← Blog

Wie man einen DKIM-Schlüssel generiert (und den richtigen veröffentlicht)

Par Thomas · RSSI virtuel · 2026-07-10

DKIM zu aktivieren beginnt mit einer scheinbar einfachen Frage: Wie generiert man einen DKIM-Schlüssel? Die Antwort hängt davon ab, wer deine Post signiert — in der großen Mehrheit der Fälle generiert deine Versandplattform den Schlüssel für dich, und deine Arbeit beschränkt sich darauf, den richtigen DNS-Eintrag zu veröffentlichen. Aber es gibt Entscheidungen, die zählen (die Schlüsselgröße, das CNAME vs. das TXT, die Ausrichtung) und Fallen zu vermeiden. Dieser Leitfaden erklärt, wie man einen gültigen DKIM-Schlüssel erhält, wohin jedes Teil gehört und wie man prüft, dass alles korrekt ist.

Was ein „DKIM-Schlüssel" wirklich ist

Ein DKIM-Schlüssel ist kein einzelnes Objekt, sondern ein Paar:

  • ein privater Schlüssel, der dazu dient, deine Nachrichten beim Versand zu signieren. Er bleibt geheim, gespeichert von deiner Versandplattform. Er verlässt diese Umgebung nie.
  • ein öffentlicher Schlüssel, abgeleitet aus dem privaten, den du im DNS veröffentlichst. Die Empfänger holen ihn ab, um die Signatur zu verifizieren.

Einen DKIM-Schlüssel zu generieren heißt also, dieses Paar zu erzeugen. Der auf deiner Seite sichtbare Teil — der DNS-Eintrag — enthält nur den öffentlichen Schlüssel. Wenn du deinen privaten Schlüssel in einem DNS-Eintrag siehst, ist das ein schwerer Fehler: Er darf dort niemals stehen.

Der häufigste Fall: deine Plattform generiert für dich

Für Microsoft 365, Google Workspace, einen Marketing-Router oder die meisten SaaS musst du keinen kryptografischen Befehl ausführen. Die Plattform generiert das Paar, behält den privaten Schlüssel und liefert dir den zu veröffentlichenden DNS-Eintrag. Die Vorgehensweise:

  1. Aktiviere DKIM in der Konsole der Plattform.
  2. Hole den Eintrag ab, den sie dir gibt — oft ein oder zwei CNAME, manchmal ein TXT mit dem öffentlichen Schlüssel, an einem präzisen Selektor (siehe der DKIM-Selektor).
  3. Veröffentliche ihn in deinem DNS, ohne den Wert zu ändern (die Schlüssel sind lang; kopiere sie vollständig).
  4. Aktiviere die Signatur auf Plattformseite, sobald die DNS-Propagation erfolgt ist.

Das ist der empfohlene Weg: Die Plattform verwaltet den privaten Schlüssel und oft auch seine Rotation. Es gibt kaum einen guten Grund, den Schlüssel selbst zu generieren, wenn deine Plattform das anbietet — im Gegenteil, du übernimmst dann die Verantwortung, ein kritisches Geheimnis sicher aufzubewahren und den Schlüssel manuell zu rotieren, ohne dafür einen echten Gegenwert zu bekommen. Die selbst betriebene Generierung ist dem Fall vorbehalten, in dem du deine eigene Mail-Infrastruktur betreibst und ohnehin die Signatur selbst durchführst.

Das CNAME statt des TXT, wenn möglich

Viele Dienstleister bieten an, ein CNAME zu veröffentlichen, das auf einen von ihnen gepflegten Eintrag zeigt, statt eines TXT, das den Schlüssel fest enthält. Bevorzuge das CNAME: Es erlaubt dem Dienstleister, den Schlüssel zu rotieren, ohne dass du jedes Mal dein DNS anfassen musst. Du veröffentlichst einmal, und die Schlüsselrotation wird für dich transparent. Das rohe TXT bleibt gültig, zwingt dich aber bei jeder Erneuerung zum Eingreifen.

Einen Schlüssel selbst generieren (fortgeschrittener Fall)

Wenn du deine eigene Sendeinfrastruktur betreibst (etwa einen Postfix-Server), generierst du das Paar selbst. Konzeptuell erzeugst du einen RSA-Schlüssel, extrahierst den öffentlichen Teil und baust den DNS-Eintrag. Der veröffentlichte Eintrag sieht so aus:

selecteur._domainkey.ton-domaine.fr.  IN TXT
  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQ... (clé publique)"

Das p= enthält den kodierten öffentlichen Schlüssel. Der entsprechende private Schlüssel bleibt auf deinem Server, gelesen von deinem Signaturtool. Zwei goldene Regeln in diesem Fall: schütze den privaten Schlüssel wie ein kritisches Geheimnis und wähle eine angemessene Größe (siehe weiter unten).

