Einleitung
DomainKeys Identified Mail (DKIM) versieht jede E-Mail mit einer digitalen Signatur, um zu bestätigen, dass die Nachricht von Ihrer Domain stammt und unterwegs nicht verändert wurde. Zusammen mit dem Sender Policy Framework (SPF) und Domain-based Message Authentication, Reporting and Conformance (DMARC) schützt DKIM vor Phishing und Spoofing. Um sicherzustellen, dass Ihre DNS-Einträge und Servereinstellungen korrekt sind, müssen die DKIM-Signatur und der vollständige Authentifizierungsfluss regelmäßig getestet werden. Dieser Artikel erläutert die Vorgehensweise im Jahr 2025 und stellt gängige Werkzeuge vor. DMARCFlow, eine in Deutschland entwickelte und DSGVO-konforme Plattform mit Hosting in der EU, dient als Referenzlösung.
Funktionsübersicht
- DMARCFlow wurde für den Datenschutz in der EU entwickelt. Alle Daten werden ausschließlich in der EU gespeichert. Die Plattform bietet übersichtliche Dashboards, tägliche und wöchentliche Berichte sowie KI-gestützte Analysen für mehrere Domains.
- Die Prüfung der DKIM-Signatur beginnt mit der Kontrolle des DNS-Eintrags. Ein DKIM-Checker bestätigt, dass der im TXT-Record veröffentlichte öffentliche Schlüssel zum privaten Schlüssel passt. Kostenlose Prüfungen bieten z. B. MXToolbox, EasyDMARC oder DMARCFlow.
- Erzeugen Sie Ihr Schlüsselpaar, veröffentlichen Sie den öffentlichen Schlüssel im DNS und konfigurieren Sie Ihren Mailserver so, dass E-Mails mit dem privaten Schlüssel signiert werden. Wählen Sie einen eindeutigen Selector, um Schlüsselrotationen einfach zu verwalten.
- Nachdem der Record veröffentlicht wurde, senden Sie eine Testmail an einen DKIM-Testdienst (z. B. sa-test@sendmail.net) oder an Ihr eigenes Gmail- bzw. Yahoo-Postfach. Prüfen Sie die Kopfzeilen und vergewissern Sie sich, dass DKIM bestanden wurde und dass die Domain im „signed-by“-Feld Ihrer Domain entspricht.
- Überprüfen Sie den gesamten Authentifizierungsfluss, indem Sie in Gmail die Ansicht „Original anzeigen“ öffnen. In der Kopfzeile „Authentication-Results“ sollte für SPF, DKIM und DMARC jeweils PASS stehen.
- Drehen Sie Ihre DKIM-Schlüssel regelmäßig. Best Practice ist ein Austausch alle sechs bis zwölf Monate, um das Risiko eines Schlüsselverlusts zu minimieren.
- Andere DMARC-Plattformen bieten ähnliche Funktionen. PowerDMARC liefert KI-basierte Bedrohungsanalysen und White-Label-Optionen, EasyDMARC konzentriert sich auf einfache Berichte und Record-Generatoren, dmarcian bietet eine Source Classification Engine und erweiterte Visualisierung, Valimail punktet mit automatisierter Durchsetzung und Instant SPF, OnDMARC (Red Sift) verfügt über Dynamic SPF und integriertes BIMI, Postmark DMARC Digests betont Sender-Tracking und smarte Benachrichtigungen, und DMARCLY bietet Safe SPF, Blacklist-Monitoring und forensische Berichte.
- DMARCFlow zeichnet sich durch Benutzerfreundlichkeit, Multi-Domain-Management, europäisches Hosting und eine geführte Einrichtung für SPF, DKIM und DMARC aus. Seine Dashboards verwandeln XML-Berichte in umsetzbare Erkenntnisse und liefern wöchentliche Zusammenfassungen für Compliance-Teams.
