Was ist
DKIM?
DKIM (DomainKeys Identified Mail) ist ein kryptografisches E-Mail-Authentifizierungsprotokoll, das ausgehenden Nachrichten eine digitale Signatur hinzufügt, sodass Empfänger überprüfen können, ob die E-Mail tatsächlich von der angegebenen Domain stammt und während der Übertragung nicht verändert wurde.
Dreistufige kryptografische Verifizierung
DKIM nutzt Public-Key-Kryptografie, um zu beweisen, dass eine E-Mail-Nachricht von der angegebenen Domain gesendet wurde und nach dem Versand nicht verändert wurde.
Absender signiert
Wenn Ihr Mailserver eine E-Mail versendet, erstellt er einen Hash aus ausgewählten Headern und dem Nachrichtentext, verschlüsselt den Hash mit einem privaten Schlüssel und fügt das Ergebnis als DKIM-Signature-Header hinzu.
Nachricht wird übertragen
Die signierte E-Mail durchquert das Internet. Da die DKIM-Signatur Teil des Nachrichten-Headers ist, reist sie mit der E-Mail durch eine beliebige Anzahl von Zwischenservern und Weiterleitungen.
Empfänger verifiziert
Der empfangende Server liest den DKIM-Signature-Header, ruft den öffentlichen Schlüssel aus dem DNS unter selektor._domainkey.ihredomain.com ab, entschlüsselt den Hash, berechnet ihn neu und vergleicht. Übereinstimmung bedeutet DKIM bestanden.
Wie ein DKIM-Eintrag
im DNS aussieht
Ein DKIM-Eintrag ist ein DNS-TXT-Eintrag, veröffentlicht unter selektor._domainkey.ihredomain.com. Er enthält den öffentlichen Schlüssel, den Empfänger verwenden, um die DKIM-Signatur Ihrer ausgehenden Nachrichten zu überprüfen.
- Der Selektor wird von Ihrem E-Mail-Anbieter gewählt (z.B. google, selector1)
- Der öffentliche Schlüssel ist Base64-kodiert und kann 1024 oder 2048 Bit haben
- NIST empfiehlt mindestens 2048-Bit-RSA-Schlüssel für die Sicherheit
- Ed25519-Schlüssel sind kleiner und schneller, aber noch nicht universell unterstützt
selector1._domainkey.beispiel.de. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEB..."
v=DKIM1 k=rsa p=MIGf... Wie Selektoren den richtigen Schlüssel identifizieren
Ein DKIM-Selektor ist eine Zeichenkette im DKIM-Signature-Header (das s=-Tag), die dem Empfänger mitteilt, welcher DNS-Eintrag den öffentlichen Schlüssel enthält. Jeder E-Mail-Dienst verwendet seinen eigenen Selektor, sodass eine Domain mehrere aktive DKIM-Schlüssel gleichzeitig haben kann.
google google._domainkey.beispiel.de selector1, selector2 selector1._domainkey.beispiel.de s1, s2 s1._domainkey.beispiel.de k1 k1._domainkey.beispiel.de custom (CNAME) xxxxxxx._domainkey.beispiel.de 20230601xxxxx CNAME zu dkim.postmarkapp.com DKIM vs SPF vs DMARC
Die drei Protokolle arbeiten zusammen, um eine mehrschichtige E-Mail-Authentifizierung zu bieten. Jedes schützt vor unterschiedlichen Angriffsvektoren.
Häufige DKIM-Probleme und ihre Behebung
DKIM-Fehler sind meist auf Schlüsselverwaltung, DNS-Konfiguration oder Nachrichtenänderungen durch Zwischenstellen zurückzuführen.
Signatur-Abweichung
Der private Schlüssel zum Signieren stimmt nicht mit dem öffentlichen Schlüssel im DNS überein. Meist durch unvollständige Schlüsselrotation oder Veröffentlichung des falschen Schlüssels verursacht. Mit einem DKIM-Lookup-Tool überprüfen.