Welche Schlüsselgröße wählen

Die Frage kommt immer wieder: 1024 oder 2048 Bit? Die kurze Antwort: 2048 Bit ist heute der empfohlene Standard, robuster. Das 1024 bleibt akzeptiert, aber altert. Es gibt jedoch eine technische Feinheit (die Länge des DNS-Eintrags), die einen eigenen Leitfaden verdient — siehe 1024 oder 2048 Bit. Wenn du von null startest, wähle 2048.

Die Falle, die alles zunichtemacht: die Ausrichtung

Hier ist der teuerste Fehler. Du kannst einen vollkommen gültigen DKIM-Schlüssel generieren und veröffentlichen, die Signatur „bestehen" sehen und dennoch nichts zu DMARC beitragen. Warum? Weil DMARC verlangt, dass die signierende Domain (d= in der Signatur) sich mit der deines From: ausrichtet. Die DKIM-Standardsignatur vieler Plattformen verwendet ihre Domain (d=plateforme.com), nicht deine. Ergebnis: Die Signatur ist gültig, aber für die falsche Domain.

Die Lösung ist, eine markeneigene Signatur zu konfigurieren: Die meisten Dienstleister bieten eine Option „benutzerdefinierte Signaturdomain" oder „authentifiziertes DKIM", die mit d=ton-domaine.fr signieren lässt. Das ist genau das, was deinen DKIM-Schlüssel für DMARC nützlich macht. Der komplette Mechanismus steht in wie die drei Protokolle zusammenarbeiten.

Prüfen, dass dein Schlüssel funktioniert

Sobald der Schlüssel veröffentlicht und die Signatur aktiviert ist, kontrolliere drei Dinge:

  1. Der öffentliche Schlüssel ist wirklich da, vollständig und am richtigen Selektor (dig TXT selecteur._domainkey.ton-domaine.fr).
  2. Die Signatur besteht auf einer echten Nachricht — siehe wie man eine E-Mail-Signatur verifiziert.
  3. Sie richtet sich aus mit deinem From:, sichtbar in deinen Aggregatberichten.

Du kannst all das auf einen Schlag bestätigen, indem du deine Domain in unseren kostenlosen Analyzer eingibst, der die Präsenz, die Gültigkeit und die Ausrichtung deiner Schlüssel prüft.

DKIM auf gängigen Plattformen aktivieren

Der genaue Ablauf hängt von deiner Plattform ab, aber das Schema ist überall dasselbe: DKIM in der Konsole aktivieren, den Eintrag abholen, ihn veröffentlichen, warten, signieren. Ein paar konkrete Anhaltspunkte:

  • Microsoft 365. Im Sicherheitsportal, unter der Nachrichtenauthentifizierung, aktivierst du DKIM für deine Domain. Microsoft liefert dir zwei CNAME (selector1 und selector2) zum Veröffentlichen; die beiden dienen dazu, die alternierende Rotation der Schlüssel zu ermöglichen. Einmal veröffentlicht und propagiert, aktivierst du die Signatur.
  • Google Workspace. In der Admin-Konsole, unter der Nachrichtenauthentifizierung, generierst du einen Schlüssel (wähle 2048 Bit) für deine Domain. Google gibt dir ein TXT zum Veröffentlichen am Selektor google. Nach der Propagation startest du die Authentifizierung.
  • Router und SaaS (Brevo, SendGrid, Mailchimp…). Sie bieten fast alle eine benutzerdefinierte Signaturdomain über ein oder mehrere CNAME an. Das ist auch dort, wo du die Ausrichtung aktivierst (d=ton-domaine.fr) — der Schritt, der die Signatur für DMARC nützlich macht.

In allen Fällen ist die Regel dieselbe: kopiere den Wert vollständig, warte die Propagation ab, bevor du die Signatur aktivierst, und prüfe danach, dass das d= wirklich deins ist und nicht das des Dienstleisters.

