DKIM für Einsteiger

04.06.2026 | E-Mail Einstellungen, Power-Netz

Das digitale Siegel für deine E‑Mails

Einleitung

Selbst wenn SPF korrekt eingerichtet ist, landen E‑Mails manchmal noch im Spam – etwa, wenn Mailserver nicht sicher sind, ob der Inhalt unterwegs verändert wurde.
Hier kommt DKIM ins Spiel: eine Art digitales Siegel, mit dem dein Mailserver jede E‑Mail unterschreibt.

Dieser Beitrag erklärt DKIM in einfachen Worten und baut auf den Erklärungen von Power‑Netz auf, insbesondere aus


E‑Mails im Spam: SPF, DKIM, DMARC & S/MIME erklärt


und dem FAQ‑Artikel


Warum werden E‑Mails von Freemailern abgelehnt?.


Merkmal: Was ist DKIM?

DKIM steht für „DomainKeys Identified Mail“ und ist eine Methode, E‑Mails mit einer unsichtbaren digitalen Signatur zu versehen, die mit deiner Domain verknüpft ist.
Der empfangende Mailserver kann diese Signatur anhand eines öffentlichen Schlüssels im DNS deiner Domain prüfen und so feststellen, ob die E‑Mail wirklich von deinem Mailserver stammt und unterwegs nicht verändert wurde.

Power‑Netz beschreibt, dass der empfangende Server in der DNS‑Zone prüft, ob ein gültiger DKIM‑Key vorhanden ist und abhängig von der Konfiguration E‑Mails ohne gültige Signatur ablehnen kann.


Erklärung: DKIM in Alltagssprache

Stell dir DKIM wie ein Wachssiegel auf einem Briefumschlag vor:

  • Dein Mailserver versieht jede ausgehende E‑Mail mit einem digitalen Siegel (Signatur), bevor sie verschickt wird.
  • Im DNS deiner Domain liegt der passende „öffentliche Schlüssel“, mit dem empfangende Mailserver dieses Siegel prüfen können.
  • Passt alles zusammen, gilt: „Der Brief stammt wirklich von dir und wurde auf dem Weg nicht geöffnet oder manipuliert.“

Technisch passiert dabei grob Folgendes:

  1. Dein Mailserver bildet aus Teilen der E‑Mail (Header, Inhalt) eine Prüfsumme und verschlüsselt sie mit einem privaten Schlüssel (Signatur).
  2. Im DKIM‑Header der E‑Mail steht ein Hinweis („Selektor“ und Domain), wo der empfangende Server im DNS nach dem öffentlichen Schlüssel suchen soll.
  3. Der empfangende Server holt sich diesen Schlüssel über einen speziellen TXT‑Eintrag wie default._domainkey.deinedomain.de und prüft damit die Signatur.
  4. Wenn Signatur und Inhalt zusammenpassen, gilt die DKIM‑Prüfung als bestanden.

Power‑Netz erklärt im FAQ‑Artikel, dass dazu zwei Einträge in der DNS‑Zone angelegt werden:

  • default._domainkey.example.com mit dem öffentlichen Schlüssel,
  • _domainkey.example.com mit der DKIM‑Richtlinie.

Nutzen: Warum DKIM so wichtig ist

Richtig implementiertes DKIM bringt dir mehrere Vorteile:

  • Mailserver können sicherer entscheiden, ob deine E‑Mails vertrauenswürdig sind, was die Zustellbarkeit verbessert und das Spam‑Risiko verringert.
  • Empfänger sind besser geschützt, weil manipulierte oder gefälschte E‑Mails auffallen – das erschwert Spam und Phishing mit deiner Domain.
  • DKIM bildet zusammen mit SPF eine wichtige Grundlage für DMARC‑Richtlinien, die festlegen, was mit verdächtigen E‑Mails passieren soll.

Power‑Netz betont im Kontext der E‑Mail‑Sicherheit, dass der Einsatz von DKIM‑Keys den Schutz gegen Spam‑ und Phishing‑Mails deutlich erhöhen kann und in manchen Szenarien sogar Voraussetzung für die Zustellung ist.


Risiken: Was passiert ohne DKIM oder bei falscher Einrichtung?

Wenn du DKIM gar nicht oder falsch einsetzt, kann das mehrere Konsequenzen haben:

  • Große Provider wie Gmail, Yahoo, GMX oder web.de werden skeptischer und verschieben Mails wahrscheinlicher in den Spam – insbesondere vor dem Hintergrund verschärfter Zustellrichtlinien.
  • Angreifer können leichter so tun, als wären sie du, weil empfangende Mailserver keine Signatur zur Überprüfung haben.
  • Falsche oder veraltete DKIM‑Einträge (z.B. falscher Schlüssel, nicht mehr passender Selektor) führen zu Prüfungsfehlern und können die Zustellbarkeit empfindlich stören.

Im FAQ‑Artikel zeigt Power‑Netz, dass fehlende DKIM‑Signaturen gerade bei Freemail‑Adressen (z.B. als Absender in Kontaktformularen) zu Ablehnungen führen können – deshalb wird empfohlen, ausgehende Mails der eigenen Domain mit DKIM zu signieren.


