Führen Sie die Schritte in diesem Artikel aus, wenn Sie DKIM (DomainKeys Identified Mail) einrichten, bei von Ihrer Domain gesendeten Nachrichten aber noch Folgendes auftritt:
- DKIM-Authentifizierung fehlgeschlagen
- Vom Empfangsserver abgelehnt
- An die Spamordner der Empfänger gesendet
Themen in diesem Hilfeartikel
Häufigste Lösungen
- DKIM-Eintrag erstellen
- DKIM-Eintrag Ihrer Domain hinzufügen
- Authentifizierungsfehler beheben
- Werte Ihres DKIM-Eintrags überprüfen
- Schlüsselfaktoren für erfolgreich umgesetzte Hybridmodelle
DKIM-Eintrag vorhanden
So prüfen Sie, ob Sie einen DKIM-Eintrag haben:
- Wenn Sie Google Workspace nicht verwenden, können Sie ein im Internet verfügbares Tool verwenden.
- Wenn Sie Google Workspace verwenden, folgen Sie der Anleitung in diesem Abschnitt.
-
Öffnen Sie in der Google Admin-Konsole das Dreistrich-Menü
Apps
Google Workspace
Gmail.
Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.
- Klicken Sie auf E-Mail authentifizieren.
- Wählen Sie im Menü Ausgewählte Domain die Domain aus, für die Sie DKIM einrichten möchten.
- Wenn der DNS-Hostname und die Werte des TXT-Eintrags leer sind, haben Sie keinen DKIM-Eintrag.
Wenn Sie einen neuen DKIM-Eintrag erstellen möchten, lesen Sie den Abschnitt DKIM-Schlüsselpaar generieren. Gehen Sie dann auf dieser Seite zu DKIM-Eintrag Ihrer Domain hinzufügen.
DKIM-Eintrag zu Ihrer Domain hinzufügen
Nachdem Sie einen DKIM-Eintrag erstellt haben, müssen Sie ihn (mit dem DKIM-Schlüssel) Ihrer Domain hinzufügen.
Empfohlene Schritte
- Melden Sie sich bei Ihrem Domainhost an.
- Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren.
- Fügen Sie den TXT-Eintrag mit Ihrem DKIM-Hostname und dem empfohlenen Wert hinzu oder aktualisieren Sie ihn.
Weitere Informationen finden Sie unter DKIM-Schlüssel Ihrer Domain hinzufügen.
Authentifizierungsfehler beheben
Wenn Sie nach dem Erstellen eines DKIM-Eintrags und dem Hinzufügen zu Ihrer Domain den Fehler „Nicht authentifiziert“ erhalten, müssen Sie die Einrichtung abschließen.
Empfohlener Schritt:Rufen Sie die Seite E‑Mails authentifizieren auf und klicken Sie auf Authentifizierung starten. Weitere Informationen finden Sie unter DKIM aktivieren und prüfen.
DKIM-Eintragswerte prüfen
Prüfen Sie, ob Ihr DKIM-Eintrag den richtigen Hostnamen bzw. Namen des TXT-Eintrags und den richtigen Wert des TXT-Eintrags bzw. DKIM-Schlüssel enthält. Weitere Informationen finden Sie unter DKIM-Schlüssel Ihrer Domain hinzufügen.
Schlüsselfaktoren für erfolgreich umgesetzte Hybridmodelle
Nachdem Sie einen DKIM-Eintrag erstellt und Ihrer Domain hinzugefügt haben, alle Authentifizierungsfehler behoben und überprüft haben, ob Ihr DKIM-Eintrag die richtigen Werte enthält, sollte der DKIM-Status „E-Mail wird mit DKIM authentifiziert“ lauten. Die Einrichtung ist abgeschlossen.
Erweiterte Fehlerbehebung
- Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen
- DKIM-Schlüssel bei Ihrem Domainanbieter prüfen
- Nachrichtenweiterleitung prüfen
- Zeichenbeschränkungen für TXT-Einträge prüfen
- Anzahl der DKIM-Signaturen prüfen
- E-Mail-Versandverfahren überprüfen
- Administratoren kontaktieren bei Servern, die DKIM-signierte Nachrichten ablehnen
Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen
Sie können in Gmail sehen, ob eine E‑Mail die DKIM‑Authentifizierung bestanden hat.
