Deine E-Mails sehen gut aus, du hast einen sauberen Verteiler – und trotzdem landen Nachrichten im Spam-Ordner. Einer der häufigsten Gründe dafür: DKIM fehlt oder ist falsch konfiguriert. Was genau dahintersteckt, wie du einen DKIM-Record erstellst und wie du ihn testest, erfährst du hier.
Inhaltsverzeichnis
Was ist DKIM?
DKIM steht für DomainKeys Identified Mail. Es ist ein technisches Verfahren, das sicherstellt, dass eine E-Mail tatsächlich von der Domain stammt, die als Absender angegeben ist – und dass sie auf dem Weg zum Empfänger oder zur Empfängerin nicht verändert wurde.
Kurz gesagt: DKIM ist eine digitale Unterschrift für deine E-Mails.
Ohne DKIM kann ein E-Mail Provider wie Gmail oder Outlook nicht überprüfen, ob eine Nachricht von dir wirklich von dir stammt. Das macht es für Spammer leichter, E-Mails in deinem Namen zu versenden – und es erschwert Spam-Filtern, deinen legitimen Nachrichten zu vertrauen.
Gut zu wissen: DKIM ist keine optionale Zusatzfunktion mehr. Gmail, Yahoo und seit Mai 2025 auch Microsoft verlangen von allen Absendern mindestens SPF oder DKIM. Wer mehr als 5.000 E-Mails pro Tag versendet, braucht beides — plus DMARC. Die genauen Anforderungen haben wir in unserem Artikel zu den Absenderanforderungen von Gmail und Yahoo zusammengefasst.
Wie funktioniert die DKIM-Signatur?
DKIM arbeitet mit einem Schlüsselpaar – einem privaten und einem öffentlichen Schlüssel. Das Prinzip ist nicht kompliziert, wenn man es einmal durchdenkt.
Wenn du eine E-Mail sendest, signiert dein E-Mail-Dienst die Nachricht mit dem privaten Schlüssel. Diese Signatur steckt als unsichtbarer Header in der E-Mail.
Der empfangende Mail-Server sucht dann im DNS deiner Domain nach dem öffentlichen Schlüssel – das ist der DKIM-Record. Er prüft, ob die Signatur der E-Mail mit dem öffentlichen Schlüssel übereinstimmt. Passt alles, gilt die E-Mail als authentisch und unverändert. Passt es nicht, landet sie im Spam-Ordner oder wird abgelehnt.
Der ganze Vorgang läuft im Hintergrund ab, in Millisekunden, ohne dass Absender oder Empfänger:in etwas davon merken.
Was prüft DKIM genau?
DKIM prüft zwei Dinge: ob die E-Mail tatsächlich von der angegebenen Domain autorisiert wurde und ob der Inhalt nach dem Versand nicht verändert wurde. Das macht DKIM auch zu einem Schutz gegen Man-in-the-Middle-Angriffe, bei denen E-Mails auf dem Transportweg manipuliert werden.
Was DKIM nicht prüft: ob die Absenderadresse, die der Empfänger oder die Empfängerin sieht, mit der signierten Domain übereinstimmt. Dafür braucht man DMARC – dazu weiter unten mehr.
Warum ist DKIM wichtig?
Drei Gründe, die sich täglich in der Praxis auswirken.
Zustellbarkeit. Mail Provider bewerten die Reputation einer sendenden Domain danach, ob DKIM korrekt konfiguriert ist. Fehlt die Signatur, sinkt das Vertrauen – und damit die Chance, im Posteingang zu landen statt im Spam. Bei transaktionalen E-Mails wie Bestellbestätigungen oder Passwort-Resets wiegt das besonders schwer, weil Kund:innen diese Nachrichten aktiv erwarten.
Schutz vor Missbrauch. Ohne DKIM kann theoretisch jeder eine E-Mail mit deiner Domain als Absender verschicken. Das öffnet Phishing-Angriffen Tür und Tor. Wenn Kund:innen gefälschte E-Mails in deinem Namen bekommt, ist der Vertrauensbruch schwer wieder gutzumachen.
Pflicht für Massenversender. Gmail und Yahoo lehnen E-Mails ohne gültige DKIM-Authentifizierung ab, sobald du mehr als 5.000 Nachrichten pro Tag sendest. Wer das ignoriert, riskiert, dass ein Großteil seiner E-Mails gar nicht ankommt.
Für maximale Zustellbarkeit lohnt sich auch ein Blick auf die CSA-Zertifizierung – ein Standard, der korrekte DKIM-, SPF- und DMARC-Konfiguration voraussetzt.
DKIM-Record erstellen: Schritt für Schritt
Der DKIM-Record ist ein TXT-Eintrag in den DNS-Einstellungen deiner Domain. Du erstellst ihn einmal – danach läuft alles von selbst.
Schritt 1 – DKIM-Schlüsselpaar generieren
Den Schlüssel musst du in den meisten Fällen nicht selbst generieren. Dein E-Mail-Dienst übernimmt das. In Brevo findest du den DKIM-Record unter Einstellungen → Absender & IP → Domains. Brevo generiert den öffentlichen Schlüssel automatisch und zeigt dir den fertigen TXT-Eintrag an, den du nur noch kopieren musst. Mehr dazu hier.
