DKIM · November 2025

DKIM-Key-Rotation: So schützt du Signaturen vor Diebstahl und Downtime

DKIM-Schlüssel haben kein offizielles Ablaufdatum - aber sie verlieren an Sicherheit, wenn sie zu lange im Einsatz bleiben oder unbemerkt kompromittiert wurden. Moderne Mail-Security setzt deshalb auf regelmäßige Rolling Keys, klare Ownership und automatisiertes Monitoring. Dieser Leitfaden erklärt, warum Rotation Pflicht ist und wie du sie praktisch umsetzt.

Warum DKIM-Schlüssel ablaufen sollten, auch wenn sie es technisch nicht müssen

Ein DKIM-Selektor-Record hat per RFC kein Ablaufdatum. Das verleitet viele Teams dazu, einen einmal konfigurierten Schlüssel jahrelang im Einsatz zu lassen. Das ist ein Sicherheitsrisiko aus mehreren Gründen:

  • Kryptografische Schwächung: RSA-1024-Bit-Schlüssel, die vor 2015 verbreitet waren, gelten heute als unsicher und können mit ausreichend Rechenleistung gebrochen werden. Selbst 2048-Bit-Schlüssel verlieren durch steigende Rechenkapazitäten langfristig an Robustheit.
  • Kompromittierungsrisiko: Private Keys werden häufig auf Mail-Relays, in CI/CD-Pipelines, in Cloud-Secrets-Managern oder sogar in Git-Repositories gespeichert. Jede dieser Stellen ist ein potenzieller Leak-Vektor. Je länger ein Schlüssel im Einsatz ist, desto wahrscheinlicher ist eine unbemerkte Kopie.
  • Eingeschränkte Incident Response: Wenn du weißt oder vermutest, dass ein Schlüssel kompromittiert wurde, musst du den alten Selektor sofort deaktivieren und einen neuen aktivieren. Ohne vorbereiteten Rotationsprozess bedeutet das Downtime oder unkontrollierte Signierungslücken.
  • Compliance-Anforderungen: PCI DSS v4, ISO 27001 und verschiedene Cyber-Insurance-Policies verlangen "regelmäßige Rotation kryptografischer Schlüssel". Ohne dokumentierte Rotation fehlt dir der Nachweis.

Wie DKIM-Key-Rotation technisch funktioniert

Die Rotation eines DKIM-Schlüssels folgt einem definierten Prozess mit überlappenden Phasen, um Signierungsunterbrechungen zu vermeiden:

  1. Neuen Schlüssel generieren: Erstelle ein neues RSA-2048- oder EdDSA-Schlüsselpaar (Ed25519 ist kompakter und schneller, wird aber noch nicht von allen Empfängern unterstützt). Halte den privaten Schlüssel sicher - niemals im Klartext in Git.
  2. Neuen DNS-Record veröffentlichen: Publiziere den neuen öffentlichen Schlüssel unter einem neuen Selektor-Namen, z.B. selektor2025q4._domainkey.deinedomain.de. Warte mindestens die TTL des Records ab (empfohlen: 3600 Sekunden), damit der Record propagiert ist.
  3. Dual-Signing aktivieren: Konfiguriere dein Mail-System so, dass es mit dem neuen Schlüssel signiert, während der alte Selektor im DNS aktiv bleibt. Das stellt sicher, dass Nachrichten, die noch unterwegs sind und mit dem alten Schlüssel signiert wurden, weiterhin verifiziert werden können.
  4. Validieren: Prüfe über DMARC-Aggregatberichte, dass der neue Selektor tatsächlich verwendet wird und die DKIM-Pass-Rate stabil bleibt. Mindestens 48–72 Stunden Beobachtungszeit einplanen.
  5. Alten Selektor deaktivieren: Entferne den alten DNS-Record und deaktiviere den alten privaten Schlüssel auf dem Mail-Relay. Der alte Record sollte nicht unbegrenzt im DNS verbleiben, da er Angriffsfläche bietet.

