Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung generierst du in der Google-Admin-Konsole ein DKIM-Schlüsselpaar und veröffentlichst den öffentlichen Teil als TXT-Record bei deinem Domainhost.

Voraussetzungen

  • Ein Google-Workspace-Konto mit aktiviertem Gmail und eigener Domain
  • Zugriff auf die Google-Admin-Konsole
  • Zugriff auf die DNS-Verwaltung deiner Domain (beim Domainhost)

Was ist DKIM?

DKIM (DomainKeys Identified Mail) schützt deine Domain vor Spoofing, indem ausgehende Mails signiert werden. Der Empfänger holt sich den öffentlichen Schlüssel aus deinem DNS-TXT-Eintrag und prüft damit die Signatur. Google generiert dafür ein Schlüsselpaar: den öffentlichen Schlüssel trägst du ins DNS ein, den privaten hält Google auf seinen Servern zum Signieren.

Zur Einordnung: Während SPF den Server autorisiert, sichert DKIM die Nachricht. Google verlangt von Massenversendern (über 5.000 Mails/Tag) ohnehin SPF, DKIM und DMARC.

Die Ausgangslage bei Google Workspace

Anders als bei den managed-CNAME-Providern (IONOS, Netcup) generierst du bei Google den Schlüssel selbst in der Admin-Konsole und trägst den fertigen TXT-Wert beim Domainhost ein. Der Standard-Präfixselektor ist google — für Google Workspace die empfohlene Wahl. Der DNS-Eintrag heißt damit google._domainkey.deine-domain.

Eine Wartezeit-Falle vorweg: Nach dem Aktivieren von Gmail musst du 24 bis 72 Stunden warten, bevor du den DKIM-Schlüssel überhaupt generieren kannst. Zu früh, und die Konsole meldet einen Fehler.

Schritt-für-Schritt-Anleitung

1. Schlüssel in der Admin-Konsole generieren

In der Admin-Konsole: Apps → Google Workspace → Gmail → E-Mail authentifizieren. Gib Domain, Schlüssellänge und Präfixselektor an und klicke auf Erstellen.

Schlüssellänge: Wähle 2048 Bit, wenn dein Domainanbieter das unterstützt — längere Schlüssel sind sicherer als kürzere. Nur falls dein Domainhost keine 2048-Bit-Schlüssel zulässt, nimm 1024 Bit.

Selektor: Belasse google, außer die Domain nutzt diesen Präfix schon für einen anderen Schlüssel — dann vergib ein eigenes Präfix.

2. Den TXT-Wert kopieren

Nach dem Erstellen zeigt die Seite „E-Mail authentifizieren” den Wert des TXT-Eintrags an. Kopiere ihn vollständig — es ist der lange v=DKIM1; k=rsa; p=...-String.

3. TXT-Record beim Domainhost anlegen

Lege bei deinem DNS-Anbieter einen TXT-Record an:

  • Hostname: google._domainkey (bzw. dein Selektor)
  • Wert: der kopierte v=DKIM1; ...-String

Wo genau, zeigen unsere Hoster-Anleitungen — z. B. IONOS, Strato, Hetzner DNS. Achte bei 2048-Bit-Schlüsseln auf etwaige Zeichenlimits im Eingabefeld deines Hosters (z. B. All-Inkl: 512 Zeichen).

4. DKIM in der Admin-Konsole starten

Zurück in der Konsole auf Authentifizierung starten (bzw. „Mit der Authentifizierung beginnen”). Hinweis: Bis zu 48 Stunden kann die Seite noch „Sie müssen die DNS-Einträge aktualisieren” anzeigen, obwohl alles korrekt ist — diese Meldung darfst du ignorieren, wenn du den Schlüssel richtig eingetragen hast.

5. Warten, bis die Änderung aktiv ist

DNS-Weitergabe braucht Zeit — bis zu 48 Stunden, bis der Eintrag überall sichtbar ist.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DKIM, SPF und DMARC auf einen Blick.

Häufige Fehler

Zu früh generiert. In den ersten 24–72 Stunden nach Gmail-Aktivierung lässt sich kein Schlüssel erzeugen — warte, statt den Fehler zu bekämpfen.

„DNS aktualisieren”-Meldung überinterpretiert. Bis zu 48 Stunden nach dem Speichern kann die Konsole diese Meldung trotz korrekter Einträge zeigen. Erst nach Ablauf und weiter bestehendem Problem nachforschen.

2048-Bit-Schlüssel abgeschnitten. Manche Hoster begrenzen die TXT-Feldlänge. Wird der lange Schlüssel gekürzt, schlägt die Prüfung fehl — im Zweifel den Wert exakt und vollständig einfügen.

Selector-Mismatch. Der DNS-Eintrag muss exakt <selektor>._domainkey heißen, mit dem in der Konsole gewählten Präfix.