Digitale Signaturen für maximale eMail Integrität

Stell dir vor, du verschickst einen versiegelten Brief. Der Empfänger kann anhand des Siegels sofort erkennen, ob der Brief unterwegs geöffnet oder manipuliert wurde. Genau das leistet DKIM für deine eMails.

In diesem Dreamcodes Ratgeber erfährst du, wie diese kryptografische Signatur funktioniert und warum sie neben SPF und DMARC der wichtigste Baustein für deine professionelle eMail Kommunikation ist.

1. Was ist DKIM?

DKIM steht für DomainKeys Identified Mail. Es ist ein Protokoll, das jeder ausgehenden eMail eine digitale Signatur im Header (Kopfzeile) hinzufügt. Diese Signatur ist für den normalen Leser unsichtbar, wird aber vom empfangenden Mailserver automatisch geprüft.

Der Clou: Die Signatur ist kryptografisch mit deiner Domain verknüpft. Sie bestätigt zwei Dinge:

1. Die eMail kommt tatsächlich von deiner Domain.
2. Der Inhalt der eMail (Betreff, Text, Anhänge) wurde nach dem Absenden nicht verändert.

2. Wie funktioniert DKIM technisch?

DKIM nutzt ein Verfahren mit einem Schlüsselpaar:

• Privater Schlüssel: Dieser verbleibt sicher auf deinem sendenden Mailserver. Bei jedem Versand wird damit ein mathematischer Fingerabdruck (Hash) der eMail erstellt und in den Header geschrieben.
• Öffentlicher Schlüssel: Diesen veröffentlichst du als TXT-Record in deinen DNS-Einstellungen.

Wenn die Mail ankommt, holt sich der Empfänger-Server deinen öffentlichen Schlüssel aus dem DNS und prüft, ob die Signatur im Header dazu passt. Nur wenn alles korrekt ist, gilt die Mail als authentifiziert.

3. Der Aufbau eines DKIM Eintrags

Ein DKIM-Eintrag im DNS sieht meistens so aus:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG...

Die wichtigsten Bestandteile:

• v=DKIM1: Die Version des Protokolls.
• k=rsa: Der verwendete Verschlüsselungsalgorithmus.
• p=…: Dein öffentlicher Schlüssel (eine lange Kette aus wirren Zeichen).
• Selector: DKIM-Einträge werden nicht direkt unter der Domain gespeichert, sondern unter einem „Selector“ (zB. google._domainkey.ihredomain.de). Dies erlaubt es, mehrere DKIM-Schlüssel für verschiedene Dienste gleichzeitig zu nutzen.

4. Schritt für Schritt Anleitung zur Einrichtung

Schritt 1: DKIM Schlüssel generieren

Du kannst einen DKIM Schlüssel nicht einfach „erfinden“. Er muss von deinem eMail Provider (zB. Microsoft 365, Google Workspace oder deinem Hosting Panel) generiert werden. Suche dort in den Einstellungen nach „DKIM-Setup“.

Schritt 2: Den Selector und den Schlüssel kopieren

Dein Anbieter gibt dir zwei Informationen: Den Hostnamen (inklusive Selector) und den TXT-Wert.

Schritt 3: Den DNS Eintrag anlegen

1. Logge dich in deine DNS Verwaltung bei deinem Registrar ein.
2. Erstelle einen neuen TXT-Record.
3. Hostname: Gib den Selector Pfad ein (zB. default._domainkey).
4. Wert: Füge den langen Schlüssel String ein, den du von deinem Provider erhalten hast.
5. Speichern.

Schritt 4: Aktivierung beim Provider

Gehe zurück in dein eMail Admin Panel. Oft musst du dort auf einen Button wie „Prüfen“ oder „Aktivieren“ klicken, damit der Server mit dem Signieren der Mails beginnt.

5. Warum DKIM für Dreamcodes Nutzer unverzichtbar ist

• Kein „Im Auftrag von“ Hinweis: Ohne DKIM zeigen manche Clients (wie Outlook) bei Newslettern oft unschöne Absender Zusätze an. DKIM sorgt für ein sauberes Branding.
• Schutz vor Manipulation: Cyberkriminelle könnten versuchen, eMails auf dem Transportweg abzufangen und zB. Kontodaten in einer Rechnung zu ändern. DKIM macht solche Änderungen sofort sichtbar, da die Signatur dann ungültig wird.
• Voraussetzung für DMARC: Ein stabiles DMARC Setup benötigt mindestens SPF oder DKIM als Basis. DKIM ist dabei oft zuverlässiger, da es auch bei eMail Weiterleitungen stabil bleibt.

6. Fazit

DKIM ist die digitale Unterschrift deiner Domain. Es mag technisch komplex klingen, ist aber dank moderner Provider Tools in wenigen Minuten eingerichtet. Für jeden, der Wert auf Sicherheit und eine hohe Reputation seiner Domain legt, ist dieser DNS-Eintrag Pflicht.