Die Einrichtung von DKIM für Gmail verhindert, dass unbefugte Absender Ihre Domain fälschen, und verbessert die E-Mail-Zustellbarkeit. Unabhängig davon, ob Sie Google Workspace (ehemals G Suite) oder Gmail mit einer benutzerdefinierten Domain verwenden, stellt eine ordnungsgemäße DKIM-Konfiguration sicher, dass Ihre Nachrichten Authentifizierungsprüfungen bestehen und die Postfächer der Empfänger erreichen.

Dieser Leitfaden behandelt die DKIM-Einrichtung für Google Workspace-Domains, häufige Konfigurationsfehler und was passiert, wenn DKIM trotz korrekter Implementierung fehlschlägt.

I. Was DKIM leistet (und was es nicht verhindern kann)

DKIM (DomainKeys Identified Mail) fügt ausgehenden E-Mails eine kryptografische Signatur hinzu. Der empfangende Server überprüft die Signatur mithilfe eines öffentlichen Schlüssels, der in den DNS-Einträgen Ihrer Domain veröffentlicht ist.

Was DKIM validiert:

  • Der Nachrichtentext wurde während der Übertragung nicht verändert
  • Die signierende Domain hat die Nachricht autorisiert
  • Die DKIM-Signatur stimmt mit der deklarierten Domain überein

Wo DKIM fehlschlagen kann:

  • Weiterleitung bricht Signaturen: Wenn eine E-Mail über eine Mailingliste oder Auto-Weiterleitung weitergeleitet wird, machen Inhaltsänderungen (wie Fußzeilen-Ergänzungen) die DKIM-Signatur ungültig
  • Ausrichtungsprobleme: Ein erfolgreiches DKIM garantiert kein erfolgreiches DMARC – die d=-Domain in der DKIM-Signatur muss mit der From:-Header-Domain übereinstimmen
  • Probleme bei der Schlüsselrotation: Wenn Sie ein neues DKIM-Schlüsselpaar generieren, aber vergessen, DNS zu aktualisieren, schlagen alle ausgehenden Nachrichten bei der DKIM-Validierung fehl
  • DNS-Propagierungsverzögerungen: Die Veröffentlichung eines neuen öffentlichen DKIM-Schlüssels kann Minuten bis Stunden zur Propagierung benötigen, was zu vorübergehenden Validierungsfehlern führt

DKIM ist Authentifizierung, nicht Autorisierung. Eine gültige DKIM-Signatur beweist, dass die Nachricht von der signierenden Domain stammt, aber nicht, dass der Absender legitim oder erwünscht ist.

II. Voraussetzungen: Google Workspace vs. persönliche Gmail-Konten

DKIM-Einrichtung in fünf Schritten: Schlüssel generieren, DNS-Einträge veröffentlichen, Konfiguration überprüfen, Signierung aktivieren und testen.

Google Workspace-Konten (Geschäftsdomains, die die Gmail-Infrastruktur nutzen):

  • Vollständige DKIM-Kontrolle
  • Sie generieren Schlüssel und veröffentlichen DNS-Einträge
  • Erforderlich für benutzerdefinierte Domain-DMARC-Durchsetzung

Persönliche Gmail-Konten (@gmail.com):

  • Google signiert Nachrichten automatisch mit d=gmail.com
  • Sie können DKIM nicht für @gmail.com-Adressen konfigurieren
  • Wenn Sie von einer benutzerdefinierten Domain über persönliche Gmail-Konten senden, haben diese Nachrichten keine DKIM-Signaturen für Ihre Domain

Dieser Leitfaden gilt nur für Google Workspace-Domains. Wenn Sie persönliche Gmail-Konten mit einer benutzerdefinierten „E-Mail senden als“-Adresse verwenden, fehlt Ihren Nachrichten die ordnungsgemäße Domain-Authentifizierung.

III. Schritt 1: DKIM-Schlüssel in der Google Workspace Admin-Konsole generieren

Melden Sie sich mit Super-Admin-Berechtigungen in der Google Workspace Admin-Konsole an.