Die häufigsten Generierungsfehler

Drei Fehlschläge kommen in Schleife wieder. Erstens, die Signatur vor der DNS-Propagation aktivieren: Die ersten Signaturen zeigen auf einen noch nicht sichtbaren Schlüssel und schlagen fehl — warte, bis dig den Schlüssel zeigt, bevor du signierst. Zweitens, den Schlüssel abschneiden beim Kopieren-Einfügen, besonders bei 2048 Bit, wo er lang ist: Ein einziges fehlendes Zeichen zerbricht die ganze Verifikation. Und schließlich, die Ausrichtung vergessen: Du aktivierst DKIM, die Signatur besteht, aber mit dem d= des Dienstleisters — du glaubst geschützt zu sein, während DMARC sich auf nichts stützt. Prüfe systematisch diese drei Punkte nach jeder Aktivierung, und du ersparst dir die überwältigende Mehrheit der DKIM-Anlauffehler.

Häufige Fragen

Muss ich den Schlüssel selbst generieren? Selten. Wenn du über eine Plattform sendest (Microsoft, Google, ein SaaS), generiert sie das Paar und behält den privaten Schlüssel. Du generierst nur dann selbst, wenn du deine eigene Signaturinfrastruktur betreibst.

Wohin geht der private Schlüssel? Er bleibt in der Umgebung, die signiert (die Plattform oder dein Server). Er wird niemals im DNS veröffentlicht und darf diese Umgebung nie verlassen. Das DNS enthält nur den öffentlichen Schlüssel.

Kann ich denselben Schlüssel für mehrere Domains wiederverwenden? Zu vermeiden. Jede Domain sollte ihren eigenen Schlüssel (und ihren eigenen Selektor) haben, um die Risiken zu isolieren und die Rotation zu vereinfachen.

Wie lange, bis es funktioniert? Die Zeit der DNS-Propagation (von ein paar Minuten bis ein paar Stunden). Aktiviere die Signatur auf Plattformseite erst, wenn der öffentliche Schlüssel sichtbar ist, sonst schlagen die ersten Signaturen fehl.

1024 oder 2048 Bit? 2048 für ein neues Deployment. Das 1024 funktioniert noch, ist aber weniger robust; bei der nächsten Rotation zu ersetzen.

DKIM und Zustellbarkeit: warum es wirklich zählt

Über die Sicherheit hinaus hat DKIM einen konkreten Effekt auf die Zustellbarkeit deiner E-Mails. Die großen Mail-Anbieter (Gmail, Outlook, Yahoo) integrieren die Präsenz und die Ausrichtung von DKIM in ihre Reputationsscores: Eine Domain, die seit langem korrekt signiert, mit einem ausgerichteten Schlüssel, baut eine Vertrauenshistorie auf, die die Spam-Filter berücksichtigen. Umgekehrt wird eine Domain ohne DKIM (oder mit einer nicht ausgerichteten Signatur) mit mehr Misstrauen behandelt, besonders wenn ihre Reputation noch jung ist. DKIM verhindert Spam nicht — ein Spammer kann seine Nachrichten durchaus signieren — aber es sagt dem Empfänger „diese Nachricht kommt wirklich von dem, von dem sie vorgibt zu kommen", was ein wichtiges Legitimitätssignal ist. Kombiniert mit SPF und DMARC bildet es das Basistrio, das jeder seriöse Absender haben muss, bevor er irgendetwas anderes zu optimieren versucht. Einmal gut konfiguriert, arbeitet DKIM unsichtbar für dich und häuft Reputation an mit jeder legitimen E-Mail, die du sendest.

Lass Thomas den richtigen Eintrag generieren

Zwischen der Schlüsselgröße, dem CNAME vs. TXT und vor allem der Ausrichtung bleibt ein schlecht gesetzter DKIM-Schlüssel unbemerkt bis zu dem Tag, an dem DMARC fehlschlägt. Thomas, dein virtueller CISO, sagt dir für jede Plattform den exakten zu veröffentlichenden Eintrag, prüft, dass die Signatur sich mit deiner Domain ausrichtet, und führt dich bis zu einem DKIM, das wirklich für DMARC zählt.

Analysiere deine Domain kostenlos → oder erstelle ein Konto für ein DKIM, das auf Anhieb korrekt ist.

Prêt à appliquer DMARC ?

Atteindre p=reject — gratuit

Guides liés

À propos de l'auteur

ThomasThomas est le RSSI virtuel de DMARC.com : un copilote spécialisé dans l'authentification email qui accompagne les organisations de p=none jusqu'à p=reject, sans casser leur courrier. Ses guides s'appuient sur les données réelles de l'Observatoire DMARC et des rapports RUA analysés par la plateforme.