Teil 6 der Serie „EU Web Security: In 10 Schritten zum besseren Rating"
Das Problem
SPF prüft, ob der Mailserver autorisiert ist. Aber SPF prüft nicht, ob der Inhalt der Mail unterwegs verändert wurde. Ein kompromittierter Relay-Server kann den Text ändern, Links austauschen, Anhänge manipulieren — und SPF sagt trotzdem "pass".
DKIM löst das: Ihr Mailserver signiert jede ausgehende Mail mit einem privaten Schlüssel. Der Empfänger verifiziert die Signatur mit dem öffentlichen Schlüssel aus Ihrem DNS. Wurde die Mail verändert, stimmt die Signatur nicht — der Empfänger weiß: Manipulation.
DKIM-Adoption in der EU: 31,1%. Zwei von drei Domains signieren ihre E-Mails nicht.
Warum DKIM für DMARC entscheidend ist
DMARC prüft: Stimmt SPF ODER DKIM — und ist die Domain aligned? In der Praxis scheitert SPF häufig bei weitergeleiteten Mails (Forwarding bricht SPF). DKIM überlebt Forwarding, weil die Signatur am Mail-Header hängt, nicht am Absender-Server.
Ohne DKIM fällt Ihre DMARC-Policy bei jeder weitergeleiteten Mail auf die Nase. Mailing-Listen, Weiterleitungen in Outlook, Forwarding-Regeln — alles generiert SPF-Fails. Nur DKIM rettet die Zustellbarkeit.
So richten Sie DKIM ein
Bei Google Workspace
- Admin Console → Apps → Google Workspace → Gmail → E-Mail authentifizieren
- "Neuen DKIM-Schlüssel generieren" → Schlüssellänge 2048 Bit
- Den angezeigten TXT-Record im DNS eintragen (unter
google._domainkey.ihre-domain.de) - Zurück in der Admin Console: "Authentifizierung starten"
Bei Microsoft 365
- Microsoft 365 Defender → Richtlinien → E-Mail-Authentifizierung → DKIM
- Domain auswählen → "DKIM-Schlüssel erstellen"
- Zwei CNAME-Records im DNS eintragen (Microsoft zeigt die an)
- DKIM aktivieren
Bei Brevo / Mailchimp / Newsletter-Tools
Die meisten Newsletter-Tools erfordern DKIM-Setup bei der Domain-Verifikation:
- Im Tool: Domain hinzufügen → DKIM-Record wird angezeigt
- TXT-Record im DNS eintragen
- Im Tool: Domain verifizieren
Manuell (Postfix / eigener Mailserver)
# OpenDKIM installieren
apt install opendkim opendkim-tools
# Schlüssel generieren
opendkim-genkey -t -s mail -d ihre-domain.de
# Öffentlichen Schlüssel in DNS eintragen
cat mail.txt # → TXT-Record unter mail._domainkey.ihre-domain.de
Schlüssellänge
- 1024 Bit: Minimum, wird noch akzeptiert, aber kryptographisch grenzwertig
- 2048 Bit: Standard, empfohlen
- 4096 Bit: Maximal sicher, aber manche DNS-Provider haben Probleme mit der TXT-Record-Länge (>255 Zeichen erfordern Split)
Aus dem Benchmark: nur 31% haben DKIM — und davon nutzen ca. 60% noch 1024-Bit-Schlüssel. Wir empfehlen den Wechsel auf 2048 Bit.
Häufige Fehler
1. DKIM für Drittanbieter vergessen. Jeder Dienst der Mails in Ihrem Namen sendet braucht seinen eigenen DKIM-Selektor: Google Workspace, Newsletter-Tool, Ticketsystem, CRM. Jeder bekommt einen eigenen selektor._domainkey-Record.
2. Schlüssel nie rotieren. DKIM-Schlüssel sollten alle 6-12 Monate rotiert werden. Die meisten Provider machen das automatisch — aber prüfen Sie es.
3. DKIM ohne DMARC. DKIM allein verifiziert nur die Signatur. Ohne DMARC sagt es dem Empfänger nicht, was er mit unsignierten Mails tun soll.
Prüfen Sie Ihre E-Mail-Sicherheit
SiteGuardian prüft SPF, DKIM (inklusive Schlüssellänge und Selektor-Erkennung), DMARC und STARTTLS:
Nächste Woche in Teil 7: X-Content-Type-Options und Referrer-Policy — zwei Header, fünf Minuten, messbar mehr Schutz.