Was ist ein DKIM-Selektor?

Ein Subdomain-Präfix, unter dem der Public-Key veröffentlicht wird, z. B. selector1._domainkey.example.com. Sender können mehrere Selektoren parallel betreiben — sinnvoll für unterbrechungsfreie Key-Rotation.

Welche Schlüssellänge ist sicher?

RSA mit mindestens 2048 Bit ist heutiger Standard. 1024 Bit gilt seit Jahren als zu schwach. Ed25519 ist ein moderner kurzer Schlüsseltyp, wird aber noch nicht überall validiert.

Wie rotiere ich DKIM-Keys ohne Downtime?

Mit dem Dual-Selector-Pattern: neuen Selektor publizieren, Sender umstellen, alten Selektor 1–2 Wochen aktiv lassen, dann erst entfernen.

Was passiert bei automatischer Weiterleitung?

DKIM-Signaturen überleben einfache Weiterleitungen meistens, da sie nicht auf der Sender-IP basieren. Das ist ein Vorteil gegenüber SPF, das beim Forwarding üblicherweise scheitert.

Wofür ist das d=-Tag wichtig?

Das d=-Tag der DKIM-Signatur gibt die signierende Domain an. Für DMARC muss diese mit der From-Domain alignen — sonst gilt DKIM aus DMARC-Sicht als nicht bestanden, obwohl die Signatur kryptographisch korrekt ist.

Was ist DKIM? — Mailantis Wissen

Die Idee in einem Satz

Ihr Mailserver versieht jede ausgehende Nachricht mit einer kryptographischen Signatur. Der Empfänger holt sich Ihren öffentlichen Schlüssel aus dem DNS und prüft, ob die Signatur passt.

DKIM signiert beim Sender, verifiziert beim Empfänger

Was genau wird signiert?

DKIM bildet einen Hash über einen konfigurierbaren Teil der Nachricht — typischerweise der Body und wichtige Header wie From, To, Subject, Date. Der Hash wird mit Ihrem privaten Schlüssel signiert und als zusätzlicher Header DKIM-Signature an die Mail angehängt.

Beispiel-Record im DNS

; TXT-Record für selector1._domainkey.firma.at
"v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GN…"

Die wichtigsten Felder:

v=DKIM1 — DKIM-Version.
k=rsa — Verfahren (meist RSA, zunehmend auch Ed25519).
p=… — der öffentliche Schlüssel, oft 1024 oder 2048 Bit.

Selektoren — warum?

Ein Selektor ist ein Name vor ._domainkey. im DNS. Er erlaubt Ihnen, mehrere Schlüssel gleichzeitig zu betreiben — praktisch für Schlüsselrotation oder wenn mehrere Dienste (z. B. CRM und Mailserver) separat signieren.

DKIM überlebt Weiterleitungen. Während SPF bei Forwarding oft bricht, bleibt die DKIM-Signatur gültig — solange der Mailinhalt nicht verändert wird. Das ist ein zentrales Argument für DKIM.

DKIM alleine reicht nicht

DKIM beweist: Diese Nachricht wurde von jemandem mit Zugriff auf den Schlüssel der signierenden Domain ausgestellt und unterwegs nicht verändert. Es sagt aber nichts darüber, ob die sichtbare From-Adresse zur signierenden Domain passt. Erst DMARC prüft dieses Alignment.

Praxistipps

Schlüssellänge ≥ 2048 Bit — 1024 gilt als veraltet.
Schlüsselrotation alle 6–12 Monate — über separate Selektoren ohne Downtime.
Jeder sendende Dienst braucht einen eigenen Selektor — Newsletter-Tool, CRM, Mailserver.

Was ist DKIM?