blueredix logo
SCAN Schwachstellenscans auf Abruf ab 149 €
medium dkim-no-common-selectors

DKIM-Signatur nicht erkannt

DKIM ist die digitale Unterschrift, die Ihr Mailanbieter an ausgehende Mail hängt, damit Empfänger sehen, ob unterwegs nichts verändert wurde. Ohne DKIM fehlt Ihrem E-Mail-Schutz eine ganze Schicht.

Worum es geht

DKIM ist eine digitale Unterschrift, die Ihr Mailanbieter an jede ausgehende E-Mail anhängt. Erstellt wird sie mit einem privaten Schlüssel, den nur Ihr Anbieter kennt. Den passenden öffentlichen Schlüssel veröffentlichen Sie in den DNS-Einstellungen Ihrer Domain, so kann jede empfangende Stelle die Unterschrift überprüfen.

Kommt die Mail unverändert von einem System, das Sie autorisiert haben, besteht die Signatur die Prüfung. Versucht ein Betrüger, die Mail zu fälschen, oder ändert unterwegs etwas die Inhalte, schlägt sie fehl.

Wir haben an den üblichen Stellen nach Ihrer DKIM-Signatur gesucht und keine gefunden. Stärkste Lesart: Ihr Mailanbieter signiert die ausgehende Mail nicht.

Warum das wichtig ist

DKIM ergänzt SPF und DMARC aus unseren SPF- und DMARC-Artikeln. Stehen alle drei, können Mailanbieter mit hoher Sicherheit bestätigen, dass eine Nachricht wirklich von Ihnen kommt.

Ohne DKIM:

  • DMARC hat nur ein Signal. Schlägt SPF aus irgendeinem Grund fehl (etwa weil eine Mailingliste den Absender umschreibt), fehlt DKIM als zweiter Pfad. Die Mail besteht die Gesamtprüfung nicht und wird abgelehnt. Mit DKIM überlebt die Signatur die Weiterleitung.
  • Das Häkchen in Gmail erscheint nicht. Gmails verifiziertes Absender-Logo (BIMI, siehe BIMI-Artikel) setzt DKIM voraus.
  • Bulk-Sender-Anforderungen sind nicht erfüllt. Google und Yahoo verlangen DKIM seit 2024 von jedem Versender mit nennenswertem Volumen. Ohne DKIM wird Bulk-Mail abgelehnt.

So beheben Sie das

DKIM aktivieren Sie bei Ihrem Mailanbieter, nicht direkt im DNS. Der Anbieter erzeugt das Schlüsselpaar und liefert den Text, den Sie im DNS hinterlegen. Wer Ihre Domain verwaltet, fügt diesen Text dort ein.

Nach Anbieter:

  • Google Workspace. Admin-Konsole → Apps → Google Workspace → Gmail → E-Mails authentifizieren → Neuen Eintrag erzeugen. Den ausgegebenen TXT-Eintrag veröffentlichen, dann auf “Authentifizierung starten” klicken.
  • Microsoft 365. Defender-Portal → E-Mail & Zusammenarbeit → Richtlinien → E-Mail-Authentifizierung → DKIM. Pro akzeptierter Domain einschalten.
  • mailbox.org / IONOS / STRATO und andere deutsche Hoster. Im Kundenpanel jeweils ein Ein-Klick-Schalter; aktivieren, den DNS-Text in Ihre Domain-Einstellungen übernehmen.

Nach der Veröffentlichung eine Testmail an check-auth@verifier.port25.com schicken. Die Antwort sagt Ihnen, ob SPF, DKIM und DMARC alle bestanden haben.

Detail beim Setup: die Signatur sollte einen 2048-Bit-Schlüssel verwenden. Ältere 1024-Bit-Schlüssel sind verbreitet, gelten aber bei Google & Co. als schwach. Aktuelle Anbieter erzeugen meist 2048 Bit; ein kurzer Blick lohnt trotzdem.

Mehr dazu