Authentication · RFC 6376 · Aktualisiert May 2026

DKIM

DomainKeys Identified Mail

DKIM (DomainKeys Identified Mail) ist ein kryptographischer E-Mail-Authentifizierungs-Standard (RFC 6376), bei dem der Absender jede ausgehende Nachricht mit einem privaten Schlüssel signiert und der Empfänger die Signatur gegen einen im DNS veröffentlichten öffentlichen Schlüssel verifiziert.

§1

Definition

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungs-Standard, definiert in RFC 6376. Das sendende Mailsystem signiert jede ausgehende Nachricht mit einem privaten kryptographischen Schlüssel; ein Header namens DKIM-Signature trägt die Signatur, den Algorithmus und einen Verweis auf den öffentlichen Schlüssel. Der empfangende Server holt den öffentlichen Schlüssel aus dem DNS und verifiziert, dass die Signatur zum Nachrichtenkörper und den gelisteten Headern passt — was sowohl belegt, dass die Nachricht von einem Server stammt, der den privaten Schlüssel hält, als auch, dass die signierten Teile der Nachricht unterwegs nicht verändert wurden.

§2

Selectors und Schlüsselrotation

Der öffentliche Schlüssel liegt unter {selector}._domainkey.{domain} als TXT-Record. Selectors sind frei wählbare Bezeichner — typischerweise s1, s2, mail oder vendor-spezifische Namen wie amazonses. Selectors ermöglichen Schlüsselrotation: einen neuen Schlüssel unter einem frischen Selector veröffentlichen, den Signer auf den neuen Selector umschalten, den alten Schlüssel im DNS belassen, bis bereits signierte Nachrichten in Transit abgearbeitet sind, anschließend den alten TXT-Record löschen. Rotation ist Grundhygiene — die meisten ESPs rotieren mindestens jährlich sowie bei jedem Verdacht auf Kompromittierung.

§3

Wie AcelleMail DKIM nutzt

Beim vendor-gestützten Versand (Amazon SES, Mailgun, SendGrid, SparkPost — alle eingebauten Treiber unter app/SendingServers/Drivers/Vendors/) wird DKIM vom Vendor signiert. Der Betreiber muss lediglich die vom Vendor bereitgestellten CNAME- oder TXT-Einträge auf seiner Sendedomain veröffentlichen. Beim generischen SMTP-Treiber übernimmt die DKIM-Signatur die vorgelagerte MTA (der opendkim-Milter von Postfix, der eingebaute Signer von Postal usw.) — AcelleMail signiert DKIM nicht selbst.

Der komplette Setup-Walkthrough — wie die Records bei den großen Vendor aussehen und wie sich die Signatur verifizieren lässt — steht im Zustellbarkeits-Pillar-Guide.

§4

DKIM vs SPF

SPF authentifiziert die IP-Adresse; DKIM authentifiziert die Nachricht selbst. Eine weitergeleitete E-Mail, die SPF bricht (weil sie nun aus den IPs des Weiterleiters kommt), besteht DKIM in der Regel trotzdem (die Signatur deckt den Body ab, nicht den Pfad). DMARC richtet dann eines oder beide Signale gegen den sichtbaren From:-Header aus. Alle drei Schichten greifen ineinander — moderne Zustellbarkeit setzt voraus, dass Sie alle drei publizieren.

Quellen

Jede Aussage auf dieser Seite lässt sich auf eine davon zurückführen.

Siehe auch

E-Mail-Zustellbarkeit — vollständiger DKIM-Setup-Walkthrough →

Verwandte Glossarbegriffe

Weiter durch das Cluster.

Authentication RFC 7208

SPF

Sender Policy Framework

Authentication RFC 7489

DMARC

Domain-based Message Authentication, Reporting and Conformance

Vendor

Amazon SES

Amazon Simple Email Service

Metric

Email deliverability

Die Rate, mit der gesendete Nachrichten die Inbox des Empfängers erreichen

← Zurück zu allen Glossarbegriffen

Im Produktiveinsatz betreiben?

AcelleMail ist eine selbstgehostete E-Mail-Plattform mit Einmallizenz und vollwertiger Unterstützung für jeden Begriff in diesem Glossar. Keine wiederkehrenden Gebühren, keine Preise pro Abonnent, voller Quellcode.

Live-Demo testen