DKIM einrichten

Gmail-Nutzer:Wenn Sie in Gmail Spam- oder Phishing-Nachrichten erhalten, finden Sie hier weitere Informationen. Wenn Sie Probleme beim Senden oder Empfangen von E‑Mails in Gmail haben, finden Sie hier weitere Informationen.

E‑Mail-Absender:Wenn Sie E‑Mails an private Gmail-Konten senden, müssen Sie die E‑Mail-Authentifizierung einrichten, damit Ihre E‑Mails wie erwartet zugestellt werden. Alle Absender müssen SPF einrichten oder DKIM einrichten. Absender von Massen-E‑Mails (mehr als 5.000 Nachrichten täglich) müssen SPF einrichten, DKIM einrichten und DMARC einrichten. Weitere Informationen

Mit DKIM können Sie Ihre Domain vor Spoofing schützen, indem Sie Ihre E‑Mails mit einer DKIM-Signatur authentifizieren. Richten Sie DKIM ein, indem Sie einen öffentlichen DKIM-Schlüssel generieren und ihn Ihrer Domain hinzufügen. Empfängerserver verwenden Ihren öffentlichen DKIM-Schlüssel, um die DKIM-Signatur zu lesen und Nachrichten zu authentifizieren, die sie von Ihrer Domain erhalten.

Themen in diesem Hilfeartikel

Hinweis

  • Möglicherweise müssen Sie DKIM nicht einrichten, wenn für Ihre Domain bereits standardmäßig DKIM eingerichtet ist oder wenn Sie Ihre Domain bei der Registrierung für Google Workspace von einem Google-Partner erworben haben. Sie können mit einem der vielen kostenlosen Tools im Internet prüfen, ob DKIM bereits für Ihre Domain eingerichtet ist.
  • Wenn Sie Ausgangsgateways verwenden, müssen Sie darauf achten, dass die Einstellungen die DKIM-Authentifizierung nicht beeinträchtigen. Ausgangsgateways können so eingerichtet sein, dass damit ausgehende Nachrichten geändert werden, z. B. durch Hinzufügen einer Fußzeile am Ende jeder Nachricht. Weitere Informationen finden Sie unter Ausgangsgateway zum Verarbeiten ausgehender E-Mails einrichten.

Wie funktioniert DKIM?

Um DKIM einzurichten, generieren Sie ein DKIM-Schlüsselpaar für Ihre Domain:

  • Einen öffentlichen Schlüssel, der im DNS-TXT-Eintrag Ihrer Domain für DKIM gespeichert ist. Das ist der Schlüssel, den Sie Ihrer Domain hinzufügen.
  • Einen privaten Schlüssel, der auf Ihren E-Mail-Server hochgeladen wird. Mit diesem Schlüssel wird eine DKIM-Signatur für jede ausgehende Nachricht generiert und hinzugefügt.
E-Mail-Server des Absenders mit einem privaten Schlüssel.
Der DKIM-TXT-Eintrag des Absenders mit einem öffentlichen Schlüssel.
Mit dem privaten Schlüssel des Absenders wird dem Header ausgehender E‑Mails eine DKIM-Signatur hinzugefügt.
Die E-Mail wird an die Domain des Empfängers gesendet.
Der E-Mail-Server des Empfängers ruft den öffentlichen Schlüssel aus dem DKIM-TXT-Eintrag ab und verwendet ihn, um die DKIM-Signatur zu lesen und die E-Mail zu authentifizieren.

Schritt 1: DKIM-Schlüsselpaar generieren

  • Wenn Sie Google Workspace verwenden, folgen Sie der Anleitung in diesem Abschnitt.
  • Wenn Sie Google Workspace nicht verwenden, können Sie ein im Internet verfügbares Tool verwenden, um Folgendes zu tun:
    • Suchen Sie Ihren DKIM-Präfixselektor. Sie können eine Test-E-Mail an Ihren Posteingang senden, sich den Quelltext der Nachricht ansehen und den s-Wert im DKIM-Signature-Header suchen.
    • Geben Sie Ihren Domainnamen, die Schlüssellänge und den DKIM-Präfixselektor an, um ein DKIM-Schlüsselpaar zu generieren.
    • Speichern Sie den privaten Schlüssel in der Konfiguration Ihres Mailservers und fügen Sie den öffentlichen Schlüssel Ihrer Domain hinzu.
Für diese Aufgabe müssen Sie als Super Admin angemeldet sein.

