DKIM-Probleme beheben

Folgen Sie der Anleitung zur Fehlerbehebung in diesem Artikel, wenn aus Ihrer Domain gesendete Nachrichten folgende Kriterien erfüllen:

• DKIM-Authentifizierung fehlgeschlagen
• Vom Empfängerserver abgelehnt
• An die Spamordner der Empfänger gesendet

Die Ursachen für viele DKIM-Probleme können mithilfe der Schritte in diesem Artikel ermittelt und behoben werden.

Themen auf dieser Seite

• Einrichtung von DKIM überprüfen
• Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen
• DKIM beim Domainanbieter überprüfen
• Nachrichtenweiterleitung prüfen
• Zeichenbeschränkungen für TXT-Einträge bei Domainanbietern prüfen
• Anzahl der DKIM-Signaturen prüfen
• E‑Mail-Versandverfahren überprüfen
• Administratoren kontaktieren bei Servern, die DKIM-signierte Nachrichten ablehnen

Einrichtung von DKIM überprüfen

Prüfen Sie mithilfe der Anleitung unter DKIM einrichten, ob die DKIM-Domain korrekt eingerichtet ist.

Prüfen, ob Nachrichten die DKIM-Authentifizierung bestehen

In den Nachrichtenheadern von E-Mails können Sie nachsehen, ob von Ihrer Domain gesendete Nachrichten die DKIM-Authentifizierungsprüfungen bestehen.

Empfohlene Schritte:

• Prüfen Sie die Header in einer von Ihrer Domain gesendeten Nachricht, um zu bestätigen, dass sie DKIM bestanden hat.
• Wenn die Nachricht die DKIM-Authentifizierung nicht besteht, versuchen Sie, sie an einen anderen Empfänger zu senden, z. B. an eine private Gmail-Adresse. So können Sie Probleme mit dem Empfängerserver ausschließen.
• Klicken Sie in Gmail bei einer Nachricht auf Original anzeigen und prüfen Sie dann den DKIM-Status der Originalnachricht. Weitere Informationen zum Prüfen von Nachrichtenheadern in Gmail
• Geben Sie die Nachrichtenheader in das Tool Messageheader in der Google Admin Toolbox ein und prüfen Sie den DKIM-Status.

Weitere Informationen

DKIM-Schlüssel beim Domainanbieter prüfen

Die meisten DKIM-TXT-Einträge können bis zu 255 Zeichen enthalten. Es ist nicht möglich, einen 2.048-Bit-Schlüssel als einzelnen Textstring mit maximal 255 Zeichen einzugeben. Ihr DKIM-Schlüssel wird dann möglicherweise abgeschnitten oder die DKIM-Einträge werden in einer falschen Reihenfolge gesendet.

Empfohlene Schritte:

• Wenn Sie den gesamten Wert des DKIM-TXT-Eintrags nicht als einzelnen Textstring eingeben können, folgen Sie der Anleitung unter Zeichenbeschränkungen für TXT-Einträge bei Domainanbietern prüfen.
• Vergleichen Sie den Wert des DKIM-TXT-Eintrags bei Ihrem Anbieter mit dem Wert in der Admin-Konsole und prüfen Sie, ob Ihr DKIM-Schlüssel korrekt ist:
  1. Rufen Sie den Wert des DKIM-TXT-Eintrags aus der Admin-Konsole ab, z. B. google._domainkey.
  2. Rufen Sie in der Google Admin Toolbox das Tool Dig auf.
  3. Klicken Sie auf TXT.
  4. Geben Sie den Wert für den DKIM-TXT-Eintrag aus Schritt 1 ein und fügen Sie dann einen Punkt (.) sowie Ihren Domainnamen hinzu.
  5. Vergleichen Sie das Ergebnis mit dem Wert in der Admin-Konsole. Wenn alle Schlüsselzeichen in der richtigen Reihenfolge enthalten sind, kann der DKIM-Schlüssel aus zwei Teilen bestehen.

Nachrichtenweiterleitung prüfen

Auch wenn DKIM für Ihre Domain korrekt eingerichtet wurde, bestehen weitergeleitete Nachrichten möglicherweise nicht die DKIM-Authentifizierung. Das kann auf die Art und Weise zurückzuführen sein, wie ein Mailserver Nachrichten weiterleitet.

Empfohlener Schritt für E-Mail-Absender:

• Sorgen Sie dafür, dass die Nachricht bei der Übertragung nicht geändert wird. Suchen Sie den Header Authentication-results:. Wenn neben dem Eintrag dkim der Text body hash did not verify (body Hash nicht bestätigt) lautet,wurde die Nachricht während der Übertragung geändert.
• Wenn Sie ein Ausgangsgateway verwenden, achten Sie darauf, dass ausgehende Nachrichten nicht geändert werden, bevor sie gesendet werden. Bei einigen Ausgangsgateways wird beispielsweise am Ende jeder ausgehenden Nachricht eine Fußzeile hinzugefügt. Das kann dazu führen, dass die DKIM-Authentifizierung fehlschlägt, da der Nachrichteninhalt nach dem Senden geändert wird.

