text":"DKIM schlägt aus mehreren Gründen fehl: Der DKIM-Signature-Header oder signierte Header wurden während der Übertragung geändert (häufig bei Mailinglisten, die Fußzeilen hinzufügen oder die Betreffzeile ändern), der öffentliche Schlüssel im DNS stimmt nicht mit dem privaten Schlüssel überein (oft durch unvollständige Schlüsselrotation verursacht), der DNS-TXT-Eintrag fehlt oder ist nicht erreichbar, die Signatur ist abgelaufen (das x=-Tag in der Signatur gibt einen Ablaufzeitstempel an), oder der Nachrichtentext wurde von einem Zwischenserver verändert. Inhaltsänderungen durch Mailinglisten-Software wie Mailman und Google Groups sind die häufigste Ursache für DKIM-Fehler."}},{"@type":"Question","name":"Wie finde ich meinen DKIM-Selektor?","acceptedAnswer":{"@type":"Answer","text":"Sie können Ihren DKIM-Selektor finden, indem Sie den DKIM-Signature-Header in einer beliebigen E-Mail untersuchen, die von Ihrer Domain gesendet wurde. Öffnen Sie die E-Mail-Header (in Gmail klicken Sie auf die drei Punkte und wählen Sie Original anzeigen) und suchen Sie nach dem s=-Tag im DKIM-Signature-Header. Der Wert von s= ist Ihr Selektor. Alternativ verwenden Sie das DMARC Report DKIM-Lookup-Tool unter dmarcreport.com/tools/dkim-lookup/, um alle veröffentlichten Selektoren für Ihre Domain zu entdecken."}},{"@type":"Question","name":"Wie oft sollte ich DKIM-Schlüssel rotieren?","acceptedAnswer":{"@type":"Answer","text":"Best Practice ist die Rotation von DKIM-Schlüsseln alle 6 bis 12 Monate für RSA-Schlüssel und jährlich für Ed25519-Schlüssel. NIST empfiehlt mindestens 2048-Bit-RSA-Schlüssel. Die Schlüsselrotation umfasst die Generierung eines neuen Schlüsselpaars, die Veröffentlichung des neuen öffentlichen Schlüssels unter einem neuen Selektor, die Konfiguration Ihres Mailservers zum Signieren mit dem neuen Schlüssel und das Entfernen des alten öffentlichen Schlüssels aus dem DNS nach einer Übergangszeit. Selektoren machen diesen Prozess nahtlos, da der alte und der neue Schlüssel während des Übergangs koexistieren können."}}]}] ``` ```json {"@context":"https://schema.org","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https://dmarcreport.com/"},{"@type":"ListItem","position":2,"name":"Lernen","item":"https://dmarcreport.com/de/was-ist-dmarc/"},{"@type":"ListItem","position":3,"name":"Was ist DKIM","item":"https://dmarcreport.com/de/was-ist-dkim/"}]} ```