Folgen Sie der Anleitung zur Fehlerbehebung in diesem Artikel, wenn aus Ihrer Domain gesendete Nachrichten folgende Kriterien erfüllen:
- DKIM-Authentifizierung fehlgeschlagen
- Vom Empfangsserver abgelehnt
- An die Spamordner der Empfänger gesendet
Viele DKIM-Probleme können anhand der Schritte in diesem Artikel identifiziert und behoben werden.
Themen in diesem Hilfeartikel
- Einrichtung von DKIM überprüfen
- Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen
- DKIM-Schlüssel beim Domainanbieter prüfen
- Nachrichtenweiterleitung prüfen
- Zeichenbeschränkungen für TXT-Einträge bei Domainanbietern prüfen
- Anzahl der DKIM-Signaturen prüfen
- E-Mail-Versandverfahren überprüfen
- Administratoren kontaktieren bei Servern, die DKIM-signierte Nachrichten ablehnen
Einrichtung von DKIM überprüfen
Prüfen Sie anhand der Anleitung unter Set up DKIM, ob die DKIM-Domain korrekt eingerichtet ist.
Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen
Sie können in den Nachrichtenheadern von E-Mails nachsehen, ob Nachrichten, die von Ihrer Domain gesendet wurden, die DKIM-Authentifizierung bestehen.
Empfohlene Schritte :
- Prüfen Sie die Header in einer von Ihrer Domain gesendeten Nachricht, um zu bestätigen, dass sie DKIM bestanden hat.
- Wenn die Nachricht die DKIM-Authentifizierung nicht besteht, versuchen Sie, sie an einen anderen Empfänger zu senden, z. B. an eine private Gmail-Adresse. So können Sie Probleme mit dem Empfangsserver ausschließen.
- Klicken Sie in Gmail bei einer Nachricht auf Original anzeigen und prüfen Sie dann den DKIM-Status in der Originalnachricht. Weitere Informationen finden Sie im Hilfeartikel Vollständige E-Mail-Header lesen.
- Geben Sie die Nachrichtenheader in der Google Admin Toolbox in das Tool Nachrichtenheader ein und prüfen Sie den DKIM-Status.
Weitere Informationen finden Sie im Hilfeartikel Prüfen, ob Ihre Gmail-Nachricht authentifiziert ist.
DKIM-Schlüssel beim Domainanbieter prüfen
Die meisten DKIM-TXT-Einträge können bis zu 255 Zeichen enthalten. Es ist aber nicht möglich, einen 2.048-Bit-Schlüssel als einzelnen Textstring mit maximal 255 Zeichen einzugeben. Ihr DKIM-Schlüssel wird möglicherweise abgeschnitten oder Ihre DKIM-Einträge werden in der falschen Reihenfolge gesendet.
Empfohlene Schritte :
- Wenn Sie den gesamten Wert des DKIM-TXT-Eintrags nicht als einzelnen Textstring eingeben können, führen Sie die Schritte unter Zeichenbeschränkungen für TXT-Einträge bei Domainanbietern prüfen aus.
- Vergleichen Sie den Wert des DKIM-TXT-Eintrags bei Ihrem Anbieter mit dem Wert in der Admin-Konsole und prüfen Sie, ob Ihr DKIM-Schlüssel korrekt ist:
- Rufen Sie den Wert des DKIM-TXT-Eintrags aus der Admin-Konsole ab, z. B. google._domainkey.
- Rufen Sie das Google Admin Toolbox Dig-Tool auf.
- Klicken Sie auf TXT.
- Geben Sie den Wert für den DKIM-TXT-Eintrag aus Schritt 1 ein und fügen Sie dann einen Punkt (.) sowie Ihren Domainnamen hinzu.
- Vergleichen Sie das Ergebnis mit dem Wert in der Admin-Konsole. Wenn alle Schlüsselzeichen in der richtigen Reihenfolge enthalten sind, kann der DKIM-Schlüssel aus zwei Teilen bestehen.
Nachrichtenweiterleitung prüfen
Auch wenn DKIM für Ihre Domain korrekt eingerichtet wurde, bestehen weitergeleitete Nachrichten möglicherweise nicht die DKIM-Authentifizierung. Das kann daran liegen, wie ein E-Mail-Server Nachrichten weiterleitet.
Empfohlener Schritt für E-Mail-Absender :
- Sorgen Sie dafür, dass die Nachricht bei der Übertragung nicht geändert wird. Suchen Sie nach dem Header Authentication-results:. Wenn neben dem Eintrag dkim der Text body hash did not verify (body Hash nicht bestätigt) lautet,wurde die Nachricht während der Übertragung geändert.
- Wenn Sie ein Ausgangsgateway verwenden, sorgen Sie dafür, dass ausgehende Nachrichten nicht geändert werden, bevor sie gesendet werden. Bei einigen Ausgangsgateways wird beispielsweise am Ende jeder ausgehenden Nachricht eine Fußzeile hinzugefügt. Das kann dazu führen, dass die DKIM-Authentifizierung fehlschlägt, weil die Inhalte der Nachricht nach dem Senden geändert werden.
