DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsstandard, der es dem sendenden Mailserver ermöglicht, eine kryptografische digitale Signatur an ausgehende Nachrichten anzuhängen. Der empfangende Server ruft den entsprechenden öffentlichen Schlüssel aus den DNS-Einträgen des Absenders ab und verwendet ihn zur Überprüfung der Signatur. Ist die Signatur gültig, weiß der Empfänger, dass die E-Mail tatsächlich von der angegebenen Domain stammt und während der Übertragung nicht verändert wurde. DKIM arbeitet zusammen mit [SPF](/glossary/spf) (Sender Policy Framework) und [DMARC](/glossary/dmarc) (Domain-based Message Authentication, Reporting & Conformance), um ein vollständiges E-Mail-Authentifizierungs-Framework zu bilden, das sowohl Absender als auch Empfänger schützt.

E-Mail bleibt ein primärer Kanal für das Teilen digitaler Publikationen, das Senden von Lead-Capture-Benachrichtigungen und die Zustellung transaktionaler Nachrichten. Ohne DKIM werden E-Mails eher als Spam markiert oder von den Mailservern der Empfänger vollständig abgelehnt. Große Anbieter wie Gmail, Outlook und Yahoo verlangen DKIM mittlerweile für Massenversender, und Nachrichten ohne gültige Signaturen werden zunehmend aggressiv gefiltert. Eine korrekte DKIM-Konfiguration verbessert die Zustellbarkeit, schützt deine Marke vor Spoofing (bei dem Angreifer E-Mails versenden, die vorgeben, von deiner Domain zu stammen) und baut Vertrauen bei E-Mail-Anbietern auf. Für Verleger, die sich auf E-Mail verlassen, um Flipbooks zu verteilen und Leads zu sammeln, beeinflusst DKIM direkt, ob dein Publikum deine Nachrichten tatsächlich sieht.

FlipLink sendet E-Mails in deinem Namen für Lead-Capture-Benachrichtigungen, geteilte Publikationslinks und [E-Mail-Vorlagen](/features/email-templates). Diese E-Mails werden über eine Infrastruktur mit konfiguriertem DKIM versendet, was bedeutet, dass jede ausgehende Nachricht eine gültige kryptografische Signatur trägt. Wenn du eine [benutzerdefinierte Domain](/features/custom-domains) für deine Publikationen verwendest und Sharing-E-Mails von dieser Domain senden möchtest, konfiguriere DKIM-DNS-Einträge, um FlipLinks Mailserver zum Versand in deinem Namen zu autorisieren. Dies stellt sicher, dass Empfänger deine Domain als verifizierten Absender sehen, was die Inbox-Platzierung maximiert und die Glaubwürdigkeit deiner Marke aufrechterhält.

Die DKIM-Einrichtung umfasst sowohl DNS-Konfiguration als auch Mailserver-Koordination. So sieht der Prozess typischerweise aus: 1. **Schlüsselpaar generieren.** Dein Maildienst oder deine Plattform (wie FlipLink) generiert einen privaten Schlüssel (auf dem Sendeserver gespeichert) und einen öffentlichen Schlüssel (im DNS veröffentlicht). 2. **DNS-TXT-Eintrag hinzufügen.** Erstelle einen TXT-Eintrag unter `selektor._domainkey.ihredomain.com` mit dem öffentlichen Schlüssel. Der Selektor ist ein Label (wie `fl1` oder `mail`), das identifiziert, welcher Schlüssel verwendet werden soll. 3. **Propagierung des Eintrags überprüfen.** DNS-Änderungen können bis zu 48 Stunden dauern, die meisten propagieren jedoch innerhalb einer Stunde. Verwende ein DKIM-Prüftool, um zu bestätigen, dass der Eintrag sichtbar ist. 4. **Test-E-Mail senden.** Sende eine E-Mail von der konfigurierten Domain und prüfe die Header auf `dkim=pass` im Authentication-Results-Header. 5. **Laufend überwachen.** Richte [DMARC](/glossary/dmarc)-Reporting ein, um Warnungen zu erhalten, wenn die DKIM-Validierung fehlschlägt, was auf eine DNS-Fehlkonfiguration oder nicht autorisierte Absender hindeuten könnte.

DKIM schützt vor zwei spezifischen Bedrohungen: **E-Mail-Spoofing** (jemand sendet E-Mails, die scheinbar von deiner Domain stammen) und **Nachrichtenmanipulation** (jemand ändert den E-Mail-Inhalt, nachdem er deinen Server verlassen hat). Allerdings ist DKIM allein keine vollständige Sicherheitslösung. **Was DKIM schützt:** - Verifiziert, dass die E-Mail von einem autorisierten Server für diese Domain gesendet wurde - Bestätigt, dass die signierten Header und der Body während der Übertragung nicht verändert wurden - Bietet eine Grundlage für die Durchsetzung von [DMARC](/glossary/dmarc)-Richtlinien **Was DKIM nicht schützt:** - Verschlüsselt nicht den E-Mail-Inhalt (verwende dafür TLS) - Verifiziert nicht die Identität des einzelnen Absenders, nur die Domain - Verhindert nicht, dass deine Domain Spam empfängt — es hilft nur, dass deine ausgehende Post als vertrauenswürdig eingestuft wird **Schlüsselrotation** ist eine wichtige, aber oft übersehene Praxis. Wird dein privater DKIM-Schlüssel kompromittiert, kann ein Angreifer E-Mails als deine Domain signieren. Rotiere deine DKIM-Schlüssel regelmäßig (alle 6–12 Monate) und aktualisiere den DNS-Eintrag mit dem neuen öffentlichen Schlüssel, bevor du den alten stilllegst.

Eine DKIM-Signatur wird als `DKIM-Signature`-Header zu jeder ausgehenden E-Mail hinzugefügt. Dieser Header enthält mehrere Felder: - **v** — Version (immer `1`) - **a** — Signaturalgorithmus (typischerweise `rsa-sha256`) - **d** — Die signierende Domain - **s** — Der Selektor zum Nachschlagen des öffentlichen Schlüssels im DNS - **h** — Liste der in die Signatur einbezogenen Header (z.B. `from:to:subject:date`) - **bh** — Hash des E-Mail-Bodys - **b** — Die eigentliche kryptografische Signatur Der empfangende Server extrahiert die `d`- und `s`-Werte, fragt DNS nach `s._domainkey.d` ab, ruft den öffentlichen Schlüssel ab und verifiziert die Signatur gegen die signierten Header und den Body-Hash. Stimmt alles überein, ist die DKIM-Prüfung bestanden. DKIM unterstützt Schlüssellängen von 1024 Bit und 2048 Bit. Während 1024-Bit-Schlüssel noch verbreitet sind, werden 2048-Bit-Schlüssel für stärkere Sicherheit empfohlen. Einige DNS-Anbieter haben ein 255-Zeichen-Limit für TXT-Einträge, was erfordert, längere 2048-Bit-Schlüssel auf mehrere Strings innerhalb eines einzelnen TXT-Eintrags aufzuteilen.