  1. Navigieren Sie zu Apps → Google Workspace → Gmail → E-Mail authentifizieren
  2. Wählen Sie Ihre Domain aus dem Dropdown-Menü aus
  3. Klicken Sie auf Neuen Eintrag generieren
  4. Wählen Sie eine DKIM-Schlüssellänge:
  • 2048-Bit (empfohlen): Stärkere kryptografische Sicherheit, von allen großen Mailbox-Anbietern unterstützt
  • 1024-Bit: Älterer Standard, verwenden Sie ihn nur, wenn die Länge des DNS-TXT-Eintrags eine Einschränkung darstellt
  1. Geben Sie einen DKIM-Präfix-Selektor ein (Standard: google ergibt den Selektor google._domainkey)
  2. Klicken Sie auf Generieren

Google zeigt zwei Informationen an:

  • DNS-Host/Name: Die Subdomain, unter der Sie den öffentlichen Schlüssel veröffentlichen (z.B. google._domainkey.example.com)
  • TXT-Eintragswert: Die öffentliche Schlüsselzeichenfolge, die mit v=DKIM1; k=rsa; p=... beginnt

Fehlerbedingung: Wenn Sie einen neuen Schlüssel generieren, aber DNS nicht aktualisieren, schlagen ausgehende Nachrichten sofort bei der DKIM-Validierung fehl. Google beginnt mit dem Signieren mit dem neuen privaten Schlüssel, sobald Sie auf „Authentifizierung starten“ klicken, auch wenn der öffentliche Schlüssel noch nicht veröffentlicht ist.

IV. Schritt 2: Den öffentlichen DKIM-Schlüssel im DNS veröffentlichen

Melden Sie sich bei Ihrem DNS-Anbieter an (Cloudflare, GoDaddy, Route 53, Namecheap usw.).

Fügen Sie einen TXT-Eintrag mit diesen Werten hinzu:

FeldWert
TypTXT
Name/Hostgoogle._domainkey oder vollständige Subdomain google._domainkey.example.com (abhängig von der DNS-Anbieter-Benutzeroberfläche)
WertFügen Sie die vollständige öffentliche Schlüsselzeichenfolge aus der Google Admin-Konsole ein, einschließlich v=DKIM1; k=rsa; p=...
TTL3600 (1 Stunde) oder Standard

Kritische Formatierungsregel: Einige DNS-Anbieter erfordern, dass Sie Anführungszeichen um den TXT-Wert entfernen. Andere fügen sie automatisch hinzu. Wenn Ihre DNS-Oberfläche den Wert in Anführungszeichen wie "v=DKIM1; k=rsa; p=..." anzeigt, ist das normal – fügen Sie aber nicht manuell zusätzliche Anführungszeichen hinzu.

DNS-Propagierungszeit: Änderungen können je nach Anbieter und TTL-Einstellungen 5 Minuten bis 48 Stunden dauern. Google empfiehlt, 24-48 Stunden zu warten, bevor die DKIM-Signierung aktiviert wird.

Wo die DKIM-DNS-Veröffentlichung fehlschlagen kann:

  • Subdomain-Tippfehler: Veröffentlichung unter googl._domainkey statt google._domainkey führt dazu, dass alle Nachrichten DKIM fehlschlagen
  • Abgeschnittener Schlüssel: Einige DNS-Oberflächen haben Zeichenlimits. Wenn der öffentliche Schlüssel abgeschnitten ist, schlägt die DKIM-Validierung fehl
  • Falscher Eintragstyp: Veröffentlichung als A, CNAME oder MX statt TXT macht den Schlüssel unlesbar

V. Schritt 3: DNS-Veröffentlichung überprüfen

Bestätigen Sie vor dem Aktivieren der DKIM-Signierung, dass der öffentliche Schlüssel korrekt veröffentlicht ist.

Verwenden Sie ein DNS-Lookup-Tool:

nslookup -type=TXT google._domainkey.example.com

Oder Online-Checker:

Erwartetes Ergebnis: Sie sollten die vollständige öffentliche Schlüsselzeichenfolge sehen, die mit v=DKIM1; k=rsa; p=MII... beginnt

Wenn die Abfrage fehlschlägt:

  • Überprüfen Sie den Subdomain-Namen noch einmal (google._domainkey)
  • Stellen Sie sicher, dass Sie einen TXT-Eintrag veröffentlicht haben, nicht einen anderen Typ
  • Warten Sie länger auf die DNS-Propagierung
  • Prüfen Sie, ob Ihr DNS-Anbieter spezielle Formatierung für lange TXT-Einträge erfordert

VI. Schritt 4: DKIM-Signierung in Google Workspace aktivieren

Kehren Sie zur Google Workspace Admin-Konsole → Gmail → E-Mail authentifizieren zurück.

