E-Mails gehören zum Alltag – egal ob du Rechnungen verschickst, einen Newsletter versendest oder Supportanfragen beantwortest. Doch genau hier liegt das Problem: E-Mails lassen sich leicht fälschen. Für Empfänger ist oft nicht erkennbar, ob eine Nachricht wirklich von dir stammt – oder von jemandem, der sich als dich ausgibt.
Gerade für Selbstständige, Agenturen und kleinere Unternehmen kann das unangenehme Folgen haben: Verlorenes Vertrauen bei Kund:innen, Supportaufwand oder sogar rechtliche Probleme. Die gute Nachricht: Du kannst dich mit technischen Mitteln wie DKIM, SPF und DMARC gut schützen – und diesen Schutz Schritt für Schritt selbst umsetzen. In diesem Artikel erfährst du, wie das geht.
Inhaltsverzeichnis
- Was ist DKIM? – Die digitale Unterschrift für deine E-Mails
- Wie funktioniert DKIM?
- Warum ist DKIM wichtig?
- DKIM ist bei checkdomain standardmäßig aktiviert
- SPF, DKIM und DMARC: Das E-Mail-Sicherheits-Trio
- Neu seit 2024: Verschärfte Anforderungen von Google & Yahoo
- DKIM 2.0 – Die Weiterentwicklung im Überblick
- Erweiterung: BIMI und ARC für mehr Vertrauen und Transparenz
- Risiken bei falscher oder fehlender Implementierung
- Fazit: Deine Domain als vertrauenswürdiger Absender
Was ist DKIM? – Die digitale Unterschrift für deine E-Mails
DKIM steht für „DomainKeys Identified Mail“ und ist ein Verfahren, das E-Mails mit einer Art digitaler Unterschrift versieht. Diese Signatur wird beim Versand der E-Mail erzeugt und hilft dem empfangenden Mailserver zu prüfen, ob die Nachricht wirklich von deiner Domain stammt – und ob sie unterwegs nicht manipuliert wurde. Technisch gesehen basiert DKIM auf einem Schlüsselpaar: Du hinterlegst einen öffentlichen Schlüssel in den DNS-Einstellungen deiner Domain. Dein Mailserver nutzt den privaten Schlüssel, um jede ausgehende Mail zu signieren.
Das klingt erstmal kompliziert, läuft aber im Hintergrund ab. Wenn du zum Beispiel ein Newsletter-Tool oder ein professionelles Mail-System nutzt, kümmern sich die meisten Anbieter automatisch um den Signaturprozess. Wichtig ist nur: Die DNS-Einträge deiner Domain müssen korrekt gesetzt sein – sonst bleibt die Authentifizierung wirkungslos. Für deine Empfänger ist das Ergebnis transparent: E-Mail-Programme wie Gmail oder Outlook bewerten Nachrichten mit gültiger DKIM-Signatur als vertrauenswürdiger – und sortieren sie seltener in den Spam-Ordner.
Wie funktioniert DKIM?
Wenn du eine E-Mail mit DKIM versendest, erstellt dein Mailserver im Hintergrund eine Signatur auf Basis des Inhalts der Nachricht (z. B. Betreff, Absender, Nachrichtentext). Diese Signatur wird im E-Mail-Header hinterlegt. Der Empfänger-Mailserver kann dann mithilfe des öffentlichen Schlüssels – den du als DNS-Eintrag deiner Domain bereitstellst – überprüfen, ob die E-Mail tatsächlich vom angegebenen Server stammt und unterwegs nicht verändert wurde. Ist die Signatur gültig, gilt die Nachricht als authentisch. Ist sie ungültig oder fehlt, steigt die Wahrscheinlichkeit, dass sie als Spam eingestuft wird oder gar nicht ankommt.
Warum ist DKIM wichtig?
Wenn du regelmäßig E-Mails an deine Kund:innen schickst – sei es als Rechnung, Projektangebot oder Info-Mail –, willst du sicherstellen, dass diese auch ankommen und ernst genommen werden. Ohne DKIM kann ein Dritter relativ einfach deine Domain vortäuschen („Spoofing“) und in deinem Namen betrügerische Nachrichten verschicken. Das kann deinem Ruf massiv schaden.
Mit DKIM schaffst du Vertrauen. Du signalisierst Mailservern weltweit: „Diese Nachricht stammt wirklich von meiner Domain – hier ist der Beweis.“ Die meisten großen E-Mail-Anbieter wie Google, Microsoft oder Apple bewerten fehlende DKIM-Signaturen mittlerweile negativ. Wenn du also auf eine gute Zustellrate und ein professionelles Auftreten angewiesen bist, führt an DKIM kein Weg vorbei.