Falls du einen Schlüssel manuell generieren musst: Nimm RSA mit 2048 Bit. 1024 Bit gilt inzwischen als zu schwach und wird von manchen Providern nicht mehr akzeptiert.
Schritt 2 – TXT-Eintrag im DNS anlegen
Geh in die DNS-Verwaltung deiner Domain beim Registrar (z. B. IONOS, Strato, Hetzner) oder deinem Hosting-Anbieter. Lege einen neuen TXT-Eintrag an:
Der Selector identifiziert den DKIM-Record. Bei Brevo ist er vorgegeben. Bei selbst generierten Schlüsseln kannst du z. B. mail, email oder s1 verwenden.
Tipp: Manche DNS-Interfaces hängen die Domain automatisch an. Dann trägst du im „Name“-Feld nur brevo._domainkey ein, nicht die volle Domain. Im Zweifel kurz in die Dokumentation deines Providers schauen – das spart die Fehlersuche.
Wer tiefer einsteigen möchte, findet in unserem Artikel zu SMTP Servern mehr zur technischen Infrastruktur hinter dem E-Mail-Versand.
Schritt 3 – Propagation abwarten
DNS-Änderungen brauchen Zeit. Neue Einträge sind oft nach 15 bis 30 Minuten aktiv, manchmal dauert es bis zu 48 Stunden. Erst danach macht ein Test Sinn.
DKIM testen: So prüfst du deine Konfiguration
Online Tools
MXToolbox (mxtoolbox.com/dkim.aspx) – du gibst Domain und Selector ein, das Tool sagt dir sofort, ob der Record da ist und korrekt aussieht.
Google Admin Toolbox (toolbox.googleapps.com/apps/checkmx/) – praktisch, wenn du SPF und DMARC gleichzeitig prüfen willst.
Test per E-Mail
Schick eine Test-E-Mail an [email protected]. Du bekommst automatisch eine Antwort mit dem vollständigen Authentifizierungsstatus – DKIM, SPF und DMARC in einem.
In Brevo direkt prüfen
Unter Einstellungen → Absender & IP → Domains zeigt Brevo den Authentifizierungsstatus deiner Domain direkt an. Grüner Haken: DKIM aktiv und korrekt. Kein Haken: Etwas stimmt noch nicht.
DKIM-Fehler: Die häufigsten Probleme und ihre Ursachen
„DKIM: none“ im Testergebnis. Der Record fehlt oder ist noch nicht propagiert. Warte 30 Minuten, teste erneut. Bleibt der Fehler: Prüfe den TXT-Eintrag auf Tippfehler im Selector oder in der Domain – das sind die häufigsten Ursachen.
„DKIM: fail“ im Testergebnis. Die Signatur stimmt nicht überein. Das klingt schlimmer, als es ist. Häufigster Grund: Ein Weiterleitungsdienst oder eine Mailing-Liste hat die E-Mail nach dem Signieren verändert. DKIM schlägt dann an, weil Header oder Body nicht mehr zum ursprünglichen Schlüssel passen. Das ist kein Fehler in deiner Konfiguration – sondern ein bekanntes Verhalten bei Weiterleitungen.
Langer Record wird vom DNS abgeschnitten. TXT-Einträge haben in manchen Systemen eine Beschränkung von 255 Zeichen pro Feld. Ein 2048-Bit-Schlüssel überschreitet das. Den Schlüssel auf mehrere TXT-Strings aufzuteilen, behebt das Problem. Die meisten modernen DNS-Interfaces machen das automatisch.
Gültiges DKIM, trotzdem Spam. DKIM allein reicht nicht. Wenn Sender-Reputation, Inhalt oder Listenqualität Probleme haben, hilft auch eine saubere Signatur nur begrenzt. Einen guten Ausgangspunkt für die Diagnose bietet unser Artikel zur E-Mail-Zustellbarkeit.
DKIM, SPF und DMARC: Was ist der Unterschied?
Die drei Protokolle tauchen immer zusammen auf – haben aber unterschiedliche Aufgaben.
SPF (Sender Policy Framework) legt fest, welche Mail Server im Namen deiner Domain E-Mails versenden dürfen. Eine Whitelist auf IP-Ebene. SPF schützt vor gefälschten Absender-IPs, aber nicht vor gefälschten „From“-Adressen im sichtbaren Bereich.
DKIM signiert die E-Mail kryptografisch und prüft, ob sie unverändert angekommen ist.
DMARC ist die übergeordnete Richtlinie, die beide zusammenbringt. Es gibt Mail Providern eine klare Anweisung: Was passiert, wenn eine E-Mail weder SPF noch DKIM besteht – ablehnen, in Quarantäne stellen oder trotzdem durchlassen? DMARC stellt außerdem sicher, dass die signierte Domain mit der sichtbaren Absenderdomain übereinstimmt.
Alle drei einzurichten dauert zusammen weniger als eine Stunde. Wer professionell E-Mails versendet, kommt daran nicht mehr vorbei.
Fazit
DKIM ist kein kompliziertes Protokoll. Es ist ein TXT-Eintrag, den du einmal anlegst – fertig. Was danach passiert, läuft automatisch. Keine Wartung, kein manuelles Zutun.
Richte DKIM zusammen mit SPF und DMARC ein. Die drei zusammen sind heute der Mindeststandard. In Brevo kannst du deine Domain-Authentifizierung direkt einrichten und den Status überwachen.