Empfohlene Schritte:
- Öffnen Sie Gmail in einem Browser.
- Öffnen Sie die E‑Mail, deren Header Sie überprüfen möchten.
- Klicken Sie neben „Antworten“
auf das Dreipunkt-Menü
Original anzeigen.
- In einem neuen Fenster wird der vollständige Header angezeigt.
- Klicken Sie auf In Zwischenablage kopieren.
Zusätzliche Schritte:
- Wenn die Nachricht die DKIM-Authentifizierung nicht besteht, versuchen Sie, sie an einen anderen Empfänger zu senden, z. B. an eine private Gmail-Adresse. So können Sie Probleme mit dem Empfängerserver ausschließen.
- Geben Sie die Nachrichtenheader in der Google Admin Toolbox in das Tool Nachrichtenheader ein und prüfen Sie den DKIM-Status.
- Weitere Informationen finden Sie unter Vollständigen E-Mail-Header lesen und Prüfen, ob eine Gmail-Nachricht authentifiziert ist.
DKIM-Schlüssel bei Ihrem Domainanbieter prüfen
Die meisten DKIM-TXT-Einträge können bis zu 255 Zeichen enthalten. Es ist nicht möglich, einen 2.048-Bit-Schlüssel als einzelnen Textstring mit maximal 255 Zeichen einzugeben. Ihr DKIM-Schlüssel wird dann möglicherweise abgeschnitten oder die DKIM-Einträge werden in einer falschen Reihenfolge gesendet.
Empfohlene Schritte:
- Wenn Sie den gesamten Wert des DKIM-TXT-Eintrags nicht als einzelnen Textstring eingeben können, folgen Sie der Anleitung unter Längenbeschränkungen für TXT-Einträge prüfen.
- Vergleichen Sie den Wert des DKIM-TXT-Eintrags bei Ihrem Anbieter mit dem Wert in der Admin-Konsole und prüfen Sie, ob Ihr DKIM-Schlüssel korrekt ist:
- Rufen Sie den Wert des DKIM-TXT-Eintrags aus der Admin-Konsole ab, z. B. google._domainkey.
- Rufen Sie in der Google Admin Toolbox das Tool Dig auf.
- Klicken Sie auf TXT.
- Geben Sie den Wert für den DKIM-TXT-Eintrag aus Schritt 1 ein und fügen Sie dann einen Punkt (.) sowie Ihren Domainnamen hinzu.
- Vergleichen Sie das Ergebnis mit dem Wert in der Admin-Konsole. Wenn alle Schlüsselzeichen in der richtigen Reihenfolge enthalten sind, kann der DKIM-Schlüssel aus zwei Teilen bestehen.
Nachrichtenweiterleitung prüfen
Auch wenn DKIM für Ihre Domain korrekt eingerichtet wurde, bestehen weitergeleitete Nachrichten möglicherweise nicht die DKIM-Authentifizierung. Das kann auf die Art und Weise zurückzuführen sein, wie ein Mailserver Nachrichten weiterleitet.
Empfohlener Schritt für E-Mail-Absender:
- Sorgen Sie dafür, dass die Nachricht bei der Übertragung nicht geändert wird. Suchen Sie den Header Authentication-results:. Wenn neben dem Eintrag dkim der Text body hash did not verify (body Hash nicht bestätigt) lautet,wurde die Nachricht während der Übertragung geändert.
- Wenn Sie ein Ausgangsgateway verwenden, achten Sie darauf, dass ausgehende Nachrichten nicht geändert werden, bevor sie gesendet werden. Bei einigen Ausgangsgateways wird beispielsweise am Ende jeder ausgehenden Nachricht eine Fußzeile hinzugefügt. Dies kann dazu führen, dass die DKIM-Authentifizierung fehlschlägt, da der Nachrichteninhalt nach dem Senden der Nachricht geändert wird.
Empfohlene Schritte für E‑Mail-Empfänger:
- Prüfen Sie mithilfe der E‑Mail-Logsuche, ob die Nachricht weitergeleitet wurde. Wenn die Person, die die Nachricht als Spam gemeldet hat, nicht der ursprüngliche Empfänger ist, wurde sie vermutlich weitergeleitet.
- Wenden Sie sich dann an den Dienst, der die Nachricht weitergeleitet hat, um zu ermitteln, ob dort die Methode für die Weiterleitung geändert werden kann.
