DKIM-Schlüsselrotation: warum, wann und wie (ohne etwas kaputtzumachen)
Von Thomas · virtueller CISO · 2026-07-11
Ein DKIM-Schlüssel, der sich nie ändert, ist ein Schlüssel, der altert. Wie jedes kryptografische Geheimnis gewinnt ein privater DKIM-Schlüssel dadurch, dass er regelmäßig erneuert wird: Je länger er lebt, desto größer ist das Expositionsfenster im Fall eines Lecks, und desto eher riskiert er, im Lauf der Jahre eine unzureichende Länge zu haben. Dennoch macht die Rotation Angst: schlecht gemacht, bricht sie die Signaturen und schickt deine legitime Post ins Scheitern. Dieser Leitfaden erklärt, warum du deine Schlüssel rotieren solltest, in welcher Häufigkeit, und vor allem wie du es sauber machst dank der Methode des doppelten Selektors.
Warum seine DKIM-Schlüssel rotieren
Drei Gründe rechtfertigen die Rotation:
- Das Expositionsfenster begrenzen. Wenn ein privater Schlüssel leckt (kompromittierter Server, schlecht geschützte Konfigurationsdatei), kann ein Angreifer in deinem Namen Post signieren, bis du den Schlüssel änderst. Eine regelmäßige Rotation begrenzt dieses Risiko zeitlich.
- Dem Stand der kryptografischen Technik folgen. Ein vor Jahren gesetzter 1024-Bit-Schlüssel gilt heute als schwach. Die Rotation ist die Gelegenheit, auf 2048 Bit zu wechseln (siehe 1024 oder 2048 Bit).
- Gute Hygiene und Compliance. Zahlreiche Sicherheitsrahmenwerke erwarten eine periodische Rotation der Geheimnisse. DKIM ist keine Ausnahme.
In welcher Häufigkeit
Es gibt keine in Stein gemeißelte Zahl, aber vernünftige Anhaltspunkte: Eine Rotation alle sechs Monate bis zu einem Jahr ist für die meisten Organisationen eine gute Kadenz. Kürzer, wenn du sehr sensible Geheimnisse handhabst oder eine interne Richtlinie es verlangt; länger ist riskant, denn der Schlüssel altert. Der richtige Reflex ist weniger die perfekte Häufigkeit als der systematische Charakter: eine geplante Rotation, kein Handgriff, den man unendlich aufschiebt.
Die Methode des doppelten Selektors (ohne Unterbrechung)
Hier ist der Kern des Themas. Die sichere Rotation beruht darauf, dass eine Domain mehrere Selektoren gleichzeitig aktiv haben kann (siehe der Selektor). Die Sequenz:
- Erzeuge einen neuen Schlüssel unter einem neuen Selektor (zum Beispiel
s2) und veröffentliche seinen öffentlichen Schlüssel im DNS — ohne den alten Selektor (s1) anzurühren. - Lass propagieren und prüfe, dass der neue öffentliche Schlüssel überall gut sichtbar ist.
- Schalte die Signatur auf Plattformseite um, sodass sie fortan mit
s2signiert. - Überwache ein paar Tage: Bestätige, dass die neuen Signaturen (
s2) durchgehen und in deinen aggregierten Berichten aligned sind. - Entferne den alten Selektor (
s1) — aber erst nach einer ausreichenden Frist.
Während des gesamten Übergangs koexistieren die beiden Selektoren: Die mit dem alten Schlüssel signierte Post bleibt verifizierbar, die neue auch. Diese Überlappung macht die Rotation unterbrechungsfrei.
Die unbedingt zu vermeidende Falle
Der klassische Fehler ist, den alten Selektor zu früh zu entfernen. Mit dem alten Schlüssel signierte Post kann noch unterwegs sein, in einer Warteschlange oder für einen verzögerten Versand gespeichert. Wenn du ihren Selektor löschst, bevor sie vollständig zugestellt ist, schlägt ihre Signatur bei der Verifikation fehl — obwohl sie vollkommen legitim ist. Die Regel: Lass den alten Selektor mehrere Tage an Ort und Stelle, nachdem du die Signatur umgeschaltet hast, bis die gesamte alte Post verarbeitet wurde. Besser ein Selektor zu viel für ein paar Tage als eine kaputte Signatur.
Manuelle oder automatisierte Rotation
Zwei Ansätze, je nach deiner Konfiguration:
- Automatisiert. Wenn du über eine Plattform signierst, die den
CNAMEanbietet (Microsoft 365, viele SaaS), wird die Rotation oft für dich verwaltet: Der Dienstleister rotiert den Schlüssel hinter demCNAME, den du einmal veröffentlicht hast. Das ist ideal — du musst nichts tun. - Manuell. Wenn du deine eigene Infrastruktur betreibst oder feste
TXTveröffentlichst, steuerst du die Rotation selbst, nach der obigen Sequenz des doppelten Selektors. Das ist mehr Arbeit, aber mit einer schriftlichen Prozedur und einem Kalender vollkommen machbar.