  1. Suchen Sie die Domain und DKIM-Konfiguration, die Sie erstellt haben
  2. Klicken Sie auf Authentifizierung starten

Was jetzt passiert:

  • Google beginnt, alle ausgehenden Nachrichten von Ihrer Domain mit dem privaten Schlüssel zu signieren
  • Der d=-Wert in der DKIM-Signatur stimmt mit Ihrer Domain überein (z.B. d=example.com)
  • Empfangende Server fragen google._domainkey.example.com nach dem öffentlichen Schlüssel ab

Fehlerbedingung: Wenn Sie auf „Authentifizierung starten“ klicken, bevor DNS propagiert ist, schlägt jede ausgehende Nachricht bei der DKIM-Validierung fehl, bis der öffentliche Schlüssel verfügbar wird. Sie sehen DKIM-Signaturverifizierungsfehler in Bounce-Nachrichten oder DMARC-Berichten.

Sicherer Ansatz: Warten Sie 24-48 Stunden nach der Veröffentlichung des DNS-TXT-Eintrags, bevor Sie die DKIM-Signierung aktivieren. Dies stellt sicher, dass der öffentliche Schlüssel global propagiert ist.

VII. Schritt 5: DKIM-Signierung testen

Senden Sie eine Test-E-Mail von Ihrem Google Workspace-Konto an eine persönliche E-Mail-Adresse (Gmail, Outlook, Yahoo, ProtonMail usw.).

Authentifizierungs-Header überprüfen:

In Gmail: Öffnen Sie die Nachricht, klicken Sie auf das Drei-Punkte-Menü, wählen Sie Original anzeigen. Suchen Sie nach:

DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
        d=example.com; s=google;
        h=from:to:subject:date;
        bh=...;
        b=...
Authentication-Results: mx.google.com;
       dkim=pass [email protected] header.s=google header.b=...

In Outlook/Microsoft 365: Nachrichtenquelle anzeigen oder Authentication-Results-Header auf dkim=pass prüfen.

Was zu validieren ist:

  • d=example.com stimmt mit Ihrer sendenden Domain überein
  • s=google stimmt mit Ihrem Selektor überein
  • dkim=pass in Authentication-Results

Wenn DKIM fehlschlägt:

  • dkim=temperror: DNS-Abfrage zeitüberschritten (warten Sie länger auf Propagierung)
  • dkim=permerror: Öffentlicher Schlüssel nicht gefunden oder fehlerhaft
  • dkim=fail: Signatur stimmt nicht überein (Nachricht wurde geändert oder falscher Schlüssel im DNS)
  • Keine DKIM-Signatur vorhanden: DKIM-Signierung in Google Workspace nicht aktiviert, oder Sie senden von einem persönlichen Gmail-Konto

VIII. Häufige DKIM-Gmail-Konfigurationsfehler

Checkliste mit sechs häufigen DKIM-Konfigurationsfehlern, die Sie vermeiden sollten.

1. Signierung aktivieren, bevor DNS propagiert ist

Problem: Alle ausgehenden Nachrichten schlagen bei der DKIM-Validierung für Stunden oder Tage fehl.
Lösung: Warten Sie 24-48 Stunden nach der Veröffentlichung des öffentlichen Schlüssels, bevor Sie auf „Authentifizierung starten“ klicken.

2. Verwendung persönlicher Gmail-Konten mit benutzerdefinierten Domains

Problem: Persönliche Gmail-Konten unterstützen keine DKIM-Signierung für benutzerdefinierte Domains bei Verwendung von „E-Mail senden als“.
Lösung: Migrieren Sie zu Google Workspace oder verwenden Sie einen Drittanbieter-SMTP-Service, der DKIM unterstützt (SendGrid, Mailgun, Postmark).

3. Veröffentlichung nur eines DKIM-Schlüssels für mehrere Absender

Problem: Wenn Ihre Organisation Google Workspace für geschäftliche E-Mails verwendet, aber auch von Marketing-Plattformen (Mailchimp, HubSpot) sendet, benötigen diese Drittanbieter-Absender ihre eigenen DKIM-Schlüssel mit unterschiedlichen Selektoren.
Lösung: Fügen Sie separate DKIM-TXT-Einträge für jeden Absender hinzu:

  • google._domainkey.example.com (Google Workspace)
  • k1._domainkey.example.com (Mailchimp)
  • hubspot._domainkey.example.com (HubSpot)

4. Vergessen, DNS nach Schlüsselrotation zu aktualisieren

Problem: Wenn Sie ein neues DKIM-Schlüsselpaar in Google Workspace generieren (aus Sicherheitsgründen oder nach einer Schlüsselkompromittierung), schlagen Nachrichten bei DKIM fehl, bis der neue öffentliche Schlüssel veröffentlicht ist.
Lösung: Veröffentlichen Sie immer den neuen öffentlichen Schlüssel im DNS, bevor Sie einen neuen Schlüssel in der Google Admin-Konsole generieren.

