Das digitale Siegel für deine E‑Mails
Einleitung
Selbst wenn SPF korrekt eingerichtet ist, landen E‑Mails manchmal noch im Spam – etwa, wenn Mailserver nicht sicher sind, ob der Inhalt unterwegs verändert wurde.
Hier kommt DKIM ins Spiel: eine Art digitales Siegel, mit dem dein Mailserver jede E‑Mail unterschreibt.
Dieser Beitrag erklärt DKIM in einfachen Worten und baut auf den Erklärungen von Power‑Netz auf, insbesondere aus
E‑Mails im Spam: SPF, DKIM, DMARC & S/MIME erklärt
Warum werden E‑Mails von Freemailern abgelehnt?.
Merkmal: Was ist DKIM?
DKIM steht für „DomainKeys Identified Mail“ und ist eine Methode, E‑Mails mit einer unsichtbaren digitalen Signatur zu versehen, die mit deiner Domain verknüpft ist.
Der empfangende Mailserver kann diese Signatur anhand eines öffentlichen Schlüssels im DNS deiner Domain prüfen und so feststellen, ob die E‑Mail wirklich von deinem Mailserver stammt und unterwegs nicht verändert wurde.
Power‑Netz beschreibt, dass der empfangende Server in der DNS‑Zone prüft, ob ein gültiger DKIM‑Key vorhanden ist und abhängig von der Konfiguration E‑Mails ohne gültige Signatur ablehnen kann.
Erklärung: DKIM in Alltagssprache
Stell dir DKIM wie ein Wachssiegel auf einem Briefumschlag vor:
- Dein Mailserver versieht jede ausgehende E‑Mail mit einem digitalen Siegel (Signatur), bevor sie verschickt wird.
- Im DNS deiner Domain liegt der passende „öffentliche Schlüssel“, mit dem empfangende Mailserver dieses Siegel prüfen können.
- Passt alles zusammen, gilt: „Der Brief stammt wirklich von dir und wurde auf dem Weg nicht geöffnet oder manipuliert.“
Technisch passiert dabei grob Folgendes:
- Dein Mailserver bildet aus Teilen der E‑Mail (Header, Inhalt) eine Prüfsumme und verschlüsselt sie mit einem privaten Schlüssel (Signatur).
- Im DKIM‑Header der E‑Mail steht ein Hinweis („Selektor“ und Domain), wo der empfangende Server im DNS nach dem öffentlichen Schlüssel suchen soll.
- Der empfangende Server holt sich diesen Schlüssel über einen speziellen TXT‑Eintrag wie
default._domainkey.deinedomain.deund prüft damit die Signatur. - Wenn Signatur und Inhalt zusammenpassen, gilt die DKIM‑Prüfung als bestanden.
Power‑Netz erklärt im FAQ‑Artikel, dass dazu zwei Einträge in der DNS‑Zone angelegt werden:
default._domainkey.example.commit dem öffentlichen Schlüssel,_domainkey.example.commit der DKIM‑Richtlinie.
Nutzen: Warum DKIM so wichtig ist
Richtig implementiertes DKIM bringt dir mehrere Vorteile:
- Mailserver können sicherer entscheiden, ob deine E‑Mails vertrauenswürdig sind, was die Zustellbarkeit verbessert und das Spam‑Risiko verringert.
- Empfänger sind besser geschützt, weil manipulierte oder gefälschte E‑Mails auffallen – das erschwert Spam und Phishing mit deiner Domain.
- DKIM bildet zusammen mit SPF eine wichtige Grundlage für DMARC‑Richtlinien, die festlegen, was mit verdächtigen E‑Mails passieren soll.
Power‑Netz betont im Kontext der E‑Mail‑Sicherheit, dass der Einsatz von DKIM‑Keys den Schutz gegen Spam‑ und Phishing‑Mails deutlich erhöhen kann und in manchen Szenarien sogar Voraussetzung für die Zustellung ist.
Risiken: Was passiert ohne DKIM oder bei falscher Einrichtung?
Wenn du DKIM gar nicht oder falsch einsetzt, kann das mehrere Konsequenzen haben:
- Große Provider wie Gmail, Yahoo, GMX oder web.de werden skeptischer und verschieben Mails wahrscheinlicher in den Spam – insbesondere vor dem Hintergrund verschärfter Zustellrichtlinien.
- Angreifer können leichter so tun, als wären sie du, weil empfangende Mailserver keine Signatur zur Überprüfung haben.
- Falsche oder veraltete DKIM‑Einträge (z.B. falscher Schlüssel, nicht mehr passender Selektor) führen zu Prüfungsfehlern und können die Zustellbarkeit empfindlich stören.
