ServerRecords

Hilfe & Fehlerbehebung

DKIM

Worum es geht

DKIM signiert ausgehende Mail mit einem privaten Schlüssel; Empfänger holen den öffentlichen Schlüssel von selector._domainkey.deinedomain.com, um zu überprüfen, dass die Nachricht autorisiert und unverändert war. Jeder Anbieter verwendet seinen eigenen Selektornamen.

So liest du dein Ergebnis

Ein gesunder Eintrag enthält p= gefolgt von einem langen Base64-Schlüssel. Ein leeres p= bedeutet, dass der Schlüssel widerrufen wurde. Keinen Eintrag zu finden bedeutet oft nur, dass du den falschen Selektor abgefragt hast — prüfe die Dokumentation deines Anbieters auf den genauen Selektornamen.

Häufige Probleme und wie du sie behebst

DKIM-Eintrag fehlt für den Selektor, mit dem der Anbieter signiert

Wie es sich zeigt: Empfänger zeigen dkim=fail oder dkim=none; DMARC-Berichte listen scheiternde Quellen auf, die eigentlich dein eigener Anbieter sind.

So behebst du es: Kopiere den genauen Eintrag (Selektor und Wert) aus der Admin-Konsole deines E-Mail-Anbieters ins DNS. Bei Microsoft 365 und einigen anderen musst du nach dem Veröffentlichen der CNAMEs zusätzlich in der Konsole auf "DKIM aktivieren" klicken.

Eintrag vom DNS-Anbieter abgeschnitten oder umformatiert

Wie es sich zeigt: Die DKIM-Verifizierung schlägt fehl, obwohl der Eintrag "existiert"; der Schlüssel im DNS unterscheidet sich geringfügig vom ausgegebenen.

So behebst du es: Füge den Wert erneut ein; bei Schlüsseln über 255 Zeichen stelle sicher, dass der Anbieter sie korrekt in mehrere in Anführungszeichen gesetzte Zeichenketten aufteilt. Prüfe mit einer Abfrage und vergleiche den vollständigen p=-Wert Zeichen für Zeichen.

Schlüssel nie rotiert

Wie es sich zeigt: Derselbe DKIM-Schlüssel signiert seit Jahren die Mail; eine Kompromittierung dieses Schlüssels würde Angreifern erlauben, auf unbestimmte Zeit in deinem Namen zu signieren.

So behebst du es: Rotiere Schlüssel regelmäßig (Anbieter mit gepaarten Selektoren wie selector1/selector2 automatisieren das). Veröffentliche den neuen Schlüssel, stelle die Signierung um, und widerrufe dann nach einer Übergangsphase den alten mit einem leeren p=.

Abfrage für diesen Eintrag starten