DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) ist ein E‑Mail-Authentifizierungsverfahren, das ausgehende E‑Mails kryptografisch signiert. Empfangende Mailserver können damit prüfen, ob die Nachricht unterwegs verändert wurde und ob sie wirklich im Auftrag der angegebenen Domain versendet wurde. DKIM hilft so, Spoofing und Manipulation zu erkennen und die Zustellbarkeit (weniger Spam-Ordner) zu verbessern.

Was bedeutet DKIM?

DKIM steht für DomainKeys Identified Mail. Technisch basiert es auf Public-Key-Kryptografie: Ein Mailserver signiert bestimmte Header- und Body-Teile einer E‑Mail mit einem privaten Schlüssel. Der passende öffentliche Schlüssel wird im DNS der Absenderdomain veröffentlicht, sodass Empfänger die Signatur verifizieren können.

Wie funktioniert DKIM in der Praxis?

• 1) Schlüsselpaar erzeugen: Sie erstellen einen privaten und einen öffentlichen DKIM-Schlüssel (oft pro Mailserver oder pro Versanddienst).
• 2) DNS-Eintrag setzen: Der öffentliche Schlüssel wird als TXT-Record im DNS veröffentlicht (z. B. selector._domainkey.ihredomain.de). Der Selector dient der Schlüsselverwaltung (Rotation, mehrere Absender).
• 3) Signieren beim Versand: Ihr Mailserver (oder Provider wie Microsoft 365/Google Workspace/Newsletter-Tool) fügt beim Senden einen DKIM-Signature-Header hinzu.
• 4) Prüfen beim Empfang: Der empfangende Server liest den Selector, holt den öffentlichen Schlüssel aus dem DNS und prüft die Signatur. Ergebnis ist i. d. R. pass oder fail.
• 5) Zusammenspiel mit SPF/DMARC: DKIM ist am wirksamsten zusammen mit SPF und DMARC, weil DMARC festlegt, wie Empfänger bei Fehlschlägen reagieren sollen (z. B. Quarantäne/Reject).

Warum ist DKIM wichtig für KMU in Deutschland?

Für kleine Unternehmen ist E‑Mail oft geschäftskritisch (Rechnungen, Angebote, Support). Ohne DKIM können Angreifer Ihre Domain leichter fälschen (CEO-Fraud/Phishing), was zu finanziellen Schäden und Vertrauensverlust führt. Zudem bewerten große Mailanbieter (z. B. Google, Microsoft) korrekt authentifizierte E‑Mails besser – das reduziert das Risiko, dass legitime Mails im Spam landen.

Auch aus Sicht IT-Sicherheit und Datenschutz ist DKIM relevant: Phishing-Mails, die „von Ihrer Domain“ zu kommen scheinen, können Kunden oder Mitarbeitende zur Preisgabe personenbezogener Daten verleiten. DKIM ist damit eine konkrete technische Maßnahme, um Risiken für Vertraulichkeit und Integrität zu senken.

Rechtlicher Bezug (DSGVO) – was ist Pflicht?

Die DSGVO schreibt DKIM nicht ausdrücklich vor. Allerdings verlangt Art. 32 DSGVO „geeignete technische und organisatorische Maßnahmen“ (TOMs), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Für viele KMU ist E‑Mail-Spoofing ein realistisches Risiko – DKIM (zusammen mit SPF/DMARC) ist daher häufig eine naheliegende, verhältnismäßige TOM. Wichtig: Dokumentieren Sie die Umsetzung (z. B. in Ihrem TOM-Konzept) und prüfen Sie regelmäßig die Wirksamkeit.

Typische Stolperfallen & Beispiele

• Newsletter/CRM signiert nicht: Wenn Ihr Newsletter-Tool nicht mit Ihrer Domain DKIM-signiert, wirken Kampagnen schnell „unvertrauenswürdig“. Lösung: DKIM im Tool aktivieren und DNS korrekt setzen.
• Weiterleitungen brechen Signaturen: Manche Weiterleitungen verändern Header/Body (z. B. Footer), wodurch DKIM fehlschlagen kann. Lösung: saubere Weiterleitungsregeln und zusätzlich DMARC/ARC berücksichtigen.
• Schlüssel zu kurz/Rotation vergessen: Nutzen Sie aktuelle Empfehlungen (z. B. 2048 Bit) und planen Sie Schlüsselrotation (Selector wechseln).

Was kostet DKIM?

DKIM selbst ist kostenlos (Standard). Kosten entstehen meist indirekt: Zeit für DNS-Änderungen, Mailserver-/Provider-Konfiguration und Monitoring. Bei Managed-Mail-Providern ist DKIM oft inbegriffen; bei eigenen Mailservern kann einmaliger Einrichtungsaufwand (z. B. durch IT-Dienstleister) anfallen.