DKIM ist bei checkdomain standardmäßig aktiviert
Wir haben DKIM bei allen Webhosting-Tarifen sowohl für den eingehenden als auch den ausgehenden Mailverkehr aktiviert. Ausgenommen sind lediglich Domains, die extern verwaltet werden. Du musst dich als checkdomain-Kunde daher nicht darum kümmern und weder mit Schlüsseln noch mit DNS-Einträgen hantieren. #echterservice 😊
SPF, DKIM und DMARC: Das E-Mail-Sicherheits-Trio
DKIM allein ist ein wichtiger Baustein, aber erst im Zusammenspiel mit SPF und DMARC wird dein Schutz richtig robust. SPF (Sender Policy Framework) funktioniert ganz anders als DKIM: Es prüft, ob der Mailserver, der deine Nachricht versendet, auch autorisiert ist, in deinem Namen E-Mails zu verschicken. Dafür legst du ebenfalls einen DNS-Eintrag an, in dem du die erlaubten IP-Adressen oder Server angibst. Wenn jemand versucht, über einen anderen Server E-Mails mit deiner Domain zu senden, fällt das sofort auf – und die Nachricht wird möglicherweise abgewiesen.
DMARC (Domain-based Message Authentication, Reporting & Conformance) ist die übergeordnete Instanz. Es verbindet SPF und DKIM, definiert klare Regeln für den Umgang mit nicht authentifizierten E-Mails und ermöglicht dir, Reports über missbräuchliche Nutzungen deiner Domain zu erhalten. Über DMARC kannst du beispielsweise festlegen, dass E-Mails, die weder DKIM noch SPF bestehen, automatisch abgelehnt oder markiert werden. Das gibt dir Kontrolle und Transparenz – besonders nützlich, wenn deine Domain ins Visier von Betrügern gerät.
| Verfahren | Aufgabe | Typische Anwendung |
|---|---|---|
| SPF | Prüft Absender-Server | Ist dieser Server autorisiert? |
| DKIM | Prüft Nachricht | Wurde sie unterwegs verändert? |
| DMARC | Legt Regeln fest | Was passiert bei Fehlern? |
Neu seit 2024: Verschärfte Anforderungen von Google & Yahoo
Seit Februar 2024 haben Google und Yahoo neue Regeln für den Versand von E-Mails eingeführt – besonders für alle, die regelmäßig an größere Verteilerlisten senden. Ziel ist es, Empfänger:innen besser vor Spam, Phishing und Identitätsdiebstahl zu schützen. Die neuen Anforderungen betreffen vor allem Unternehmen, Newsletter-Versender und Dienstleister, die über ihre Domains mehr als 5.000 E-Mails pro Tag verschicken. Aber auch kleinere Absender profitieren davon, diese Standards einzuhalten.
Was genau wird verlangt? Absender müssen zwingend SPF, DKIM und DMARC korrekt implementieren – also alle drei Verfahren. Außerdem muss für jede versendete Mail eine gültige DKIM-Signatur vorhanden sein, und die Absenderadresse muss auf eine echte Domain zurückzuführen sein (z. B. keine *@gmail.com-Adresse über Drittsysteme). Zusätzlich sollen Empfänger die Möglichkeit haben, sich mit einem einzigen Klick vom Verteiler abzumelden („One-Click Unsubscribe“). Wer diese Anforderungen nicht erfüllt, riskiert, dass seine E-Mails blockiert oder als Spam markiert werden – selbst wenn sie eigentlich sauber und legitim sind.
DKIM 2.0 – Die Weiterentwicklung im Überblick
Auch DKIM bleibt nicht stehen: Mit „DKIM 2.0“ wird aktuell an einer Weiterentwicklung gearbeitet, die einige Schwächen der bisherigen Version adressiert. Ein zentrales Problem bei klassischem DKIM: Die Signatur kann bei Weiterleitungen oder automatischen Veränderungen im E-Mail-Text (etwa durch Newsletter-Formate oder automatische Fußzeilen) ungültig werden. DKIM 2.0 soll hier robuster werden und eine bessere Handhabung bei veränderten Nachrichten bieten. Zudem wird an einer moderneren Schlüsselverwaltung gearbeitet, die eine sichere und automatisierte Verwaltung der Signaturen erleichtert.
Noch ist DKIM 2.0 nicht flächendeckend im Einsatz – viele Mailserver und Provider warten auf standardisierte Umsetzungen und offizielle Empfehlungen. Dennoch lohnt es sich, den Fortschritt im Auge zu behalten. Wenn du auf einen professionellen Maildienstleister setzt, ist die Chance groß, dass dieser die neue Version automatisch einführt, sobald sie stabil und kompatibel ist. Für dich bedeutet das: weniger technischer Aufwand bei mehr Sicherheit und Zustellbarkeit.
