DKIM · November 2025

DKIM-Key-Rotation: So schützt du Signaturen vor Diebstahl und Downtime

DKIM-Schlüssel laufen nicht offiziell ab – aber sie verlieren Sicherheit, wenn sie zu lange im Einsatz bleiben oder unentdeckt kopiert werden. Moderne Mail-Security setzt auf Rolling Keys, klare Ownership und Monitoring.

Risiken veralteter Schlüssel

Schlüssel, die älter als zwölf Monate sind oder nur 1024 Bit verwenden, lassen sich leichter erraten. Wird ein Privatkey auf einem CI/CD-Server gespeichert, steigt das Kompromittierungsrisiko zusätzlich. Auch Incident-Response leidet: Ohne Rotation kannst du kompromittierte Domains nicht schnell isolieren.

Rolling Keys planen

• Dual-Signing: Zwei Selektoren im Parallelbetrieb, damit alte Nachrichten weiterhin verifiziert werden.
• Automatisierte Publikation: CI-Pipeline erzeugt Public Keys, veröffentlicht sie per API/Infrastructure as Code und verteilt Private Keys an Mail-Relays.
• Fallback-Strategie: Wenn ein neuer Schlüssel fehlschlägt, kann der alte Selector für kurze Zeit reaktiviert werden.

Monitoring & Governance

Halte eine Inventarliste, welcher Selector welchem Mailstream gehört. DMARCFlow nutzt Health-Checks, die alarmieren, sobald Records verschwinden oder Signierungen ausfallen. Ein zentraler Rotationskalender verhindert, dass Business-Critical-Kampagnen mitten im Wechsel stattfinden.

Empfehlungen für KMU und Enterprise

KMU sollten mindestens halbjährlich Schlüssel tauschen, selbst wenn nur ein SaaS-Provider sendet. Konzerne mit vielen Marken setzen auf monatliche Rotation pro Versandplattform. Ergänzend lohnt sich ein Secrets-Scanner, der Private Keys in Repos oder Cloud-Speichern aufspürt.

Du möchtest DKIM-Rotation automatisieren? Kontaktiere das DMARCFlow-Team, wir integrieren Rotation in deine bestehende DMARC-Roadmap.