Schritt-für-Schritt: DKIM vorbereiten (für Einsteiger)

Diese Schritte helfen dir, DKIM sauber vorzubereiten, auch wenn du die technischen Einstellungen anschließend einem Administrator oder deinem Hoster überlässt.

Schritt 1: Prüfen, ob dein Hoster/Provider DKIM unterstützt

  1. Schau in die Dokumentation deines Hosters oder frage den Support, ob DKIM für deine Domain aktiviert werden kann.
  2. Häufig gibt es eine zentrale Einstellung im Hosting‑Panel (z.B. Plesk, cPanel), um „DKIM für diese Domain aktivieren“ auszuwählen.

Power‑Netz beschreibt im FAQ, dass du in Plesk unter „Websites & Domains > E‑Mail‑Einstellungen“ ein Kontrollkästchen aktivieren kannst: „DKIM‑Spamschutzsystem zum Signieren ausgehender E‑Mail‑Nachrichten verwenden“.


Schritt 2: DKIM in der Verwaltungsoberfläche aktivieren

  1. Melde dich in deinem Hosting‑Panel (z.B. Plesk bei Power‑Netz) an.
  2. Wechsle zu deiner Domain und öffne die E‑Mail‑Einstellungen.
  3. Aktiviere die Option, ausgehende E‑Mails per DKIM zu signieren (z.B. entsprechendes Kontrollkästchen).
  4. Speichere die Einstellungen – der Server erzeugt dabei im Hintergrund ein Schlüsselpaar (privat auf dem Server, öffentlich für das DNS).

Laut Power‑Netz kannst du den öffentlichen DKIM‑Key in Plesk über „Konfiguration des externen DNS“ einsehen, falls du ihn manuell in ein extern geführtes DNS eintragen musst.


Schritt 3: DKIM‑DNS‑Einträge setzen oder prüfen

Wenn dein DNS bei deinem Hoster (z.B. Power‑Netz) liegt, werden die Einträge oft automatisch gesetzt – sonst musst du sie manuell ergänzen bzw. ergänzen lassen.

  1. Öffne die DNS‑Verwaltung deiner Domain (beim Hoster oder im externen DNS‑Provider).
  2. Prüfe, ob ein TXT‑Eintrag mit einem Namen wie default._domainkey.deinedomain.de vorhanden ist – dort steht der öffentliche DKIM‑Schlüssel.
  3. Falls du externes DNS nutzt: Kopiere den von deinem Mailserver/Panel bereitgestellten DKIM‑Key und füge ihn im DNS als TXT‑Eintrag ein.

Power‑Netz zeigt im FAQ, dass zwei Einträge in der DNS‑Zone notwendig sind:

  • der eigentliche default._domainkey‑Eintrag mit dem öffentlichen Schlüssel,
  • und ein _domainkey‑Eintrag mit der Richtlinie, die du bei Bedarf anpassen kannst.

Schritt 4: DKIM‑Funktion testen

  1. Sende eine Test‑E‑Mail von deiner Domain an ein Postfach bei einem großen Provider (z.B. Gmail, Outlook.com, GMX).
  2. Öffne die Nachricht und schau dir die „Originalnachricht“ bzw. die „Nachrichtenquelle“ an – viele Provider zeigen dort an, ob DKIM „PASS“ oder „FAIL“ meldet.
  3. Alternativ kannst du ein DKIM‑Testtool nutzen: Du sendest dorthin eine E‑Mail und das Tool zeigt dir an, ob die DKIM‑Signatur korrekt ist.

Wenn DKIM noch fehlschlägt, obwohl du es im Panel aktiviert hast, liegt es häufig an fehlenden oder falsch gesetzten DNS‑Einträgen – genau hier helfen die Hinweise im Power‑Netz‑FAQ und ggf. der Support deines Hosters.


Verweisblock zu Power‑Netz

Mehr Details zu DKIM direkt von Power‑Netz

In diesem Beitrag habe ich DKIM in einfachen Worten erklärt. Technische Details zur Einrichtung und zu typischen Fehlerursachen findest du bei Power‑Netz:

Dort wird unter anderem beschrieben, wie der empfangende Mailserver in der DNS‑Zone prüft, ob ein gültiger DKIM‑Key vorhanden ist und welche Einträge für eine funktionierende Signatur notwendig sind.

Beitragsbild: KI-generiert

Inhaltsverzeichnis aufklappen

Die Links im Inhaltsverzeichnis sind Sprungmarken.

Inhaltsverzeichnis

DMARC für Einsteiger

Die Regel, was mit unsicheren E‑Mails passiert Einleitung (mit Quellenangabe Power‑Netz) SPF und DKIM helfen Mailservern festzustellen, ob eine E‑Mail technisch echt wirkt – aber sie sagen noch nicht, was passieren soll, wenn diese Prüfungen scheitern.Genau hier setzt...

mehr lesen...