DKIM-Probleme beheben

Führen Sie die Schritte in diesem Artikel aus, wenn Sie DKIM (DomainKeys Identified Mail) eingerichtet haben, bei von Ihrer Domain gesendeten Nachrichten aber noch Folgendes auftritt:

  • DKIM-Authentifizierung fehlgeschlagen
  • Vom Empfangsserver abgelehnt
  • An die Spamordner der Empfänger gesendet

Themen in diesem Hilfeartikel

Häufigste Lösungen

Prüfen, ob ein DKIM-Eintrag vorhanden ist

So prüfen Sie, ob ein DKIM-Eintrag vorhanden ist:

  • Wenn Sie nicht Google Workspace verwenden, können Sie ein im Internet verfügbares Tool verwenden.
  • Wenn Sie Google Workspace verwenden, folgen Sie der Anleitung in diesem Abschnitt.

  1. Öffnen Sie in der Admin-Konsole das Dreistrich-Menü und dann Apps und dann Google Workspace und dann Gmail.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Klicken Sie auf E‑Mail authentifizieren.
  3. Wählen Sie im Menü Ausgewählte Domain die Domain aus, für die Sie DKIM einrichten möchten.
  4. Wenn die Werte für den DNS-Hostnamen und den TXT-Eintrag leer sind, ist kein DKIM-Eintrag vorhanden.

Informationen zum Erstellen eines neuen DKIM-Eintrags finden Sie unter DKIM-Schlüsselpaar generieren. Fahren Sie dann mit DKIM-Eintrag Ihrer Domain hinzufügen (auf dieser Seite) fort.

DKIM-Eintrag Ihrer Domain hinzufügen

Nachdem Sie einen DKIM-Eintrag erstellt haben, müssen Sie ihn (mit dem DKIM-Schlüssel) Ihrer Domain hinzufügen.

  1. Melden Sie sich beim Domainhost an.
  2. Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren.
  3. Fügen Sie den TXT-Eintrag mit Ihrem DKIM-Hostnamen und dem empfohlenen Wert hinzu oder aktualisieren Sie ihn.

Weitere Informationen finden Sie unter DKIM-Schlüssel Ihrer Domain hinzufügen.

Authentifizierungsfehler beheben

Wenn nach dem Erstellen eines DKIM-Eintrags und dem Hinzufügen zu Ihrer Domain der Fehler „Nicht authentifiziert“ angezeigt wird, müssen Sie die Einrichtung abschließen.

Empfohlener Schritt: Rufen Sie die Seite „E‑Mails authentifizieren“ auf und klicken Sie auf „Authentifizierung starten“. Weitere Informationen finden Sie unter DKIM aktivieren und bestätigen.

Werte des DKIM-Eintrags prüfen

Achten Sie darauf, dass Ihr DKIM-Eintrag den richtigen Hostnamen/TXT-Eintragsnamen und TXT-Eintragswert/DKIM-Schlüssel enthält. Weitere Informationen finden Sie unter DKIM-Schlüssel Ihrer Domain hinzufügen.

Schlüsselfaktoren für erfolgreich umgesetzte Hybridmodelle

Nachdem Sie einen DKIM-Eintrag erstellt, ihn Ihrer Domain hinzugefügt, alle Authentifizierungsfehler behoben und geprüft haben, ob der DKIM-Eintrag die richtigen Werte enthält, sollte der DKIM-Status „E‑Mail mit DKIM authentifizieren“ lauten. Die Einrichtung ist abgeschlossen.

Erweiterte Fehlerbehebung

Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen

In Gmail können Sie sehen, ob eine E‑Mail die DKIM-Authentifizierung bestanden hat.

Empfohlene Schritte :

  1. Öffnen Sie Gmail in einem Browser.
  2. Öffnen Sie die E‑Mail, deren Header Sie prüfen möchten.
  3. Klicken Sie neben „Antworten“ auf das Dreipunkt-Menü und dann Original anzeigen.
    • In einem neuen Fenster wird der vollständige Header angezeigt.
  4. Klicken Sie auf In Zwischenablage kopieren.