Wo du deine privaten DKIM-Schlüssel speicherst
Die Rotation nützt nichts, wenn deine privaten Schlüssel in einer zugänglichen Konfigurationsdatei oder einer E-Mail herumliegen. Der private DKIM-Schlüssel ist ein kritisches Geheimnis: Wer ihn erlangt, kann in deinem Namen Post signieren. Er verdient daher dieselbe Sorgfalt wie jedes Produktionsgeheimnis — verschlüsselte Speicherung, nachverfolgter Zugriff, werkzeuggestützte Rotation.
DMARC.com wird herausgegeben von Hucency, einem Spezialisten für Cybersicherheit; um diese Art von Geheimnissen zu zentralisieren und zu verschlüsseln — private DKIM-Schlüssel, DNS-Zugangsdaten, API-Token — und ihre Rotation zu orchestrieren, wirf einen Blick auf Hucency Vault. Eine gute DKIM-Rotationsrichtlinie setzt einen sicheren Ort voraus, an dem die Schlüssel leben; der Tresor ist dieses oft vernachlässigte Glied.
Einen Rotationskalender aufbauen
Die beste Rotation ist die, an die man nicht denken muss. Statt dich auf dein Gedächtnis zu verlassen, trage die DKIM-Rotation in einen Sicherheitskalender ein, ebenso wie die Erneuerung der TLS-Zertifikate. Eine halbjährliche oder jährliche Kadenz, im Voraus notiert, verwandelt einen angstbesetzten Handgriff in eine vorhersehbare Routine. Dokumentiere die Prozedur einmal — welcher Selektor, welche Plattform, welche Schlüssellänge, wie viele Tage Überlappung — und jede folgende Rotation ist nur noch eine Ausführung, keine Neuerfindung. Für Domains mit mehreren Plattformen staffle die Rotationen, statt alles am selben Tag zu machen: Du begrenzt die Risikofläche, falls eine Umschaltung schiefgeht, und behältst die Aufmerksamkeit frei, um jeden Übergang einzeln zu überwachen.
Notfall: ein kompromittierter Schlüssel
Die geplante Rotation ist eine Sache; die Notfallrotation eine andere. Wenn du auch nur den geringsten Grund hast zu glauben, dass ein privater Schlüssel geleckt ist — kompromittierter Server, exponiertes Backup, Weggang eines Dienstleisters mit Zugängen — warte nicht auf den geplanten Termin: rotiere sofort. Die Sequenz bleibt dieselbe (neuer Selektor, neuer Schlüssel, Umschaltung der Signatur), aber du verkürzt die Überlappung und widerrufst den alten Schlüssel so schnell wie möglich, indem du an seinem Selektor ein leeres p= veröffentlichst, was jede darauf berufende Signatur ungültig macht. Ein kompromittierter Schlüssel, den man leben lässt, ist eine offene Tür zur signierten Imitation: Der Angreifer kann Nachrichten erzeugen, die in deinem Namen DKIM bestehen, das schlimstmögliche Szenario. Behandle ihn wie ein Passwortleck — Rotation und Widerruf ohne Verzug — und dokumentiere den Vorfall für deine Nachvollziehbarkeit.
Prüfen, dass eine Rotation gut verlaufen ist
Nach einer Rotation reichen zwei Kontrollen:
- Der neue Selektor signiert und ist aligned: Deine Berichte müssen die
s2-Signaturen zeigen, die durchgehen. Siehe wie man eine E-Mail-Signatur verifiziert. - Keine legitime Signatur bricht während des Übergangs: Überwache das Ausbleiben plötzlicher DKIM-Fehler auf deinen echten Quellen.
Unser kostenloser Analyzer bestätigt das Vorhandensein und die Gültigkeit deiner öffentlichen Schlüssel am aktuellen Selektor, ein nützlicher Blick direkt nach einer Umschaltung.
Häufige Fragen
In welcher Häufigkeit erneuern? Alle sechs Monate bis zu einem Jahr für die meisten Fälle. Wichtig ist, dass es geplant und systematisch ist, nicht die perfekte Häufigkeit.
Unterbricht die Rotation den Versand? Nein, wenn du die Methode des doppelten Selektors befolgst: Die beiden Schlüssel koexistieren während des Übergangs, also keine Unterbrechung.
Wann kann ich den alten Selektor entfernen? Mehrere Tage, nachdem du die Signatur umgeschaltet hast, bis die gesamte alte Post zugestellt wurde. Zu früh entfernen bricht legitime Signaturen.
Verwaltet meine Plattform die Rotation? Wenn du einen vom Dienstleister gelieferten CNAME veröffentlicht hast, wahrscheinlich ja. Wenn du feste TXT veröffentlichst, liegt es an dir, sie zu steuern.
Muss ich bei jeder Rotation den Selektor wechseln? Ja, das ist der ganze Sinn: Ein neuer Schlüssel unter einem neuen Selektor erlaubt die Überlappung ohne Unterbrechung. Denselben Selektor für einen neuen Schlüssel wiederzuverwenden schafft ein Fenster, in dem die Signaturen fehlschlagen.
