Stand: Juli 2026

Zusammenfassung: DKIM signiert deine ausgehenden E-Mails mit einem digitalen Schlüssel, um ihre Authentizität zu garantieren. Du richtest die Signatur ein, indem du den öffentlichen Schlüssel als TXT-Record auf der passenden Selektor-Subdomain in der DNS-Verwaltung von webgo veröffentlichst.

Voraussetzungen

  • Ein Webhosting- oder E-Mail-Tarif bei webgo mit aktiver Domain
  • Zugang zum webgo Kundenportal (https://login.webgo.de) oder zum webgo Webspace-Admin
  • Ein Terminal oder der kostenlose MXAudit-Scanner zur abschließenden Prüfung

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist eine kryptografische Signaturmethode für E-Mails. Wenn dein Mailserver bei webgo eine Nachricht versendet, fügt er dem Header eine unsichtbare digitale Signatur hinzu. Der empfangende Server schlägt den öffentlichen Schlüssel im DNS deiner Domain nach und kann so eindeutig verifizieren, dass die Nachricht authentisch ist und auf dem Transportweg nicht verändert wurde.

Wie die webgo-Hilfe zur DNS-Verwaltung und den verschiedenen Record-Typen zusammenfasst: Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).

Zusammen mit SPF und DMARC sorgt DKIM dafür, dass deine Mails zuverlässig im Posteingang landen und nicht als Spam oder Phishing blockiert werden.

Die Ausgangslage bei webgo

Für den DKIM-Versand generierst oder erhältst du im webgo Webspace-Admin ein Schlüsselpaar. Der private Schlüssel bleibt sicher auf den Mailservern von webgo hinterlegt, während der öffentliche Schlüssel als TXT-Record im DNS veröffentlicht wird (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).

Der Eintrag wird dabei nicht auf der Hauptdomain platziert, sondern unter einem speziellen Subdomain-Selektor, meist nach dem Muster selektor._domainkey.

Schritt-für-Schritt-Anleitung

1. DKIM-Schlüssel abrufen

Melde dich in deinem webgo Kundenportal an und navigiere in den webgo Webspace-Admin. Öffne dort die Einstellungen für deine E-Mail-Domain bzw. die E-Mail-Sicherheit. Kopiere den dort angezeigten DKIM-Selektor (z. B. default oder webgo) und den langen öffentlichen Schlüsselwert.

2. DNS-Verwaltung bei webgo öffnen

Wechsle in die DNS-Verwaltung deiner Domain im webgo Kundenportal oder direkt im Webspace-Admin unter Domain / DNS (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).

3. TXT-Record für den DKIM-Selektor anlegen

Füge in der DNS-Tabelle einen neuen Eintrag hinzu:

  1. Wähle als Record-Typ TXT.
  2. Trage im Feld für Subdomain / Host den Selektor inklusive der Domainkey-Bezeichnung ein (z. B. default._domainkey).
  3. Füge im Textfeld den kopierten öffentlichen Schlüssel ein (z. B. beginnend mit v=DKIM1; k=rsa; p=...).
  4. Speichere den DNS-Eintrag.

Die Bestandteile des DKIM-Records

BestandteilBedeutung
Selektor (default._domainkey)Subdomain-Namespace im DNS, unter dem empfangende Server gezielt nach deinem öffentlichen Schlüssel suchen
v=DKIM1Kennzeichnet die Version des DKIM-Protokolls
k=rsaGibt den verwendeten Verschlüsselungsalgorithmus (meist RSA oder Ed25519) an
p=...Der eigentliche öffentliche Schlüssel als lange Base64-Zeichenkette

Verifikation

Prüfe nach dem Speichern in der DNS-Verwaltung sofort mit dem kostenlosen MXAudit-Scanner, ob dein neuer DKIM-Record korrekt auflöst und syntaktisch gültig ist.

Alternativ kannst du auch über das Terminal abfragen, ob der öffentliche Schlüssel bereitgestellt wird:

dig TXT default._domainkey.beispiel.de +short

Die Antwort muss den von webgo generierten Schlüsselstring (beginnend mit v=DKIM1;) ausliefern.

Häufige Fehler

  • Fehlendes ._domainkey im Selektor: Wenn du beim Anlegen des TXT-Records nur den Namen des Selektors (z. B. default) ohne die Erweiterung ._domainkey einträgst, schlägt jede Signaturprüfung beim Empfänger fehl (Der TXT-Eintrag erlaubt das Speichern von beliebigen Textinformationen. Häufig wird er verwendet, um Domains bei Diensten zu verifizieren oder das E-Mail-Verhalten zu verbessern (SPF, DKIM, DMARC).).
  • Tippfehler im Base64-Schlüssel: Bereits ein einziges fehlendes Zeichen oder ein unentdecktes Leerzeichen inmitten des p=...-Strings macht die kryptografische Signatur unbrauchbar.
  • Änderungen bei externen Nameserver: Falls deine Domain externe Nameserver (wie Cloudflare) nutzt, haben Eintragungen im webgo Kundenportal keine Wirkung. Der TXT-Record muss dann dort angelegt werden, wo die Nameserver deiner Domain verwaltet werden.