Schlüsselrotations-Lücken
Alter Schlüssel aus DNS entfernt, bevor alle damit signierten Nachrichten zugestellt und verifiziert wurden. Veröffentlichen Sie immer zuerst den neuen Schlüssel, warten Sie mindestens 48 Stunden, dann entfernen Sie den alten.
Weiterleitung bricht Signatur
Mailinglisten und Weiterleitungen, die Header oder Nachrichtentext ändern, machen die DKIM-Signatur ungültig. ARC (Authenticated Received Chain) hilft, aber die Verbreitung wächst noch.
DNS-Eintrag zu lang
Einige DNS-Anbieter teilen lange TXT-Einträge falsch auf. DKIM-öffentliche Schlüssel, besonders 2048-Bit-RSA, können 255 Zeichen überschreiten und müssen korrekt über mehrere Zeichenketten verkettet werden.
Fehlender DKIM-Eintrag
Der DNS-TXT-Eintrag wurde nie veröffentlicht, versehentlich gelöscht oder befindet sich am falschen Selektor-Standort. Prüfen Sie, dass der Eintrag unter selektor._domainkey.ihredomain.com existiert.
Abgelaufene Signatur
Das x=-Tag im DKIM-Signature-Header setzt einen Ablaufzeitstempel. Wenn die Nachricht nach diesem Zeitstempel verifiziert wird, schlägt DKIM fehl. Häufig bei verzögerter Zustellung oder in der Warteschlange befindlichen Nachrichten.
Häufig gestellte Fragen zu DKIM
Was ist DKIM?
DKIM (DomainKeys Identified Mail) ist ein kryptografisches E-Mail-Authentifizierungsprotokoll, definiert in RFC 6376, das ausgehenden E-Mail-Nachrichten eine digitale Signatur hinzufügt. Der empfangende Mailserver verwendet die Signatur, um zwei Dinge zu überprüfen: Die E-Mail stammt tatsächlich von der Domain, die sie vorgibt, und der Nachrichteninhalt wurde während der Übertragung nicht verändert. Im Gegensatz zu SPF, das die sendende Server-IP prüft, signiert DKIM den eigentlichen Nachrichteninhalt und ist damit die zuverlässigste Authentifizierungsmethode für weitergeleitete E-Mails.
Wie funktioniert DKIM?
DKIM funktioniert in drei Schritten. Erstens erstellt der sendende Mailserver einen Hash aus ausgewählten Headern und dem Nachrichtentext, verschlüsselt diesen Hash dann mit einem privaten Schlüssel auf dem Server. Der verschlüsselte Hash wird zum DKIM-Signature-Header, der an die E-Mail angehängt wird. Zweitens veröffentlicht der Domain-Inhaber den entsprechenden öffentlichen Schlüssel als DNS-TXT-Eintrag unter selektor._domainkey.ihredomain.com. Drittens ruft der empfangende Server den öffentlichen Schlüssel aus dem DNS ab, entschlüsselt den Hash, berechnet den Hash aus der empfangenen Nachricht neu und vergleicht. Stimmen sie überein, besteht DKIM.
Was ist ein DKIM-Selektor?
Ein DKIM-Selektor ist eine Zeichenkette, die identifiziert, welcher öffentliche Schlüssel zur Überprüfung einer DKIM-Signatur verwendet werden soll. Er erscheint im DKIM-Signature-Header als s=-Tag und im DNS-Eintrag unter selektor._domainkey.ihredomain.com. Selektoren ermöglichen es einer Domain, mehrere aktive DKIM-Schlüssel gleichzeitig zu haben, was für die Schlüsselrotation und für Domains, die mehrere E-Mail-Dienste nutzen, unerlässlich ist. Gängige Selektoren sind google für Google Workspace, selector1 und selector2 für Microsoft 365 und s1 für SendGrid.
Was ist der Unterschied zwischen DKIM und SPF?