DKIM und Compliance: was die Rahmenwerke erwarten
Wenn du in einer regulierten Umgebung tätig bist — Finanzwesen, Gesundheit, öffentliche Hand — ist die DKIM-Schlüsselrotation womöglich nicht mehr eine bloße Wahl guter Praxis, sondern eine dokumentierte Anforderung. Rahmenwerke wie ISO 27001 (kryptografische Kontrollen §A.10) oder NIS2 erwarten eine Richtlinie zur Verwaltung von Geheimnissen, die deren periodische Erneuerung einschließt. Ein vor fünf Jahren gesetzter und nie erneuerter DKIM-Schlüssel ist bei einem Audit schwer zu verteidigen. Die Nachvollziehbarkeit zählt ebenfalls: Wer hat den Schlüssel erzeugt, wann, welche Länge, wann ist die nächste Rotation — lauter Elemente, die Auditoren verlangen können. Ein einfaches DKIM-Rotationsjournal zu führen (Datum, Selektor, Plattform, Länge) bringt dich mühelos aus diesen Situationen und zeigt, dass die E-Mail-Sicherheit gesteuert wird, nicht erduldet. Es ist nicht viel Arbeit, aber genau das, was den Unterschied macht zwischen „wir handhaben es" und „wir dokumentieren, dass wir es handhaben".
Rotation über einen CNAME: der bequemste Fall
Wenn deine Versandplattform dir bei der DKIM-Einrichtung einen CNAME statt eines rohen TXT geliefert hat, hast du bereits die Hälfte der Rotationsarbeit ausgelagert, ohne es unbedingt zu wissen. Der CNAME, den du einmal veröffentlichst, zeigt auf einen Eintrag, den der Dienstleister in seiner Zone verwaltet. Wenn er seinen Schlüssel rotiert, ändert er diesen Zieleintrag — und dein CNAME folgt automatisch, ohne dass du dein eigenes DNS anrührst. Für viele Domains ist das der ideale Betriebsmodus: Du veröffentlichst einmal, und die Rotation geschieht danach transparent hinter den Kulissen. Das erklärt, warum wir den CNAME dem rohen TXT vorziehen, sobald der Dienstleister ihn anbietet — nicht aus technischer Eleganz, sondern weil er ein wiederkehrendes manuelles Ritual eliminiert, das man sonst leicht vergisst.
Der Preis dieser Bequemlichkeit ist ein Kontrollverlust: Du weißt nicht immer genau, wann der Dienstleister rotiert, und du verlässt dich auf seine Sicherheitspraxis für die Aufbewahrung des privaten Schlüssels. Für die meisten Organisationen ist dieser Kompromiss vernünftig — ein seriöser Dienstleister verwaltet seine Schlüssel besser als ein von Hand gepflegter Server. Aber in einer regulierten Umgebung, in der du die Rotationskadenz und die Speicherung der Geheimnisse belegen musst, willst du vielleicht die Rotation selbst steuern, auch wenn das mehr Arbeit bedeutet. Es gibt keine universell richtige Antwort; die Wahl hängt davon ab, wie viel Nachvollziehbarkeit dein Kontext verlangt.
Lass Thomas deine Rotationen takten
Eine vergessene Rotation lässt einen Schlüssel altern; eine hingepfuschte Rotation bricht Signaturen. Thomas, dein virtueller CISO, verfolgt das Alter deiner DKIM-Schlüssel, erinnert dich, wann es Zeit zum Rotieren ist, leitet dich durch die Sequenz des doppelten Selektors und prüft in deinen Berichten, dass die Umschaltung ohne Schaden erfolgt ist.
Analysiere deine Domain kostenlos → oder leg ein Konto an für stets frische und gut gehütete DKIM-Schlüssel.
Bereit, DMARC anzuwenden?
Zu p=reject — kostenlosVerwandte Leitfäden
- Wie man einen DKIM-Schlüssel generiert (und den richtigen veröffentlicht)
Einen DKIM-Schlüssel zu generieren heißt, ein Paar aus privatem und öffentlichem Schlüssel zu erzeugen, den einen geheim zu halten und den anderen im DNS zu veröffentlichen. Die Schritte, die Wahl der Größe und die Ausrichtungsfalle.
- Was ist der DKIM-Selektor (und warum gibt es mehrere)
Der DKIM-Selektor ist das, was einem Empfänger erlaubt, den richtigen öffentlichen Schlüssel zur Verifikation einer Signatur zu finden. Was er ist, wo er auftaucht und warum du oft mehrere hast.
- SPF für Microsoft 365 und Google Workspace: die Konfiguration, die funktioniert
SPF für Microsoft 365 und Google Workspace konfigurieren, getrennt oder gemeinsam, ohne das Limit von 10 Lookups zu überschreiten. Die richtigen include, die Fallen und die Strategie für Drittanbieter.
Über den Autor
Thomas — Thomas ist der virtuelle CISO von DMARC.com: ein auf E-Mail-Authentifizierung spezialisierter Copilot, der Organisationen von p=none bis p=reject begleitet, ohne ihren Mailverkehr zu stören. Seine Leitfäden stützen sich auf echte Daten aus dem DMARC-Observatorium und aus den von der Plattform analysierten RUA-Berichten.