Weitere Informationen finden Sie unter Best Practices für die Weiterleitung von E‑Mails an Gmail.
Zeichenbeschränkungen für TXT-Einträge prüfen
Wenn Sie bei der Eingabe eines DKIM-Werts eine Fehlermeldung erhalten, beschränkt Ihr Domainanbieter möglicherweise die Anzahl der im DNS-TXT-Eintrag zulässigen Zeichen.
Empfohlene Schritte:
Wenn Sie einen 2.048-Bit-DKIM-Schlüssel verwenden, können Sie ihn nicht als einzelnen Textstring in einen DNS-Eintrag mit maximal 255 Zeichen eingeben. Führen Sie in diesem Fall die folgenden Schritte aus:
- Teilen Sie die Schlüsselzeichen in mehrere Textstrings auf.
- Setzen Sie jeden String in Anführungszeichen.
- Geben Sie die Strings nacheinander bei Ihrem Domainanbieter in das Feld für den Wert des TXT-Eintrags ein.
In diesem Beispiel wurde ein langer DKIM-Schlüssel auf zwei Textstrings aufgeteilt und diese jeweils in Anführungszeichen gesetzt:
"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"
"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"
Sie haben außerdem folgende Möglichkeiten:
- Wenn Sie ein DKIM-Schlüsselpaar generieren, wählen Sie 1.024 als Schlüssellänge aus.
- Erkundigen Sie sich bei Ihrem Domainhost, ob bei ihm TXT-Einträge mit mehr als 255 Zeichen möglich sind. Ist dies der Fall, können Sie Ihren DNS-Eintrag mit einem 2.048-Bit-DKIM-Schlüssel aktualisieren. Dazu folgen Sie der Anleitung unter DKIM-Schlüsselpaar generieren.
Wir empfehlen, nicht mehr als 49 TXT-Einträge bei Ihrem Domainanbieter hinzuzufügen, da dies von den meisten Domainanbietern unterstützt wird.
Anzahl der DKIM-Signaturen prüfen
Nachrichten können mit mehreren DKIM-Signaturen signiert werden. Gmail prüft jedoch nur die ersten fünf Signaturen, die im Nachrichtenheader „Authentication-Results:“ aufgeführt sind. Gmail prüft die Signaturen in der Reihenfolge, in der sie im Header aufgeführt sind. Wenn die authentifizierende Signatur nicht zu den ersten fünf Signaturen im Header gehört, besteht die Nachricht die DKIM-Authentifizierung nicht. Das kann auch dazu führen, dass die Nachricht die DMARC-Prüfung nicht besteht.
Wenn Sie die Signaturen sehen möchten, die Gmail für eine Nachricht prüft, sehen Sie sich den Header „Authentication-Results:“ in der Nachricht an. Eine detaillierte Anleitung dazu, wie Sie Gmail-Nachrichtenheader prüfen, finden Sie im Hilfeartikel Vollständige E-Mail-Header lesen.
E-Mail-Versandverfahren überprüfen
Wenn DKIM korrekt eingerichtet ist, Nachrichten aber an den Spamordner gesendet werden, hat dies möglicherweise eine andere Ursache als DKIM.
Empfohlener Schritt:
- Beachten Sie die empfohlenen Richtlinien zum Senden von E-Mails an Gmail-Nutzer, insbesondere wenn Sie sehr viele E-Mails senden.
Administratoren kontaktieren bei Servern, die DKIM-signierte Nachrichten ablehnen
Auch wenn DKIM korrekt eingerichtet wurde, ist es möglich, dass Nachrichten von Ihrer Domain weiterhin von Empfängerservern abgelehnt werden oder im Spamordner der Empfänger landen.
Empfohlene Schritte:
- Wenden Sie sich an den Administrator des ablehnenden E‑Mail-Servers.
- Richten Sie DMARC ein, damit Berichte zu den Ergebnissen der DKIM-Authentifizierung erstellt werden. DMARC einrichten
- Wenn Sie DKIM mit einem anderen E-Mail-System als Google Workspace einrichten, verwenden Sie in ausgehenden Nachrichten nicht das DKIM-Längen-Tag (l=). Nachrichten, die dieses Tag verwenden, sind anfällig für Missbrauch. Weitere Informationen finden Sie in Abschnitt 8.2 von RFC 6376.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.