Erweiterung: BIMI und ARC für mehr Vertrauen und Transparenz
Neben SPF, DKIM und DMARC gibt es zwei weitere Standards, die dir helfen können, das Vertrauen in deine E-Mails weiter zu stärken: BIMI und ARC. Beginnen wir mit BIMI – das steht für Brand Indicators for Message Identification. Mit BIMI kannst du dein Firmenlogo direkt im Posteingang anzeigen lassen – z. B. bei Gmail oder Apple Mail. Der Empfänger sieht sofort: Diese Mail stammt von deiner Marke. Damit BIMI funktioniert, brauchst du zwingend eine gültige DMARC-Policy sowie ein sogenanntes VMC-Zertifikat (Verified Mark Certificate), das deine Markenrechte bestätigt.
Gerade für kleinere Unternehmen oder Agenturen lohnt sich BIMI, wenn du regelmäßig E-Mails an Kund:innen sendest und dabei sichtbar und professionell auftreten möchtest. Ein erkennbares Logo stärkt nicht nur das Vertrauen, sondern auch deine Markenpräsenz im Posteingang – besonders bei viel Konkurrenz oder automatisiertem Mail-Empfang (z. B. Angebotsanfragen oder Support-Tickets).
Ein zweiter, etwas technischerer Standard ist ARC – kurz für Authenticated Received Chain. ARC wurde entwickelt, um die Authentizität von E-Mails auch dann sicherzustellen, wenn sie über mehrere Stationen weitergeleitet werden (z. B. über Mailinglisten oder automatische Weiterleitungen). Normalerweise gehen dabei SPF- und DKIM-Prüfungen verloren. ARC protokolliert daher die Authentifizierungsinformationen jeder Station in einer „Kette“. So kann der empfangende Server später nachvollziehen, ob die Mail ursprünglich vertrauenswürdig war – selbst wenn SPF oder DKIM bei der finalen Zustellung nicht mehr gültig sind. Gerade für Technikaffine oder Agenturen mit komplexeren Mailflows kann ARC sinnvoll sein, um Probleme mit der Zustellbarkeit in den Griff zu bekommen.
Risiken bei falscher oder fehlender Implementierung
Auch wenn SPF, DKIM und DMARC sehr mächtig sind – sie funktionieren nur dann zuverlässig, wenn du sie korrekt einrichtest. Ein häufiger Fehler: DKIM ist zwar aktiviert, aber der entsprechende DNS-Eintrag fehlt oder enthält den falschen öffentlichen Schlüssel. In diesem Fall kann dein Mailserver keine gültige Signatur erzeugen, und empfangende Server stufen deine Nachrichten womöglich als verdächtig ein. Ebenso kritisch: Wenn deine DMARC-Policy zu streng eingestellt ist, ohne dass SPF und DKIM sauber greifen, riskierst du, dass legitime Mails abgewiesen werden – etwa Rechnungen oder Support-Mails, die du über ein Tool versendest.
Ein weiteres Problem ist die Vernachlässigung der Schlüsselpflege. DKIM-Schlüssel sollten regelmäßig erneuert werden, vor allem wenn du mehrere Mailserver oder externe Anbieter nutzt. Veraltete oder kompromittierte Schlüssel können die Sicherheit deines Systems untergraben. Auch Änderungen an deinem Hosting oder DNS-Anbieter können dazu führen, dass Einträge verloren gehen oder nicht mehr korrekt greifen. All das wirkt sich direkt auf deine Zustellrate aus – und damit auf die Wirkung deiner Kommunikation.
Fazit: Deine Domain als vertrauenswürdiger Absender
E-Mail-Sicherheit ist kein Thema, das du auf die lange Bank schieben solltest – besonders nicht, wenn du regelmäßig mit Kund:innen oder Partnern kommunizierst. Denn auch wenn du selbst nie Spam versenden würdest, kann deine Domain ohne Schutzmechanismen wie DKIM, SPF und DMARC leicht für genau diesen Zweck missbraucht werden. Die Folge: Deine Mails landen im Spam, dein Ruf leidet – und du verlierst im schlimmsten Fall das Vertrauen deiner Zielgruppe.
Die gute Nachricht: Du brauchst keine eigene IT-Abteilung, um deine Domain zuverlässig abzusichern. Mit ein paar gezielten DNS-Einträgen, etwas technischer Sorgfalt und den richtigen Tools kannst du SPF, DKIM und DMARC schnell und nachhaltig einrichten. Wenn du zusätzlich auf Entwicklungen wie BIMI oder ARC achtest und regelmäßig prüfst, ob alles korrekt funktioniert, bist du auf der sicheren Seite.
Unser Tipp: Mach die E-Mail-Sicherheit zu einem festen Bestandteil deiner Webstrategie. So schützt du nicht nur dich selbst – sondern trägst auch dazu bei, dass das E-Mail-System als Ganzes verlässlicher wird.
WhatsApp
