/ Stefan Kress

DKIM verstehen — was tun Signaturen, was nicht

DKIM signiert jede ausgehende E-Mail digital mit einem privaten Schlüssel, den nur Ihr Mailserver kennt. Der passende öffentliche Schlüssel liegt im DNS Ihrer Domain – damit kann jeder Empfänger prüfen, ob eine Nachricht tatsächlich unverändert von Ihnen stammt. Anders als SPF interessiert sich DKIM nicht dafür, welcher Server die Mail verschickt hat, sondern ob die Nachricht selbst echt ist.

Was die Signatur tatsächlich beweist

Jede DKIM-signierte E-Mail trägt einen unsichtbaren Header mit einer digitalen Signatur, erzeugt aus dem Inhalt der Nachricht und ausgewählten Header-Feldern. Der Empfänger holt sich den öffentlichen Schlüssel aus dem DNS und prüft damit zwei Dinge: Stammt die Signatur tatsächlich vom privaten Schlüssel dieser Domain, und stimmt der signierte Inhalt noch mit dem exakt überein, was ankam? Wurde auch nur ein Zeichen im Betreff oder Text nachträglich verändert, schlägt die Prüfung fehl.

Das ist ein reiner Integritäts- und Herkunftsnachweis für die technische Absender-Domain im Signatur-Header (d=) – nicht für die Adresse, die im Postfach als Absender angezeigt wird. Diese Verknüpfung stellt erst DMARC her.

Der Aufbau in Kürze

Der DKIM-Header und der zugehörige DNS-Eintrag bestehen aus wenigen Feldern:

FeldBedeutung
d=Die Domain, die signiert hat
s=Der Selector – erlaubt mehrere Schlüssel pro Domain gleichzeitig
bh=Hash-Wert des Nachrichtentexts (Integritätsprüfung)
b=Die eigentliche Signatur

Der öffentliche Schlüssel liegt im DNS unter selector._domainkey.ihredomain.ch als TXT-Eintrag, etwa v=DKIM1; k=rsa; p=MIGfMA0.... Der Selector-Name (s=) macht es möglich, dass Ihr eigener Mailserver und ein externer Newsletter-Dienst gleichzeitig mit unterschiedlichen Schlüsseln unter derselben Domain signieren, ohne sich zu stören.

Warum jeder Drittversender einen eigenen Selector braucht

Newsletter-Tools, CRM-Systeme oder Buchhaltungssoftware, die in Ihrem Namen E-Mails verschicken, müssen für DKIM einen eigenen Schlüssel und Selector bei Ihnen im DNS hinterlegt bekommen. Fehlt dieser Schritt, verlässt die Mail den Drittdienst unsigniert oder mit einer fremden Signatur – die DKIM-Prüfung schlägt fehl, selbst wenn SPF für diesen Dienst korrekt eingerichtet ist.

Ein Beispiel: Ein Treuhandbüro nutzt eine Buchhaltungssoftware, die Rechnungen direkt per E-Mail im Namen der Kanzlei verschickt. SPF wurde beim Onboarding korrekt ergänzt, der DKIM-Selector des Anbieters aber nie eingetragen. Die Rechnungsmails werden zugestellt – SPF genügt vielen Filtern noch – landen bei zunehmend mehr Empfängern aber im Spam-Ordner, weil die DKIM-Prüfung fehlschlägt und das Gesamtbild der Authentifizierung lückenhaft wirkt.

Was DKIM ausdrücklich nicht leistet

  • Es prüft nicht den Inhalt der Nachricht auf Spam oder Phishing-Merkmale.
  • Es garantiert nicht, dass die im Posteingang sichtbare Absenderadresse mit der signierenden Domain übereinstimmt – eine gültige Signatur kann auch von einer ganz anderen Domain stammen als der, die der Empfänger liest.
  • Es verhindert nicht, dass jemand ohne jede Signatur in Ihrem Namen versendet – das schliesst erst DMARC.

DKIM beweist, dass eine Nachricht unterwegs nicht verändert wurde. Es beweist nicht, dass ihr Inhalt vertrauenswürdig ist oder dass die angezeigte Absenderadresse stimmt.

Häufige Fragen

Ersetzt DKIM den SPF-Eintrag?

Nein, beide prüfen unterschiedliche Dinge und ergänzen sich. SPF autorisiert Server, DKIM signiert Inhalte. Erst DMARC verknüpft beide Ergebnisse mit der sichtbaren Absenderdomain.

Muss ich für jeden Versanddienst einen eigenen Selector einrichten?

Ja, sobald ein Dienst in Ihrem Namen signieren soll. Der Anbieter liefert dafür üblicherweise den öffentlichen Schlüssel und den gewünschten Selector-Namen, den Sie als DNS-TXT-Eintrag hinterlegen.

Was passiert, wenn eine DKIM-Prüfung fehlschlägt?

Die Mail wird nicht automatisch abgelehnt – ohne DMARC-Policy entscheidet allein der Empfänger, wie streng er reagiert. Häufig landet sie im Spam-Ordner oder wird niedriger bewertet, statt hart abgewiesen zu werden.

Muss ich den DKIM-Schlüssel irgendwann erneuern?

Ein Rotieren des Schlüsselpaares in grösseren Abständen (z. B. jährlich) gilt als gute Praxis, ist aber weniger dringlich als bei SPF, verwaiste Einträge zu entfernen. Wichtiger ist, bei jedem Anbieterwechsel den alten Selector zu entfernen und den neuen korrekt zu hinterlegen.