Zusätzliche Schritte :

DKIM-Schlüssel bei Ihrem Domainanbieter prüfen

Die meisten DKIM-TXT-Einträge können bis zu 255 Zeichen enthalten. Es ist aber nicht möglich, einen 2.048-Bit-Schlüssel als einzelnen Textstring mit maximal 255 Zeichen in einem TXT-Eintrag einzugeben. Ihr DKIM-Schlüssel wird möglicherweise abgeschnitten oder Ihre DKIM-Einträge werden in der falschen Reihenfolge gesendet.

Empfohlene Schritte :

  • Wenn Sie den gesamten Wert des DKIM-TXT-Eintrags nicht als einzelnen Textstring eingeben können, führen Sie die Schritte unter Zeichenbeschränkungen für TXT-Einträge prüfen aus.
  • Vergleichen Sie den Wert des DKIM-TXT-Eintrags bei Ihrem Anbieter mit dem Wert in der Admin-Konsole und prüfen Sie, ob Ihr DKIM-Schlüssel korrekt ist:
    1. Rufen Sie den Wert des DKIM-TXT-Eintrags aus der Admin-Konsole ab, z. B. google._domainkey.
    2. Rufen Sie das Dig-Tool der Google Admin Toolbox auf.
    3. Klicken Sie auf TXT.
    4. Geben Sie den Wert des DKIM-TXT-Eintrags aus Schritt 1 ein und fügen Sie dann einen Punkt (.) und Ihren Domainnamen hinzu.
    5. Vergleichen Sie das Ergebnis mit dem Wert in der Admin-Konsole. Wenn alle Schlüsselzeichen enthalten und in der richtigen Reihenfolge sind, kann der DKIM-Schlüssel in zwei Teile aufgeteilt sein.

Nachrichtenweiterleitung prüfen

Auch wenn DKIM für Ihre Domain korrekt eingerichtet wurde, bestehen weitergeleitete Nachrichten möglicherweise nicht die DKIM-Authentifizierung. Das kann daran liegen, wie ein E‑Mail-Server Nachrichten weiterleitet.

Empfohlener Schritt für E‑Mail-Absender :

  • Sorgen Sie dafür, dass die Nachricht bei der Übertragung nicht geändert wird. Suchen Sie den Header Authentication-results:. Wenn neben dem Eintrag dkim der Text body hash did not verify (body Hash nicht bestätigt) lautet,wurde die Nachricht während der Übertragung geändert.
  • Wenn Sie ein Ausgangsgateway verwenden, achten Sie darauf, dass es ausgehende Nachrichten nicht ändert, bevor sie gesendet werden. Bei einigen Ausgangsgateways wird beispielsweise am Ende jeder ausgehenden Nachricht eine Fußzeile hinzugefügt. Das kann dazu führen, dass die DKIM-Authentifizierung fehlschlägt, weil der Inhalt der Nachricht nach dem Senden geändert wird.

Empfohlene Schritte für E‑Mail-Empfänger :

  • Prüfen Sie mithilfe der E‑Mail-Logsuche , ob die Nachricht weitergeleitet wurde. Wenn die Person, die die Nachricht als Spam gemeldet hat, nicht der ursprüngliche Empfänger ist, wurde die Nachricht wahrscheinlich weitergeleitet.
  • Wenden Sie sich an den Dienst, der die Nachricht weitergeleitet hat, und fragen Sie, ob die Weiterleitungsmethode geändert werden kann.

Weitere Informationen finden Sie unter Best Practices für die Weiterleitung von E‑Mails an Gmail.

Zeichenbeschränkungen für TXT-Einträge prüfen

Wenn Sie bei der Eingabe eines DKIM-Werts eine Fehlermeldung erhalten, beschränkt Ihr Domainanbieter möglicherweise die Anzahl der im DNS-TXT-Eintrag zulässigen Zeichen.