SPF (Sender Policy Framework) überprüft, ob die sendende Server-IP-Adresse im DNS-Eintrag der Domain autorisiert ist. Es prüft den Envelope-Absender (Return-Path), nicht den sichtbaren From-Header. DKIM überprüft, dass der Nachrichteninhalt während der Übertragung nicht verändert wurde, indem eine kryptografische Signatur angehängt wird. Der Hauptunterschied: SPF versagt bei weitergeleiteten E-Mails, weil die Weiterleitungs-IP nicht im ursprünglichen SPF-Eintrag steht, aber DKIM-Signaturen überleben die Weiterleitung, weil sie an die Nachricht selbst angehängt sind. DMARC verbindet beide, indem es erfordert, dass entweder SPF oder DKIM besteht und mit der From-Header-Domain übereinstimmt.
Warum schlägt DKIM fehl?
DKIM schlägt aus mehreren Gründen fehl: Der DKIM-Signature-Header oder signierte Header wurden während der Übertragung geändert (häufig bei Mailinglisten, die Fußzeilen hinzufügen oder die Betreffzeile ändern), der öffentliche Schlüssel im DNS stimmt nicht mit dem privaten Schlüssel überein (oft durch unvollständige Schlüsselrotation verursacht), der DNS-TXT-Eintrag fehlt oder ist nicht erreichbar, die Signatur ist abgelaufen (das x=-Tag in der Signatur gibt einen Ablaufzeitstempel an), oder der Nachrichtentext wurde von einem Zwischenserver verändert. Inhaltsänderungen durch Mailinglisten-Software wie Mailman und Google Groups sind die häufigste Ursache für DKIM-Fehler.
Wie finde ich meinen DKIM-Selektor?
Sie können Ihren DKIM-Selektor finden, indem Sie den DKIM-Signature-Header in einer beliebigen E-Mail untersuchen, die von Ihrer Domain gesendet wurde. Öffnen Sie die E-Mail-Header (in Gmail klicken Sie auf die drei Punkte und wählen Sie Original anzeigen) und suchen Sie nach dem s=-Tag im DKIM-Signature-Header. Der Wert von s= ist Ihr Selektor. Alternativ verwenden Sie das DMARC Report DKIM-Lookup-Tool unter dmarcreport.com/tools/dkim-lookup/, um alle veröffentlichten Selektoren für Ihre Domain zu entdecken.
Wie oft sollte ich DKIM-Schlüssel rotieren?
Best Practice ist die Rotation von DKIM-Schlüsseln alle 6 bis 12 Monate für RSA-Schlüssel und jährlich für Ed25519-Schlüssel. NIST empfiehlt mindestens 2048-Bit-RSA-Schlüssel. Die Schlüsselrotation umfasst die Generierung eines neuen Schlüsselpaars, die Veröffentlichung des neuen öffentlichen Schlüssels unter einem neuen Selektor, die Konfiguration Ihres Mailservers zum Signieren mit dem neuen Schlüssel und das Entfernen des alten öffentlichen Schlüssels aus dem DNS nach einer Übergangszeit. Selektoren machen diesen Prozess nahtlos, da der alte und der neue Schlüssel während des Übergangs koexistieren können.
Entdecken Sie Ihre DKIM-Selektoren
Verwenden Sie unser kostenloses DKIM-Lookup-Tool, um alle veröffentlichten DKIM-Schlüssel für Ihre Domain zu finden und zu überprüfen, ob sie korrekt konfiguriert sind.
DKIM-Eintrag prüfenWas Sicherheitsteams über die DKIM-Überwachung sagen
Rated 4.8/5 on G2 · 469 verified reviews
Verified User in Information Technology and Services
"Best security tool for your own domains"
The weekly reports help me a lot to analyze quickly the emails sent from my domains and that gives me peace of mind.
Ryan C.
Director
"Control Centre for Email Security"
I like that we can see and check all reports on just 1 platform. We manage multiple domains, and monitoring them all in one place is essential.
eddy g.
Director
"A great solution to a common email problem."
I have been using them for the last month after my Google business email started giving DMARC errors. I didn't even know what it meant at that time. After a little googling I found that people can spoof it as well. So far so good — the best thing is it protects every email.