Empfohlene Schritte für E‑Mail-Empfänger:

• Prüfen Sie mithilfe der E-Mail-Protokollsuche, ob die Nachricht weitergeleitet wurde. Wenn die Person, die die Nachricht als Spam gemeldet hat, nicht der ursprüngliche Empfänger ist, wurde sie vermutlich weitergeleitet.
• Wenden Sie sich dann an den Dienst, der die Nachricht weitergeleitet hat, um zu ermitteln, ob dort die Methode für die Weiterleitung geändert werden kann.

Weitere Informationen finden Sie unter Best Practices für die Weiterleitung von E‑Mails an Gmail.

Zeichenbeschränkungen für TXT-Einträge bei Domainanbietern prüfen

Wenn Sie bei der Eingabe des DKIM-Werts eine Fehlermeldung erhalten, beschränkt Ihr Domainanbieter möglicherweise die Anzahl der im DNS-TXT-Eintrag zulässigen Zeichen.

Empfohlene Schritte:

Wenn Sie einen 2.048-Bit-DKIM-Schlüssel verwenden, können Sie ihn nicht als einzelnen Textstring in einen DNS-Eintrag mit maximal 255 Zeichen eingeben. Führen Sie stattdessen die folgenden Schritte aus:

1. Teilen Sie die Schlüsselzeichen in mehrere Textstrings auf.
2. Setzen Sie jeden String in Anführungszeichen.
3. Geben Sie die Strings nacheinander bei Ihrem Domainanbieter in das Feld für den Wert des TXT-Eintrags ein.

In diesem Beispiel wurde ein langer DKIM-Schlüssel auf zwei Textstrings aufgeteilt und diese jeweils in Anführungszeichen gesetzt:

Sie haben außerdem folgende Möglichkeiten:

• Wenn Sie ein DKIM-Schlüsselpaar generieren, wählen Sie 1.024 als Schlüssellänge aus.
• Erkundigen Sie sich bei Ihrem Domainhost, ob bei ihm TXT-Einträge mit mehr als 255 Zeichen möglich sind. Ist dies der Fall, können Sie Ihren DNS-Eintrag mit einem 2.048-Bit-DKIM-Schlüssel aktualisieren. Dazu folgen Sie der Anleitung unter DKIM-Schlüsselpaar generieren.

Wir empfehlen, nicht mehr als 49 TXT-Einträge bei Ihrem Domainanbieter hinzuzufügen, da dies von den meisten Domainanbietern unterstützt wird.

Anzahl der DKIM-Signaturen prüfen

Nachrichten können mit mehr als einer DKIM-Signatur signiert werden. Gmail prüft jedoch nur die ersten fünf Signaturen, die im Nachrichtenheader „Authentication-Results:“ aufgeführt sind. Gmail prüft die Signaturen in der Reihenfolge, in der sie im Header aufgeführt sind. Wenn die authentifizierende Signatur nicht zu den ersten fünf Signaturen im Header gehört, besteht die Nachricht die DKIM-Authentifizierung nicht. Das kann auch dazu führen, dass die Nachricht die DMARC-Prüfung nicht besteht.

Wenn Sie die Signaturen sehen möchten, die Gmail für eine Nachricht prüft, sehen Sie sich den Header „Authentication-Results:“ in der Nachricht an. Eine detaillierte Anleitung dazu, wie Sie Gmail-Nachrichtenheader prüfen, finden Sie im Hilfeartikel Vollständige E-Mail-Header lesen.

E-Mail-Versandverfahren überprüfen

Wenn DKIM korrekt eingerichtet ist, Nachrichten aber an den Spamordner gesendet werden, hat dies möglicherweise eine andere Ursache als DKIM.

Empfohlener Schritt:

• Beachten Sie die empfohlenen Richtlinien zum Senden von E-Mails an Gmail-Nutzer, insbesondere wenn Sie sehr viele E-Mails senden.

Administratoren kontaktieren bei Servern, die DKIM-signierte Nachrichten ablehnen

Auch wenn DKIM korrekt eingerichtet wurde, ist es möglich, dass Nachrichten von Ihrer Domain weiterhin von Empfängerservern abgelehnt werden oder im Spamordner der Empfänger landen.

Empfohlene Schritte:

• Wenden Sie sich an den Administrator des ablehnenden E‑Mail-Servers.
• Richten Sie DMARC ein, damit Berichte zu den Ergebnissen der DKIM-Authentifizierung erstellt werden. DMARC einrichten
• Wenn Sie DKIM mit einem anderen E‑Mail-System als Google Workspace einrichten, verwenden Sie in ausgehenden Nachrichten nicht das DKIM-Längen-Tag (l=). Nachrichten, die dieses Tag verwenden, sind anfällig für Missbrauch. Weitere Informationen finden Sie in Abschnitt 8.2 von RFC 6376.

Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.