Empfohlene Schritte :

Wenn Sie einen 2.048-Bit-DKIM-Schlüssel verwenden, können Sie ihn nicht als einzelnen Textstring in einen DNS-Eintrag mit maximal 255 Zeichen eingeben. Führen Sie in diesem Fall die folgenden Schritte aus:

  1. Teilen Sie die Schlüsselzeichen in mehrere Textstrings auf.
  2. Setzen Sie jeden String in Anführungszeichen.
  3. Geben Sie die Strings nacheinander bei Ihrem Domainanbieter in das Feld für den Wert des TXT-Eintrags ein.

In diesem Beispiel wurde ein langer DKIM-Schlüssel auf zwei Textstrings aufgeteilt und diese jeweils in Anführungszeichen gesetzt:

"k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAraC3pqvqTkAfXhUn7Kn3JUNMwDkZ65ftwXH58anno/bElnTDAd/idk8kWpslrQIMsvVKAe+mvmBEnpXzJL+0LgTNVTQctUujyilWvcONRd/z37I34y6WUIbFn4ytkzkdoVmeTt32f5LxegfYP4P/"

"w7QGN1mOcnE2Qd5SKIZv3Ia1p9d6uCaVGI8brE/7zM5c/zMthVPE2WZKA28+QomQDH7ludLGhXGxpc7kZZCoB5lQiP0o07Ful33fcED73BS9Bt1SNhnrs5v7oq1pIab0LEtHsFHAZmGJDjybPA7OWWaV3L814r/JfU2NK1eNu9xYJwA8YW7WosL45CSkyp4QeQIDAQAB"

Sie haben außerdem folgende Möglichkeiten:

Wir empfehlen, nicht mehr als 49 TXT-Einträge bei Ihrem Domainanbieter hinzuzufügen, da dies von den meisten Domainanbietern unterstützt wird.

Anzahl der DKIM-Signaturen prüfen

Nachrichten können mit mehr als einer DKIM-Signatur signiert werden. Gmail prüft jedoch nur die ersten fünf Signaturen, die im Nachrichtenheader „Authentication-Results:“ aufgeführt sind. Gmail prüft die Signaturen in der Reihenfolge, in der sie im Header angezeigt werden. Wenn die authentifizierende Signatur nicht zu den ersten fünf Signaturen gehört, die im Header aufgeführt sind, besteht die Nachricht die DKIM-Authentifizierung nicht. Das kann auch dazu führen, dass die Nachricht die DMARC-Authentifizierung nicht besteht.

Wenn Sie prüfen möchten, welche Signaturen Gmail für eine Nachricht prüft, sehen Sie sich den Header „Authentication-Results:“ in der Nachricht an. Eine detaillierte Anleitung zum Prüfen von Gmail Nachrichtenheadern finden Sie unter Vollständige E‑Mail-Header lesen.

E‑Mail-Versandverfahren überprüfen

Wenn DKIM korrekt eingerichtet ist, Nachrichten aber trotzdem als Spam markiert werden, liegt das möglicherweise nicht an DKIM.

Empfohlener Schritt :

Administratoren kontaktieren bei Servern, die DKIM-signierte Nachrichten ablehnen

Auch wenn DKIM korrekt eingerichtet wurde, ist es möglich, dass Nachrichten von Ihrer Domain weiterhin von Empfängerservern abgelehnt werden oder im Spamordner der Empfänger landen.

Empfohlene Schritte :

  • Wenden Sie sich in diesem Fall an den zuständigen Administrator auf der Empfängerseite.
  • Richten Sie DMARC ein, damit Berichte zu den Ergebnissen der DKIM-Authentifizierung erstellt werden. Weitere Informationen finden Sie unter DMARC einrichten.
  • Wenn Sie DKIM mit einem anderen E‑Mail-System als Google Workspace einrichten, verwenden Sie in ausgehenden Nachrichten nicht das DKIM-Längentag (l=). Nachrichten, die dieses Tag verwenden, sind anfällig für Missbrauch. Weitere Informationen finden Sie in Abschnitt 8.2 von RFC 6376.


Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.