Wichtig:Nachdem Sie Gmail in Google Workspace für Ihre Organisation aktiviert haben, müssen Sie 24 bis 72 Stunden warten, bis Sie Ihren DKIM-Schlüssel in der Admin-Konsole generieren können. Wenn Sie versuchen, einen Schlüssel vor diesem Zeitpunkt zu generieren, wird möglicherweise eine Fehlermeldung angezeigt, dass der DKIM-Eintrag nicht erstellt wurde.

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  Apps Google Workspace Gmail.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Klicken Sie auf E-Mail authentifizieren.
  3. Wählen Sie im Menü Ausgewählte Domain die Domain aus, für die Sie DKIM einrichten möchten.
  4. Klicken Sie auf die Schaltfläche Neuen Eintrag erstellen.
  5. Wählen Sie im Feld Neuen Eintrag erstellen die gewünschten DKIM-Schlüsseleinstellungen aus:
    • 2.048: Wenn Sie bei Ihrem Domainanbieter 2.048-Bit-Schlüssel angeben können, wählen Sie diese Option aus. Längere Schlüssel sind sicherer als kürzere. Wenn Sie bisher einen 1.024-Bit-Schlüssel verwendet haben, können Sie zu einem 2.048-Bit-Schlüssel wechseln, sofern das bei Ihrem Domainanbieter möglich ist.
    • 1.024: Wenn bei Ihrem Domainhost keine 2.048-Bit-Schlüssel möglich sind, wählen Sie diese Option aus.
    • Optionen für die Präfixauswahl:

  6. Klicken Sie auf Erstellen. Auf der Seite „E-Mail authentifizieren“ wird der Wert des TXT-Eintrags aktualisiert und die Meldung Einstellungen für die DKIM-Authentifizierung aktualisiert wird angezeigt.

    Wichtig: Unter Umständen wird in der Admin-Konsole auf der Seite „E-Mail authentifizieren“ noch bis zu 48 Stunden nach dem Speichern die Meldung angezeigt: Sie müssen die DNS-Einträge für diese Domain aktualisieren. Wenn Sie den DKIM-Schlüssel bei Ihrem Domainanbieter korrekt angegeben haben, können Sie diese Meldung ignorieren.

  7. Kopieren Sie die DKIM-Werte, die im Fenster E-Mail authentifizieren angezeigt werden. Sie geben sie im nächsten Schritt bei Ihrem Domainanbieter an:

    DNS-Hostname (Name des TXT-Eintrags): Dieser Text ist der Name für den DKIM-TXT-Eintrag. Sie fügen diesen Namen dem TXT-Eintrag Ihres Domainanbieters im Feld „Host“ hinzu.
    Wert des TXT-Eintrags: Dieser Text ist der DKIM-Schlüssel. Sie fügen diesen Schlüssel dem TXT-Eintrag Ihres Domainanbieters im Feld „TXT Value“ (TXT-Wert) hinzu.

Wichtig:Klicken Sie noch nicht auf Authentifizierung starten. Das können Sie später erledigen.

Schritt 2: DKIM-Schlüssel Ihrer Domain hinzufügen

Nachdem Sie Ihr DKIM-Schlüsselpaar generiert haben, fügen Sie den öffentlichen DKIM-Schlüssel Ihrer Domain hinzu, indem Sie einen DKIM-TXT-Eintrag erstellen.

Wenn Sie Hilfe bei den Anmeldedaten, Einstellungen oder TXT-Einträgen für Ihre Domain benötigen, wenden Sie sich an Ihren Domainanbieter. Google bietet keinen technischen Support für externe Domainanbieter.
  1. Melden Sie sich bei Ihrem Domainhost an. Das ist normalerweise der Anbieter, bei dem Sie Ihre Domain erworben haben. Wenn Sie nicht sicher sind, wer Ihr Domainhost ist, lesen Sie den Hilfeartikel Domain-Registrar identifizieren.
  2. Rufen Sie die Seite auf, auf der Sie die DNS-TXT-Einträge für Ihre Domain aktualisieren. Weitere Informationen erhalten Sie in der Dokumentation Ihrer Domain.