Rolling Keys planen: Dual-Signing und Fallback

Die kritische Phase ist der Übergangszeitraum zwischen altem und neuem Schlüssel. Folgende Strategien reduzieren das Risiko:

  • Dual-Signing: Betreibe beide Selektoren gleichzeitig aktiv – der sendende Server signiert mit dem neuen, der alte bleibt im DNS für Verifikation alter Nachrichten. Zeitraum: mindestens 7 Tage, idealerweise 14.
  • Automatisierte Publikation via Infrastructure as Code: Eine CI/CD-Pipeline (Terraform, Ansible, AWS CDK) kann den DNS-Record automatisch mit dem neuen öffentlichen Schlüssel aktualisieren und den privaten Schlüssel sicher an Mail-Relays verteilen. Das eliminiert manuelle Fehler.
  • Fallback-Strategie: Wenn nach der Aktivierung des neuen Schlüssels die DKIM-Pass-Rate unerwartet sinkt (erkennbar in DMARC-Reports innerhalb von 24–48 Stunden), kann der alte Selektor temporär reaktiviert werden, während die Ursache untersucht wird.
  • Rotationskalender: Plane Rotationen für Zeiträume mit geringem Mail-Volumen (z.B. nachts oder an Wochenenden). Vermeide Rotationen während laufender Marketing-Kampagnen oder Monatsabschlüssen, wenn das Mailvolumen hoch ist.

Monitoring und Governance: Ohne Sichtbarkeit keine Sicherheit

Rotation allein reicht nicht. Du brauchst Sichtbarkeit darüber, welche Selektoren aktiv sind, ob sie Nachrichten signieren und ob DNS-Records noch gültig sind:

  • Selektor-Inventar führen: Eine Tabelle (oder besser: ein Eintrag in deinem IT-Asset-Management) mit allen aktiven Selektoren, dem zugehörigen Mailstream, dem Erstellungsdatum, dem geplanten Rotationsdatum und dem Verantwortlichen.
  • Health-Check-Monitoring: DMARCFlow überprüft täglich, ob DKIM-Selektoren im DNS auflösbar sind und ob eingehende Aggregatberichte weiterhin DKIM-Passes für deine Domains zeigen. Wenn ein Selektor verschwindet oder die Signierrate sinkt, erhältst du sofort einen Alert.
  • Secrets-Scanning: Stelle sicher, dass keine privaten DKIM-Schlüssel in Git-Repositories, S3-Buckets oder Konfig-Dateien landen. Tools wie truffleHog, gitleaks oder AWS Secrets Manager können das automatisiert prüfen.
  • CNAME-Delegation prüfen: Wenn dein ESP DKIM über CNAME-Delegation verwaltet, überwache die Auflösbarkeit dieser CNAMEs. Eingestellte Provider führen zu gebrochenen Delegationen ohne offensichtliche Fehlermeldung.

Empfehlungen nach Unternehmensgröße

Die optimale Rotationsfrequenz hängt von der Sensibilität der Mailstreams und der Größe der Organisation ab:

  • KMU mit einem primären ESP: Halbjährliche Rotation, manuell oder mit einfachem Skript. Priorität: Schlüssellänge auf 2048 Bit aktualisieren, wenn noch ältere Schlüssel im Einsatz sind.
  • Mittelständische Unternehmen mit mehreren Sendesystemen: Jährliche Rotation als Mindeststandard, begleitet von quartalsweisen DKIM-Health-Checks in den DMARC-Berichten. Automation über CI/CD spart erheblich Zeit.
  • Enterprise mit vielen Marken und Domains: Monatliche oder quartalsweise Rotation pro Versandplattform, vollständig automatisiert. Zentrale Key-Management-Infrastruktur (KMS) verhindert, dass private Schlüssel auf einzelnen Servern unkontrolliert gespeichert werden.

Du möchtest DKIM-Rotation in deine DMARC-Strategie integrieren? Der DMARCFlow DKIM-Prüfer zeigt dir in Sekunden, welche Selektoren aktiv sind und ob ihre Konfiguration korrekt ist. Für eine vollständige Rotation-Roadmap kontaktiere unser Team.