Stand: Juli 2026
Zusammenfassung: Ein DKIM-Schlüsseleintrag ist ein TXT-Record im DNS, der den öffentlichen Schlüssel für die Signaturprüfung veröffentlicht. Er besteht aus einzelnen Parameter-Tags wie
v=,k=,p=,s=undt=, die das Verhalten der Überprüfung steuern.
Damit empfangende E-Mail-Server eine DKIM-Signatur (DomainKeys Identified Mail) prüfen können, muss die signierende Domain ihren öffentlichen Schlüssel im DNS bereitstellen. Dieser Eintrag liegt als TXT-Record unter der Subdomain <selektor>._domainkey.<domain> und besteht aus einer durch Semikolons getrennten Liste von Schlüssel-Wert-Paaren (Tags).
Ein typischer DKIM-Record sieht wie folgt aus:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Die wichtigsten Tags im Überblick
Laut RFC 6376 definiert jeder Tag eine spezifische Eigenschaft des Schlüssels. Hier sind die offiziellen Vorgaben:
Der Version-Tag (v=)
Der Tag v= gibt die Version des DKIM-Schlüsseleintrags an (Version of the DKIM key record (plain-text; RECOMMENDED, default is "DKIM1")).
Wenn dieser Tag angegeben wird, muss er zwingend den Wert DKIM1 tragen und am Anfang stehen. Laut RFC 6376 gilt: „If specified, this tag MUST be set to "DKIM1" (without the quotes). This tag MUST be the first tag in the record. Records beginning with a "v=" tag with any other value MUST be discarded.”
Der Schlüsseltyp-Tag (k=)
Der Tag k= bestimmt den verwendeten kryptografischen Algorithmus (Key type (plain-text; OPTIONAL, default is "rsa")).
Wenn du den Tag weglässt, geht der empfangende Server automatisch vom Standard rsa aus. Der Standard legt fest, dass alle Systeme diesen Typ unterstützen müssen (Signers and Verifiers MUST support the "rsa" key type.).
Der Public-Key-Tag (p=)
Der Tag p= enthält die eigentlichen Base64-codierten Daten des öffentlichen Schlüssels (Public-key data (base64; REQUIRED)).
Eine Besonderheit ist der Widerruf eines Schlüssels: Wenn du den Tag mit einem leeren Wert veröffentlichst (An empty value means that this public key has been revoked.), signalisierst du allen Mailservern, dass dieser Schlüssel ungültig ist und nicht mehr für die Prüfung herangezogen werden darf. Ein widerrufener Schlüssel sieht im DNS so aus:
v=DKIM1; p=
Der Service-Type-Tag (s=)
Mit dem optionalen Tag s= kannst du den Einsatzbereich des Schlüssels eingrenzen (Service Type (plain-text; OPTIONAL; default is "*")). Er enthält eine durch Doppelpunkte getrennte Liste von Diensttypen, für die der Record gültig ist. Wenn du einen Schlüssel ausschließlich für E-Mails zulassen möchtest, setzt du s=email:
v=DKIM1; k=rsa; s=email; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Der Flags-Tag (t=)
Der Tag t= transportiert zusätzliche Steuer-Flags (Flags, represented as a colon-separated list of names (plain-text; OPTIONAL, default is no flags set)). Unbekannte Flags müssen von Prüfservern ignoriert werden (Unrecognized flags MUST be ignored.).
Besonders wichtig bei der Neueinrichtung ist das Test-Flag y. Es teilt dem Empfänger mit, dass sich die Domain in einer Testphase befindet (y This domain is testing DKIM. Verifiers MUST NOT treat messages from Signers in testing mode differently from unsigned email, even should the signature fail to verify.). Ein Eintrag im Testmodus sieht so aus:
v=DKIM1; k=rsa; t=y; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Konfiguration prüfen
Um sicherzustellen, dass deine Tags korrekt formatiert sind und der Base64-Schlüssel fehlerfrei ausgelesen werden kann, solltest du deinen TXT-Record mit dem kostenlosen MXAudit-Scanner testen. Er zeigt dir sofort an, ob Syntaxfehler vorliegen oder ob dein Schlüssel versehentlich als widerrufen markiert ist.
Weitere Praxis-Tipps zur Schlüsselverwaltung findest du in der DKIM-Übersicht und in Anleitungen wie DKIM bei IONOS einrichten.
Weiterführende Links
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (abgerufen: 16. Juli 2026)