Zum Inhalt springen
0
0228 / 96 96 77-0
Kontakt

DKIM

DKIM in einfacher Sprache
Zuletzt aktualisiert: 06.04.2026Autor: Redaktion DomainProvider.de · Lesezeit: 4 Min.

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsprotokoll, das sicherstellt, dass eine E-Mail während der Übertragung nicht manipuliert wurde und tatsächlich vom angegebenen Absender stammt. Es basiert auf der Verwendung digitaler Signaturen, die im Header jeder ausgehenden E-Mail enthalten sind. Empfänger-Mailserver können diese Signaturen mit öffentlichen Schlüsseln, die im DNS der Domain gespeichert sind, überprüfen.

Was leistet DKIM?

DKIM schützt E-Mails auf zwei Ebenen: Es bestätigt die Absender-Domain und stellt sicher, dass der Inhalt unterwegs nicht verändert wurde. Große E-Mail-Anbieter wie Google verlangen seit Februar 2024 einen gültigen DKIM- oder SPF-Eintrag, damit E-Mails bei Gmail-Empfängern ankommen. Für Absender mit hohem Versandvolumen (über 5.000 E-Mails pro Tag) ist DKIM zusammen mit SPF und DMARC Pflicht.

  • Digitale Signaturen: DKIM fügt E-Mails eine digitale Signatur hinzu, die mit dem privaten Schlüssel der sendenden Domain erstellt wird. Diese Signatur wird in einem speziellen E-Mail-Header gespeichert.
  • Öffentliche Schlüssel: Der öffentliche Schlüssel, der zur Verifizierung der Signatur benötigt wird, wird als TXT-Record im DNS der sendenden Domain veröffentlicht.
  • Integrität der Nachricht: DKIM stellt sicher, dass der Inhalt der E-Mail während der Übertragung nicht verändert wurde.
  • Vertrauenswürdigkeit: Empfänger-Mailserver können überprüfen, ob die E-Mail von einer autorisierten Quelle gesendet wurde, was das Vertrauen in die Nachricht erhöht.

Wie funktioniert DKIM?

DKIM arbeitet in drei Schritten: Der Absender signiert, veröffentlicht den Schlüssel im DNS und der Empfänger verifiziert die Signatur.

  1. Signierung der E-Mail: Der ausgehende Mailserver fügt jeder E-Mail eine DKIM-Signatur hinzu. Diese Signatur wird basierend auf dem Inhalt der E-Mail und dem privaten Schlüssel der Domain erstellt.
  2. Veröffentlichung des öffentlichen Schlüssels: Der öffentliche Schlüssel wird als DNS-TXT-Record veröffentlicht, damit empfangende Mailserver die Signatur überprüfen können.
  3. Verifizierung durch den Empfänger: Der empfangende Mailserver extrahiert die DKIM-Signatur und den öffentlichen Schlüssel der Domain aus dem DNS, um zu überprüfen, ob die E-Mail unverändert ist und von der angegebenen Domain stammt.

Wie sieht ein DKIM-DNS-Record aus?

Ein DKIM-Record ist ein DNS-TXT-Eintrag, der den öffentlichen Schlüssel zur Signaturprüfung enthält. Mit einem DKIM-Record-Generator lässt sich dieser Eintrag schnell und fehlerfrei erstellen.

default._domainkey.meine-domain.de. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkqh...<Schlüssel>"

Erklärung der einzelnen Parameter:

  • v: Version des DKIM-Protokolls.
  • k: Schlüsseltyp (z.B. RSA).
  • p: Der öffentliche Schlüssel, der zur Verifizierung der DKIM-Signatur verwendet wird.

Wie arbeiten DKIM, SPF und DMARC zusammen?

DKIM ist Teil der E-Mail-Authentifizierung und arbeitet mit SPF und DMARC zusammen, um E-Mails umfassend abzusichern.

  • SPF (Sender Policy Framework): Legt fest, welche Mailserver berechtigt sind, E-Mails im Namen einer Domain zu senden.
  • DKIM: Stellt sicher, dass die E-Mail während der Übertragung nicht manipuliert wurde, und verifiziert, dass sie von der angegebenen Domain signiert wurde.
  • DMARC (Domain-based Message Authentication, Reporting, and Conformance): Baut auf SPF und DKIM auf, um festzulegen, wie empfangende Mailserver mit E-Mails umgehen sollen, die die Authentifizierung nicht bestehen, und bietet Berichte über die E-Mail-Aktivitäten.

Gemeinsam bilden diese drei Protokolle eine umfassende Sicherheitsstrategie:

  1. SPF überprüft, ob die E-Mail von einem autorisierten Mailserver gesendet wurde.
  2. DKIM stellt sicher, dass die E-Mail unverändert und authentisch ist.
  3. DMARC kombiniert die Ergebnisse von SPF und DKIM und gibt Anweisungen, wie mit nicht authentifizierten E-Mails umgegangen werden soll.

Ob SPF-Record, DKIM-Record und DMARC-Record einer Domain korrekt eingerichtet sind, lässt sich mit einem SPF, DMARC & DKIM Check prüfen.

Welche Vorteile bietet DKIM?

DKIM verbessert die Zustellbarkeit und Sicherheit von E-Mails messbar.

  • Schutz vor Manipulation: DKIM verhindert, dass E-Mails während der Übertragung verändert werden.
  • Verbesserte Zustellbarkeit: E-Mails mit einer gültigen DKIM-Signatur werden von Spam-Filtern eher akzeptiert.
  • Erhöhtes Vertrauen: Empfänger können sicher sein, dass die E-Mail authentisch ist und von der angegebenen Domain stammt.

Welche Einschränkungen hat DKIM?

DKIM allein reicht nicht aus — es schützt nur vor Manipulation, nicht vor unautorisiertem Versand.

  • Einrichtung erfordert DNS-Zugriff: Wer einen DKIM-Record erstellen möchte, benötigt Zugriff auf die DNS-Einstellungen der Domain. Ein DKIM-Generator vereinfacht diesen Schritt.
  • Abhängigkeit von DNS: Wenn der DNS-Server der Domain nicht erreichbar ist, können empfangende Mailserver die DKIM-Signatur nicht verifizieren.
  • Unvollständiger Schutz: DKIM schützt nicht vor E-Mails von nicht autorisierten Mailservern, weshalb es in Kombination mit SPF und DMARC verwendet werden sollte.

Fazit

DKIM ist neben SPF und DMARC einer der drei Bausteine der E-Mail-Authentifizierung. Es stellt per kryptografischer Signatur sicher, dass E-Mails unterwegs nicht verändert werden. Die Einrichtung erfordert einen DNS-TXT-Record mit dem öffentlichen Schlüssel — ein DKIM-Record-Generator erstellt diesen in wenigen Sekunden. Für maximale Sicherheit sollten SPF, DKIM und DMARC gemeinsam eingerichtet und regelmäßig geprüft werden.

Haftungsausschluss (Details anzeigen)(Details ausblenden)

Die bereitgestellten Informationen dienen ausschließlich der allgemeinen Orientierung. Für Richtigkeit, Vollständigkeit und Aktualität wird keine Gewähr übernommen. Die Inhalte sind nicht rechtsverbindlich und nicht Bestandteil einer Leistungsbeschreibung.