  3. Fügen Sie den TXT-Eintrag mit diesen Informationen hinzu oder aktualisieren Sie ihn (siehe Dokumentation für Ihre Domain):

    Feldname Einzugebender Wert
    Typ Der Eintragstyp ist TXT.
    Host (Name, Hostname, Alias) Der String, aus dem der Name des TXT-Eintrags besteht. Beispiel: google._domainkey Weitere Informationen (oben auf dieser Seite)
    Wert Der String, der den Wert des TXT-Eintrags bildet. Er sollte mit „v=DKIM1“ beginnen. Weitere Informationen (oben auf dieser Seite)

    Hinweis:Einige Domainanbieter beschränken die Länge von TXT-Einträgen. Lesen Sie in diesem Fall den Hilfeartikel Zeichenbeschränkungen für TXT-Einträge bei Domainanbietern prüfen.

  4. Speichern Sie die Änderungen.

  5. Wenn Sie Subdomains verwenden, erkundigen Sie sich bei Ihrem Domainanbieter, wie Sie einen TXT-Eintrag für Subdomains hinzufügen.

  6. Wenn Sie DKIM für mehrere Domains einrichten, führen Sie diese Schritte für jede Domain aus. Sie benötigen für jede Domain einen eindeutigen DKIM-Schlüssel aus der Admin-Konsole.

    Nachdem Sie einen DKIM-Schlüssel hinzugefügt haben, kann es bis zu 48 Stunden dauern, bis die DKIM-Authentifizierung funktioniert.

Schritt 3: DKIM aktivieren und prüfen

  • Wenn Sie Google Workspace verwenden, folgen Sie der Anleitung in diesem Abschnitt.
  • Wenn Sie Google Workspace nicht verwenden, können Sie eines der im Internet verfügbaren Tools verwenden.

  1. Gehen Sie in der Google Admin-Konsole zum Dreistrich-Menü  Apps Google Workspace Gmail.

    Hierfür ist die Administratorberechtigung für die Gmail-Einstellungen erforderlich.

  2. Klicken Sie auf E-Mail authentifizieren.
  3. Wählen Sie im Menü Ausgewählte Domain die Domain aus, für die Sie DKIM aktivieren möchten.
  4. Klicken Sie auf Authentifizierung starten. Wenn die DKIM-Einrichtung abgeschlossen ist und korrekt funktioniert, ändert sich oben auf der Seite der Status zu E-Mail wird mit DKIM authentifiziert.
  5. Senden Sie eine E‑Mail an eine Person, die Gmail oder Google Workspace verwendet. Die korrekte Aktivierung von DKIM lässt sich nicht durch Senden einer Testnachricht an die eigene E-Mail-Adresse prüfen.

  6. Öffnen Sie die Nachricht im Posteingang des Empfängers und suchen Sie nach dem gesamten Nachrichtenheader.

    Hinweis:Die Schritte zum Aufrufen des Nachrichtenheaders unterscheiden sich je nach E-Mail-Anwendung. Um Nachrichtenheader in Gmail einzublenden, klicken Sie neben Antworten auf das Dreipunkt-Menü Original anzeigen.

  7. Suchen Sie im Nachrichtenheader nach Authentication-Results (Authentifizierungsergebnisse). Die empfangenden Dienste verwenden unterschiedliche Formate für Nachrichtenheader. Die DKIM-Ergebnisse sollten jedoch etwa DKIM=pass (DKIM bestanden) oder DKIM=OK (DKIM in Ordnung) lauten. Wenn der Nachrichtenheader keine Zeile mit „DKIM“ enthält, werden Nachrichten von Ihrer Domain nicht mit DKIM signiert:

    • Prüfen Sie, ob Sie alle in diesem Artikel beschriebenen Schritte ausgeführt haben.
    • Weitere Informationen finden Sie unter DKIM-Probleme beheben.

Nächste Schritte

  • Google empfiehlt außerdem, dass Sie SPF und DMARC für Ihre Organisation einrichten. Absender von Massen-E‑Mails müssen DKIM, SPF und DMARC einrichten. Weitere Informationen finden Sie unter Richtlinien für E-Mail-Absender.
  • Wenn Sie nicht herausfinden können, ob DKIM funktioniert, oder wenn Nachrichten, die von Ihrer Domain gesendet werden, im Spamordner landen, lesen Sie den Hilfeartikel Fehlerbehebung bei DKIM.
  • Optional können Sie BIMI einrichten, um das Logo Ihrer Organisation in Nachrichten einzublenden, die von Ihrer Domain gesendet werden.


Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.