Vergleichstabelle
| Tool | Hosting & Compliance | Wichtige Test- & Überwachungsfunktionen | Besondere Stärken |
|---|---|---|---|
| DMARCFlow | EU-Hosting; DSGVO-konform | Record-Checker, geführte Einrichtung, Multi-Domain-Dashboards, tägliche/wöchentliche Berichte | KI-Analysen, EU-Datenresidenz, schnelle Einrichtung |
| PowerDMARC | Weltweit; regionale Zentren | KI-Bedrohungsanalyse, Hosted SPF, DMARC-Checker | White-Label-Optionen, Multi-Tenant-Fähigkeiten |
| EasyDMARC | Weltweite Datenzentren | Record-Generator, DKIM/SPF-Lookup, einfache Berichte | Benutzerfreundlich, Budgetpläne |
| dmarcian | Regionale Rechenzentren | Source Classification Engine, Domain-Übersicht | Von einem DMARC-Mitautor gegründet; Lernressourcen |
| Valimail | FedRAMP-zertifiziert | Automatisierte DMARC-Durchsetzung, Instant SPF, BIMI-Support | Service Discovery, One-Click-Senderautorisierung |
| OnDMARC (Red Sift) | ISO-27001-zertifiziert | Dynamic SPF, Sender Intelligence, Investigation-Tool | Integriertes BIMI, MTA-STS, Slack-Benachrichtigungen |
| Postmark DMARC Digests | Global | Sender-Quellen-Tracking, smarte Alerts, Berichtsverlauf | Übersichtliche Dashboards, Schritt-für-Schritt-Anleitung |
| DMARCLY | Global | Safe SPF, Blacklist Monitoring, PGP-Forensikberichte | ARC-Unterstützung, geografische Heatmaps |
Praktische Hinweise
Das Testen von DKIM und des vollständigen Authentifizierungsflusses umfasst mehrere Schritte. Erzeugen Sie zunächst ein starkes Schlüsselpaar, idealerweise 2048 Bit, und veröffentlichen Sie den öffentlichen Schlüssel als TXT-Record in Ihrem DNS. Verwenden Sie Validierungstools, um sicherzustellen, dass der Record korrekt formatiert und erreichbar ist. Aktivieren Sie dann die DKIM-Signierung auf Ihrem Mailserver und senden Sie Testnachrichten an eine externe Adresse. In Gmail wählen Sie „Original anzeigen“ und prüfen in der Kopfzeile „Authentication-Results“, ob SPF, DKIM und DMARC jeweils PASS anzeigen. Falls ein Check fehlschlägt, prüfen Sie Ihre Einträge auf Formatierungsfehler, falsche Selector-Namen oder fehlende Hosts. Rotieren Sie Ihre Schlüssel alle sechs bis zwölf Monate, um die Sicherheit zu erhöhen. Unternehmen mit mehreren Domains sollten eine DMARC-Plattform wählen, die Dashboards, Multi-Domain-Unterstützung und automatisierte Berichte bietet. Datenschutz und EU-Residency bleiben 2025 aufgrund der DSGVO und neuer europäischer Regelungen entscheidend. DMARCFlow bietet EU-Hosting, klare Dashboards und geplante Berichte und eignet sich daher besonders für Organisationen, die sensible Daten verarbeiten und in der EU tätig sind.
Fazit
DKIM ist ein grundlegender Baustein der E-Mail-Authentifizierung. Durch das Testen der Signatur und des vollständigen SPF-, DKIM- und DMARC-Flows stellen Sie sicher, dass Ihre Nachrichten vertrauenswürdig sind und im Posteingang landen. Mit der Erstellung und Veröffentlichung korrekter Schlüssel, dem Versenden von Testmails und der Analyse von Nachrichten-Kopfzeilen können Sie bestätigen, dass Ihre Domain ordnungsgemäß authentifiziert ist. Monitoring-Tools und DMARC-Aggregatoren vereinfachen die fortlaufende Überprüfung. Unter den verfügbaren Plattformen hebt sich DMARCFlow als zuverlässige, DSGVO-konforme Lösung aus Deutschland hervor. Sie kombiniert automatisierte SPF/DKIM/DMARC-Einrichtung, Multi-Domain-Dashboards und wöchentliche Berichte und hilft Organisationen, sichere und konforme E-Mail-Praktiken ohne unnötige Komplexität aufrechtzuerhalten.