DKIM-Datensatz-Prüfer

DKIM (DomainKeys Identified Mail, RFC 6376) fügt ausgehenden E-Mails eine kryptografische Signatur hinzu. Der sendende Mail-Server signiert die E-Mail-Header und den Inhalt mit einem privaten Schlüssel. Der öffentliche Schlüssel wird als DNS-TXT-Eintrag unter {selector}._domainkey.{domain} veröffentlicht. Empfangende Server schlagen den öffentlichen Schlüssel nach, um die Signatur zu verifizieren. Dies beweist: (1) Die E-Mail wurde von einem Server gesendet, der Zugang zum privaten Schlüssel hat. (2) Die E-Mail wurde während der Übertragung nicht verändert. Zusammen mit SPF und DMARC verhindert DKIM E-Mail-Spoofing und verbessert die Zustellbarkeit.

Ein Selektor ist ein Präfix, das zum Nachschlagen des öffentlichen DKIM-Schlüssels in DNS verwendet wird. Für dieselbe Domain können mehrere Selektoren existieren, was Schlüsselrotation oder mehrere Sendedienste ermöglicht. Der Selektor ist im DKIM-Signature-Header enthalten: "s=google" weist den Empfänger an, den öffentlichen Schlüssel unter google._domainkey.ihredomain.de nachzuschlagen. Gängige Selektoren: Google Workspace verwendet "google", Microsoft 365 rotiert automatisch zwischen "selector1" und "selector2", SendGrid verwendet "s1" und "s2", Mailchimp verwendet "k1", Proton Mail verwendet "protonmail".

RFC 8301 (veröffentlicht 2018) hat 1024-Bit-RSA-Schlüssel für DKIM als veraltet erklärt und ein Minimum von 2048 Bits gefordert. Die Forschung hat gezeigt, dass 1024-Bit-RSA-Schlüssel mit ausreichend Rechenleistung und Finanzierung faktorisiert werden können — ein theoretischer Angreifer, der Ihren Schlüssel faktorisiert, könnte DKIM-Signaturen fälschen. Google hat 1024-Bit-DKIM im Jahr 2023 als veraltet erklärt. Wenn Sie einen 1024-Bit-Schlüssel sehen, sollten Sie so bald wie möglich auf einen 2048-Bit-Schlüssel wechseln. Die meisten modernen E-Mail-Dienste generieren bereits standardmäßig 2048-Bit-Schlüssel.

In DKIM signalisiert ein leerer öffentlicher Schlüssel (p=), dass der Schlüssel absichtlich widerrufen wurde. E-Mails, die mit diesem Schlüssel signiert wurden, schlagen bei der DKIM-Verifizierung fehl. Dies ist der DKIM-Schlüsselrotationsmechanismus — wenn Sie Schlüssel rotieren, widerrufen Sie den alten, indem Sie p= leer setzen. Wenn Sie einen widerrufenen Schlüssel finden, kann es sich um einen alten Schlüssel eines früheren ESP handeln. Aktive E-Mails sollten nicht mit einem Selektor signiert werden, dessen DNS-Eintrag p= enthält. Falls Ihre E-Mails mit einem solchen Selektor signiert werden, schlagen sie bei DKIM fehl.

So finden Sie Ihren DKIM-Selektor: (1) Prüfen Sie die Dokumentation oder das Admin-Panel Ihres E-Mail-Dienstanbieters. (2) Senden Sie eine Test-E-Mail und sehen Sie sich die vollständigen E-Mail-Header an — finden Sie den DKIM-Signature-Header, der "s={selektor}" enthält. (3) Für Google Workspace: Admin-Konsole → Apps → Gmail → E-Mail authentifizieren. (4) Für Microsoft 365: Exchange-Admin-Center → Mail-Flow → Connectors. (5) Für benutzerdefinierte MTAs: prüfen Sie Ihre Postfix/Exim-Konfiguration auf den Signatur-Selektor. Geben Sie Ihren benutzerdefinierten Selektor in das Feld "Zusätzlicher Selektor" dieses Checkers ein.