DKIM (DomainKeys Identified Mail)
Kryptografisches Verfahren zur E-Mail-Authentifizierung, das ausgehende Nachrichten digital signiert und so Manipulation auf dem Transportweg verhindert.
DKIM (DomainKeys Identified Mail) ist ein kryptografisches Verfahren, bei dem der sendende Mailserver jede ausgehende E-Mail mit einer digitalen Signatur versieht. Der Empfänger-Server kann anhand des öffentlichen Schlüssels im DNS der Absenderdomain verifizieren, dass die Nachricht tatsächlich vom angegebenen Absender stammt und auf dem Transportweg nicht manipuliert wurde. DKIM ergänzt SPF um eine wichtige Komponente: Während SPF nur den sendenden Server prüft, stellt DKIM die Integrität der Nachricht selbst sicher.
Wie funktioniert die Signierung?
DKIM basiert auf asymmetrischer Kryptografie mit einem Schlüsselpaar. Der private Schlüssel liegt auf dem sendenden Mailserver und wird niemals öffentlich gemacht. Der öffentliche Schlüssel wird als TXT-Record im DNS der Domain veröffentlicht.
Beim Versand einer E-Mail berechnet der Mailserver einen kryptographischen Hash über ausgewählte Header-Felder (typischerweise From, To, Subject, Date) und den Body der Nachricht. Dieser Hash wird mit dem privaten Schlüssel signiert und als DKIM-Signature-Header an die E-Mail angehängt. Der Empfänger-Server extrahiert den Selektor und die Domain aus der Signatur, ruft den öffentlichen Schlüssel aus dem DNS ab und prüft, ob die Signatur zum Inhalt der E-Mail passt. Stimmen beide überein, ist sichergestellt, dass die E-Mail nicht verändert wurde.
DKIM-Selektoren erklärt
Eine Domain kann mehrere DKIM-Schlüsselpaare gleichzeitig nutzen — etwa verschiedene für den primären Mailserver, den Newsletter-Dienst und das CRM-System. Der Selektor identifiziert, welcher öffentliche Schlüssel zur Verifizierung verwendet werden soll. Er ist ein frei wählbarer Name und wird als Teil des DNS-Lookups verwendet.
Der DNS-Record wird unter selektor._domainkey.example.de veröffentlicht. Wenn ein Unternehmen beispielsweise Microsoft 365 nutzt, lautet der Selektor oft selector1 und der Record liegt unter selector1._domainkey.example.de. Jeder Drittanbieter, der im Namen der Domain E-Mails versendet, benötigt seinen eigenen Selektor und Schlüssel.
DKIM-Record im DNS
Ein DKIM-Record ist ein TXT-Record mit mehreren Tags:
| Tag | Bedeutung | Beispiel |
|---|---|---|
v |
Version (immer DKIM1) | v=DKIM1 |
k |
Schlüsseltyp | k=rsa |
p |
Öffentlicher Schlüssel (Base64-kodiert) | p=MIGfMA0GCSq... |
t |
Flags (optional) | t=s (strict mode) |
Der öffentliche Schlüssel ist meist ein RSA-Schlüssel mit 2048 Bit Länge. Kürzere 1024-Bit-Schlüssel gelten als veraltet und sollten durch 2048-Bit-Schlüssel ersetzt werden. Manche DNS-Anbieter haben Zeichenlimits für TXT-Records, was bei langen Schlüsseln zu Problemen führen kann — in diesem Fall muss der Record auf mehrere Strings aufgeteilt werden.
Häufige Probleme
Key-Rotation ist ein oft vernachlässigtes Thema. Kryptografische Schlüssel sollten regelmäßig ausgetauscht werden — idealerweise alle sechs bis zwölf Monate. Der Übergang muss sorgfältig geplant werden: Der neue öffentliche Schlüssel wird zunächst im DNS veröffentlicht, bevor der Mailserver auf den neuen privaten Schlüssel umgestellt wird. Der alte Schlüssel bleibt im DNS, bis alle damit signierten E-Mails zugestellt sind.
Weiterleitungen sind eine weitere Herausforderung. Wenn ein Empfänger E-Mails an eine andere Adresse weiterleitet, bleibt die DKIM-Signatur in der Regel intakt — anders als bei SPF, das bei Weiterleitungen typischerweise fehlschlägt. Das macht DKIM besonders wertvoll als ergänzendes Verfahren: Selbst wenn SPF durch eine Weiterleitung bricht, kann DKIM die Authentifizierung über DMARC sicherstellen.
Problematisch wird es allerdings, wenn der weiterleitende Server den E-Mail-Body oder signierte Header-Felder modifiziert — etwa durch Anhängen eines Footers oder Umschreiben von URLs. In diesem Fall bricht auch die DKIM-Signatur. Mailing-Listen-Software ist hierfür ein typisches Beispiel.
DKIM und DMARC-Alignment
Damit DKIM zur DMARC-Authentifizierung beiträgt, muss die Domain in der DKIM-Signatur (das d=-Tag) mit der Domain im From:-Header aligned sein. Bei relaxed Alignment genügt die Übereinstimmung der Organisationsdomain — newsletter.example.de und example.de gelten als aligned. Bei strict Alignment müssen die Domains exakt identisch sein.
In der Praxis nutzen viele Drittanbieter ihre eigene Domain im d=-Tag der DKIM-Signatur statt die Domain des Kunden. Das führt dazu, dass DKIM zwar technisch besteht, aber das DMARC-Alignment fehlschlägt. Bei der Einrichtung von Drittanbieter-Diensten sollte daher immer geprüft werden, ob die Signierung mit der eigenen Domain möglich ist — die meisten seriösen Anbieter unterstützen dies über Custom-DKIM-Konfigurationen.
Relevanz für Unternehmen
DKIM ist nicht nur ein Sicherheitsmechanismus, sondern beeinflusst auch die E-Mail-Reputation einer Domain. Provider wie Google und Microsoft bewerten E-Mails mit gültiger DKIM-Signatur als vertrauenswürdiger. Eine korrekte DKIM-Konfiguration verbessert daher die Zustellbarkeit und reduziert die Wahrscheinlichkeit, im Spam-Ordner zu landen. Für Unternehmen, die Marketing-E-Mails, Transaktionsmails oder Rechnungen per E-Mail versenden, ist DKIM damit auch geschäftlich relevant.
DKIM prüfen
Ob DKIM für Ihre Domain korrekt konfiguriert ist, können Sie mit dem E-Mail Security Check prüfen. Das Tool analysiert die DKIM-Konfiguration und zeigt, ob gültige Schlüssel im DNS veröffentlicht sind. Zusammen mit SPF und DMARC bildet DKIM die drei Säulen der E-Mail-Authentifizierung — alle drei sollten korrekt konfiguriert sein, um die eigene Domain vor Missbrauch zu schützen.