Empfohlene Schritte für E-Mail-Empfänger :
- Prüfen Sie mithilfe der E-Mail-Protokollsuche, ob die Nachricht weitergeleitet wurde. Wenn die Person, die die Nachricht als Spam gemeldet hat, nicht der ursprüngliche Empfänger ist, wurde die Nachricht wahrscheinlich weitergeleitet.
- Wenden Sie sich an den Dienst, der die Nachricht weitergeleitet hat, und fragen Sie, ob die Weiterleitungsmethode geändert werden kann.
Weitere Informationen finden Sie im Hilfeartikel Best Practices für die Weiterleitung von E-Mails an Gmail.
Zeichenbeschränkungen für TXT-Einträge bei Domainanbietern prüfen
Wenn Sie bei der Eingabe des DKIM-Werts eine Fehlermeldung erhalten, beschränkt Ihr Domainanbieter möglicherweise die Anzahl der im DNS-TXT-Eintrag zulässigen Zeichen.
Empfohlene Schritte :
Wenn Sie einen 2.048-Bit-DKIM-Schlüssel verwenden, können Sie ihn nicht als einzelnen Textstring in einen DNS-Eintrag mit maximal 255 Zeichen eingeben. Führen Sie in diesem Fall die folgenden Schritte aus:
- Teilen Sie die Schlüsselzeichen in mehrere Textstrings auf.
- Setzen Sie jeden String in Anführungszeichen.
- Geben Sie die Strings nacheinander bei Ihrem Domainanbieter in das Feld für den Wert des TXT-Eintrags ein.
In diesem Beispiel wurde ein langer DKIM-Schlüssel auf zwei Textstrings aufgeteilt und diese jeweils in Anführungszeichen gesetzt:
Sie haben außerdem folgende Möglichkeiten:
- Wenn Sie ein DKIM-Schlüsselpaar generieren, wählen Sie eine Schlüssellänge von 1.024 Bit aus.
- Erkundigen Sie sich bei Ihrem Domainhost, ob bei ihm TXT-Einträge mit mehr als 255 Zeichen möglich sind. Ist dies der Fall, können Sie Ihren DNS-Eintrag mit einem 2.048-Bit-DKIM-Schlüssel aktualisieren. Folgen Sie dazu der Anleitung unter DKIM-Schlüssel paar generieren.
Wir empfehlen, nicht mehr als 49 TXT-Einträge bei Ihrem Domainanbieter hinzuzufügen, da dies von den meisten Domainanbietern unterstützt wird.
Anzahl der DKIM-Signaturen prüfen
Nachrichten können mit mehr als einer DKIM-Signatur signiert werden. Gmail prüft jedoch nur die ersten fünf Signaturen, die im Nachrichtenheader „Authentication-Results:“ aufgeführt sind. Gmail prüft die Signaturen in der Reihenfolge, in der sie im Header angezeigt werden. Wenn die authentifizierende Signatur nicht zu den ersten fünf Signaturen gehört, die im Header aufgeführt sind, besteht die Nachricht die DKIM-Authentifizierung nicht. Das kann auch dazu führen, dass die Nachricht die DMARC-Authentifizierung nicht besteht.
Wenn Sie prüfen möchten, welche Signaturen Gmail für eine Nachricht prüft, sehen Sie sich den Header „Authentication-Results:“ in der Nachricht an. Eine detaillierte Anleitung zum Prüfen von Gmail Nachrichtenheadern finden Sie im Hilfeartikel Vollständige E-Mail-Header lesen.
E-Mail-Versandverfahren überprüfen
Wenn DKIM korrekt eingerichtet ist, Nachrichten aber trotzdem im Spamordner landen, liegt das möglicherweise nicht an DKIM.
Empfohlener Schritt :
- Achten Sie darauf, dass Sie die empfohlenen Richtlinien für das Senden von E-Mails an Gmail-Nutzer einhalten, insbesondere wenn Sie große Mengen an E-Mails senden.
Administratoren kontaktieren bei Servern, die DKIM-signierte Nachrichten ablehnen
Auch wenn DKIM korrekt eingerichtet wurde, ist es möglich, dass Nachrichten von Ihrer Domain weiterhin von Empfängerservern abgelehnt werden oder im Spamordner der Empfänger landen.
Empfohlene Schritte :
- Wenden Sie sich in diesem Fall an den zuständigen Administrator auf der Empfängerseite.
- Richten Sie DMARC ein, damit Berichte zu den Ergebnissen der DKIM-Authentifizierung erstellt werden. Weitere Informationen finden Sie im Hilfeartikel DMARC einrichten.
- Wenn Sie DKIM mit einem anderen E-Mail-System als Google Workspace einrichten, verwenden Sie in ausgehenden Nachrichten nicht das DKIM-Längentag (l=). Nachrichten, die dieses Tag verwenden, sind anfällig für Missbrauch. Weitere Informationen finden Sie in Abschnitt 8.2 von RFC 6376.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.