Im FAQ‑Artikel zeigt Power‑Netz, dass fehlende DKIM‑Signaturen gerade bei Freemail‑Adressen (z.B. als Absender in Kontaktformularen) zu Ablehnungen führen können – deshalb wird empfohlen, ausgehende Mails der eigenen Domain mit DKIM zu signieren.
Schritt-für-Schritt: DKIM vorbereiten (für Einsteiger)
Diese Schritte helfen dir, DKIM sauber vorzubereiten, auch wenn du die technischen Einstellungen anschließend einem Administrator oder deinem Hoster überlässt.
Schritt 1: Prüfen, ob dein Hoster/Provider DKIM unterstützt
- Schau in die Dokumentation deines Hosters oder frage den Support, ob DKIM für deine Domain aktiviert werden kann.
- Häufig gibt es eine zentrale Einstellung im Hosting‑Panel (z.B. Plesk, cPanel), um „DKIM für diese Domain aktivieren“ auszuwählen.
Power‑Netz beschreibt im FAQ, dass du in Plesk unter „Websites & Domains > E‑Mail‑Einstellungen“ ein Kontrollkästchen aktivieren kannst: „DKIM‑Spamschutzsystem zum Signieren ausgehender E‑Mail‑Nachrichten verwenden“.
Schritt 2: DKIM in der Verwaltungsoberfläche aktivieren
- Melde dich in deinem Hosting‑Panel (z.B. Plesk bei Power‑Netz) an.
- Wechsle zu deiner Domain und öffne die E‑Mail‑Einstellungen.
- Aktiviere die Option, ausgehende E‑Mails per DKIM zu signieren (z.B. entsprechendes Kontrollkästchen).
- Speichere die Einstellungen – der Server erzeugt dabei im Hintergrund ein Schlüsselpaar (privat auf dem Server, öffentlich für das DNS).
Laut Power‑Netz kannst du den öffentlichen DKIM‑Key in Plesk über „Konfiguration des externen DNS“ einsehen, falls du ihn manuell in ein extern geführtes DNS eintragen musst.
Schritt 3: DKIM‑DNS‑Einträge setzen oder prüfen
Wenn dein DNS bei deinem Hoster (z.B. Power‑Netz) liegt, werden die Einträge oft automatisch gesetzt – sonst musst du sie manuell ergänzen bzw. ergänzen lassen.
- Öffne die DNS‑Verwaltung deiner Domain (beim Hoster oder im externen DNS‑Provider).
- Prüfe, ob ein TXT‑Eintrag mit einem Namen wie
default._domainkey.deinedomain.devorhanden ist – dort steht der öffentliche DKIM‑Schlüssel. - Falls du externes DNS nutzt: Kopiere den von deinem Mailserver/Panel bereitgestellten DKIM‑Key und füge ihn im DNS als TXT‑Eintrag ein.
Power‑Netz zeigt im FAQ, dass zwei Einträge in der DNS‑Zone notwendig sind:
- der eigentliche
default._domainkey‑Eintrag mit dem öffentlichen Schlüssel, - und ein
_domainkey‑Eintrag mit der Richtlinie, die du bei Bedarf anpassen kannst.
Schritt 4: DKIM‑Funktion testen
- Sende eine Test‑E‑Mail von deiner Domain an ein Postfach bei einem großen Provider (z.B. Gmail, Outlook.com, GMX).
- Öffne die Nachricht und schau dir die „Originalnachricht“ bzw. die „Nachrichtenquelle“ an – viele Provider zeigen dort an, ob DKIM „PASS“ oder „FAIL“ meldet.
- Alternativ kannst du ein DKIM‑Testtool nutzen: Du sendest dorthin eine E‑Mail und das Tool zeigt dir an, ob die DKIM‑Signatur korrekt ist.
Wenn DKIM noch fehlschlägt, obwohl du es im Panel aktiviert hast, liegt es häufig an fehlenden oder falsch gesetzten DNS‑Einträgen – genau hier helfen die Hinweise im Power‑Netz‑FAQ und ggf. der Support deines Hosters.
Verweisblock zu Power‑Netz
Mehr Details zu DKIM direkt von Power‑Netz
In diesem Beitrag habe ich DKIM in einfachen Worten erklärt. Technische Details zur Einrichtung und zu typischen Fehlerursachen findest du bei Power‑Netz:
Dort wird unter anderem beschrieben, wie der empfangende Mailserver in der DNS‑Zone prüft, ob ein gültiger DKIM‑Key vorhanden ist und welche Einträge für eine funktionierende Signatur notwendig sind.