5. Annahme, dass DKIM-Pass = DMARC-Pass

Problem: DKIM-Signaturen können die Validierung bestehen, aber trotzdem DMARC fehlschlagen, wenn die Ausrichtung fehlt.
DMARC-Ausrichtungsanforderung: Die d=-Domain in der DKIM-Signatur muss mit der From:-Header-Domain übereinstimmen (oder eine Subdomain davon sein, abhängig vom Ausrichtungsmodus).

Beispiel-Fehlerszenario:

  • Nachricht gesendet von [email protected]
  • DKIM-Signatur hat d=mailprovider.com
  • DKIM besteht, aber DMARC schlägt fehl, weil mailprovider.comexample.com

Lösung: Konfigurieren Sie Drittanbieter-Absender so, dass sie Ihre Domain im d=-Wert verwenden, oder implementieren Sie SPF-Ausrichtung als Rückfalllösung.

IX. DKIM, SPF und DMARC: Wie sie zusammenarbeiten

Vergleichstabelle: Google Workspace bietet die vollständige Kontrolle über DKIM, persönliches Gmail hingegen nicht.

DKIM allein verbessert die Zustellbarkeit, erzwingt aber keine Richtlinie gegen Spoofing. DMARC verbindet alles miteinander.

DMARC-Anforderungen:

  • Mindestens ein Authentifizierungsmechanismus (SPF oder DKIM) muss bestehen
  • Mindestens ein bestandener Mechanismus muss mit der From:-Header-Domain übereinstimmen

Beispiel: Ausgerichteter DKIM-Pass = DMARC-Pass

  • From: [email protected]
  • DKIM-Signatur: d=example.com (ausgerichtet)
  • DKIM-Ergebnis: pass
  • DMARC-Ergebnis: pass

Beispiel: Nicht ausgerichteter DKIM-Pass = DMARC-Fail

  • From: [email protected]
  • DKIM-Signatur: d=thirdpartymail.com (nicht ausgerichtet)
  • DKIM-Ergebnis: pass
  • DMARC-Ergebnis: fail (wenn SPF auch fehlschlägt)

Wo DMARC trotz bestandenem DKIM fehlschlagen kann:

  • SPF besteht, aber Envelope-Absender stimmt nicht mit From:-Header überein
  • DKIM besteht, aber Signatur-Domain stimmt nicht mit From:-Header überein
  • Nachricht weitergeleitet durch ein System, das Inhalte ändert (bricht DKIM)

Verwenden Sie Skysnag Protect, um die DMARC-Ausrichtung über alle Absender hinweg zu überwachen und zu identifizieren, wo Authentifizierung erfolgreich ist, aber DMARC fehlschlägt:

X. Wenn DKIM besteht, aber die Zustellbarkeit dennoch leidet

Ein bestandener DKIM-Validierung garantiert keine Postfachzustellung. Mailbox-Anbieter bewerten mehrere Signale:

Authentifizierung + Reputation + Inhalt

  • Authentifizierung: DKIM, SPF, DMARC
  • Reputation: IP-/Domain-Historie, Beschwerde-Raten, Engagement-Metriken
  • Inhalt: Betreffzeilen, Nachrichtentext, Links, Anhänge

Fehlerszenarien:

  • DKIM besteht, aber Domain-Reputation ist schlecht: Nachrichten landen trotz gültiger Signaturen im Spam
  • DKIM besteht, SPF besteht, aber DMARC schlägt fehl: Einige Empfänger filtern aggressiver bei DMARC-Fehlern
  • DKIM besteht, aber Inhalt löst Spam-Filter aus: Phrasen wie „jetzt handeln“, übermäßige Links oder verdächtige Anhänge überschreiben die Authentifizierung

Was Mailbox-Anbieter nicht garantieren:

  • Gmail, Microsoft, Yahoo und Apple veröffentlichen keine exakten Filterregeln
  • DKIM-Pass erstellt keinen „Whitelist“-Status
  • Authentifizierung hilft, ist aber nicht der einzige Faktor

Um die Zustellbarkeit nach der DKIM-Konfiguration zu verbessern:

  1. Implementieren Sie DMARC-Durchsetzung (p=quarantine oder p=reject)
  2. Überwachen Sie Beschwerde-Raten und Abmelde-Anfragen
  3. Pflegen Sie saubere E-Mail-Listen (entfernen Sie ungültige Adressen)
  4. Vermeiden Sie spam-ähnliche Betreffzeilen und übermäßige Werbesprache

XI. DKIM-Schlüsselrotation und Sicherheits-Best-Practices

Wann DKIM-Schlüssel rotiert werden sollten:

  • Alle 12 Monate (allgemeine Best Practice für kryptografische Schlüssel)
  • Sofort nach vermuteter Schlüsselkompromittierung
  • Beim Onboarding neuer Administratoren (Schlüsselexposition begrenzen)

Wie DKIM-Schlüssel ohne Unterbrechung der Authentifizierung rotiert werden:

  1. Generieren Sie ein neues Schlüsselpaar in der Google Workspace Admin-Konsole mit einem anderen Selektor (z.B. google2._domainkey)
  2. Veröffentlichen Sie den neuen öffentlichen Schlüssel im DNS neben dem alten Schlüssel
  3. Warten Sie 48 Stunden auf DNS-Propagierung
  4. Wechseln Sie die Signierung zum neuen Schlüssel in der Google Admin-Konsole
  5. Nach Bestätigung, dass der neue Schlüssel funktioniert, löschen Sie den alten DNS-Eintrag

Fehler bei der Schlüsselrotation: Wenn Sie den alten öffentlichen Schlüssel löschen, bevor Sie die Signierung auf den neuen Schlüssel umstellen, schlagen Nachrichten während der Übergangsphase bei der DKIM-Validierung fehl.

Besserer Ansatz: Halten Sie beide Schlüssel während des Übergangs aktiv und verwerfen Sie den alten Schlüssel erst, nachdem Sie bestätigt haben, dass alle Nachrichten die neue Signatur verwenden.

XII. Subdomain-DKIM-Konfiguration

Wenn Sie E-Mails von Subdomains senden (z.B. marketing.example.com, support.example.com), benötigt jede Subdomain ihre eigene DKIM-Konfiguration.

Google Workspace-Ansatz:

  1. Fügen Sie die Subdomain zu Ihrem Google Workspace-Konto hinzu (falls noch nicht hinzugefügt)
  2. Generieren Sie DKIM-Schlüssel für die Subdomain in der Google Admin-Konsole
  3. Veröffentlichen Sie einen TXT-Eintrag unter google._domainkey.marketing.example.com
  4. Aktivieren Sie die DKIM-Signierung für die Subdomain

Fehlerbedingung: Wenn Sie DKIM nur für die Haupt-Domain (example.com) konfigurieren, haben Nachrichten von marketing.example.com keine gültigen DKIM-Signaturen, es sei denn, die Subdomain ist explizit konfiguriert.

DMARC-Ausrichtung mit Subdomains:

  • Strikte Ausrichtung: DKIM d= muss exakt mit der From:-Domain übereinstimmen
  • Entspannte Ausrichtung (Standard): DKIM d= kann die Haupt-Domain sein (z.B. d=example.com stimmt mit From: [email protected] überein)

Entspannte Ausrichtung ist normalerweise ausreichend. Verwenden Sie strikte Ausrichtung nur, wenn Sie Subdomain-Spoofing in DMARC-Berichten verhindern müssen.

XIII. Überwachung von DKIM- und DMARC-Compliance

Überwachen Sie nach der Konfiguration von DKIM die Authentifizierungsergebnisse über DMARC-Aggregat-Berichte.

Was DMARC-Berichte zeigen:

  • Welche Absender Nachrichten mit DKIM signieren
  • Welche DKIM-Signaturen bestehen oder fehlschlagen
  • Ob bestandene DKIM-Signaturen mit der From:-Domain übereinstimmen
  • Ob SPF auch besteht (und ausgerichtet ist)

Interpretation von DKIM-Fehlern in DMARC-Berichten:

  • dkim=fail: Signatur stimmt nicht überein (Nachricht geändert, falscher Schlüssel oder Schlüsselrotationsproblem)
  • dkim=temperror: DNS-Abfrage fehlgeschlagen (temporäres Problem)
  • dkim=permerror: Öffentlicher Schlüssel nicht gefunden oder fehlerhaft
  • dkim=none: Keine DKIM-Signatur vorhanden

Warum Überwachung wichtig ist:

  • Erkennt unbefugte Absender, die versuchen, Ihre Domain zu fälschen
  • Identifiziert falsch konfigurierte Drittanbieter-Dienste (ESPs, CRMs, Support-Tools)
  • Hebt Weiterleitungsprobleme hervor (Mailinglisten brechen DKIM-Signaturen)
  • Liefert Beweise für Compliance-Programme, bei denen E-Mail-Authentifizierungs-Überwachung Teil der umfassenderen Sicherheitskontroll-Gruppe der Organisation ist
  • Hilft zu bestätigen, dass Google Workspace, Drittanbieter-Absender und Subdomains im Laufe der Zeit ordnungsgemäß authentifiziert bleiben

Erfahren Sie mehr über Skysnag Protect:

XIV. DKIM Gmail-Einrichtungs-Checkliste

Verwenden Sie diese Checkliste, um zu bestätigen, dass Ihre Google Workspace-DKIM-Konfiguration vollständig ist und wie erwartet funktioniert.

  • Bestätigen Sie, dass Sie Google Workspace verwenden, nicht ein persönliches Gmail-Konto mit einer benutzerdefinierten „E-Mail senden als“-Adresse.
  • Melden Sie sich in der Google Workspace Admin-Konsole mit Super-Admin-Berechtigungen an.
  • Gehen Sie zu den Gmail-Authentifizierungseinstellungen und generieren Sie einen DKIM-Eintrag für Ihre Domain.
  • Verwenden Sie einen 2048-Bit-DKIM-Schlüssel, wo unterstützt.
  • Kopieren Sie den Selektor und öffentlichen Schlüssel genau wie von Google bereitgestellt.
  • Veröffentlichen Sie den öffentlichen DKIM-Schlüssel als DNS-TXT-Eintrag.
  • Überprüfen Sie, ob der TXT-Eintrag korrekt aufgelöst wird, bevor Sie die DKIM-Signierung aktivieren.
  • Starten Sie die DKIM-Authentifizierung in Google Workspace erst, nachdem der DNS-Eintrag sichtbar ist.
  • Senden Sie Test-E-Mails an Gmail, Outlook und einen anderen Mailbox-Anbieter.
  • Überprüfen Sie Nachrichten-Header und bestätigen Sie dkim=pass.
  • Bestätigen Sie, dass die DKIM d= Domain mit der sichtbaren From-Domain übereinstimmt.
  • Konfigurieren Sie DKIM separat für Drittanbieter-Absender wie CRMs, Marketing-Tools und Support-Plattformen.
  • Überwachen Sie DMARC-Aggregat-Berichte, um die DKIM-Ausrichtung über alle Absender hinweg zu bestätigen.
  • Vermeiden Sie die Annahme, dass DKIM-Pass DMARC-Pass bedeutet.
  • Überprüfen Sie DKIM-Selektoren und Schlüsselrotationsverfahren regelmäßig.

XV. Wichtigste Erkenntnisse

DKIM hilft empfangenden Mail-Servern zu überprüfen, dass von Ihrer Domain signierte Nachrichten autorisiert wurden und während der Übertragung nicht geändert wurden.

Für Gmail-basierte geschäftliche E-Mails sollte die DKIM-Einrichtung über Google Workspace erfolgen. Persönliche Gmail-Konten bieten nicht die gleiche Domain-Level-DKIM-Kontrolle für benutzerdefinierte Domains.

DKIM allein verhindert kein Domain-Spoofing. Es wird stärker in Kombination mit SPF und DMARC, insbesondere wenn DMARC-Ausrichtung überwacht und Durchsetzung angewendet wird.

Die häufigsten Gmail-DKIM-Einrichtungsfehler sind DNS-Formatierungsfehler, falsche Selektor-Namen, abgeschnittene TXT-Einträge, Aktivierung der Signierung vor DNS-Propagierung und die Annahme, dass Drittanbieter-Absender von Google Workspace-DKIM abgedeckt sind.

DKIM-Pass garantiert keine Postfachzustellung. Mailbox-Anbieter bewerten weiterhin Reputation, Beschwerde-Raten, Inhalt, Engagement, Weiterleitungskontext und interne Missbrauchs-Signale.

DMARC-Überwachung ist der beste Weg, um zu bestätigen, ob DKIM-Signaturen über alle legitimen Absender hinweg bestehen und ausgerichtet sind.

Beginnen Sie mit DMARC-Überwachung mit Skysnag und erhalten Sie Ihren kostenlosen DMARC-Eintrag: