Zum Hauptinhalt springen

Neu

Testen Sie die Zustellbarkeit Ihrer E-Mails

Senden Sie eine Test-E-Mail und erhalten Sie in wenigen Sekunden eine vollständige Diagnose Ihrer SPF-, DKIM- und DMARC-Authentifizierung.

  • Echter Versandtest
  • Sofortige Diagnose
  • Ohne Registrierung
Test starten

Kostenloser DKIM Generator

Erstelle ein DKIM-Schlüsselpaar (RSA oder Ed25519) mit wenigen Klicks

Kostenloser DKIM Generator mit Unterstützung für RSA (2048/4096 Bit) und Ed25519. Erhalte sofort deinen privaten Schlüssel und den zu veröffentlichenden DNS-TXT-Eintrag. Der private Schlüssel wird nur einmal generiert und niemals auf unseren Servern gespeichert.

Die Domain, für die der DKIM-Schlüssel generiert werden soll

Eindeutiger Bezeichner für diesen Schlüssel (z.B. default, google, s1)

RSA und Ed25519

Unterstützung der Algorithmen RSA (1024/2048/4096 Bit) und Ed25519. RSA 2048 Bit wird für maximale Kompatibilität mit allen Mailservern empfohlen.

Sicherer privater Schlüssel

Der private Schlüssel wird serverseitig generiert und nur einmal übertragen. Er wird niemals gespeichert oder protokolliert. Lade ihn sofort im PEM-Format herunter.

DNS-Validierung

Automatische Überprüfung der Record-Länge. Warnung, wenn der Record 255 Zeichen überschreitet (DNS-TXT-Limit) bei RSA 4096 Bit.

Ein-Klick-Kopie

Kopiere den DNS-TXT-Eintrag direkt oder lade den privaten Schlüssel im PEM-Format herunter. Bereit für die Konfiguration deines Mailservers.

Provider-Anleitungen

Bereitstellungsanleitungen für Google Workspace, Microsoft 365 und eigene Mailserver (Postfix mit OpenDKIM).

Was ist DKIM?

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsmechanismus, der in RFC 6376 definiert ist. Er ermöglicht die kryptografische Signierung ausgehender E-Mails, um deren Herkunft und Integrität nachzuweisen.

Warum DKIM konfigurieren:

  • E-Mails authentifizieren — Beweise, dass die E-Mail wirklich von deiner Domain stammt
  • Schutz vor Fälschung — Die Signatur erkennt jede Änderung am Inhalt
  • Bessere Zustellbarkeit — DKIM-signierte E-Mails werden von Gmail, Outlook, Yahoo besser akzeptiert
  • Voraussetzung für DMARC — DKIM ist einer der beiden Pfeiler der DMARC-Authentifizierung (neben SPF)

Wie funktioniert DKIM?

DKIM verwendet asymmetrische Kryptografie (öffentlicher/privater Schlüssel):

  1. Signierung beim Versand: Dein Mailserver berechnet einen Hash der Nachricht und signiert ihn mit dem privaten Schlüssel
  2. DNS-Veröffentlichung: Der öffentliche Schlüssel wird in einem TXT-Eintrag unter selector._domainkey.domain.com veröffentlicht
  3. Verifizierung beim Empfang: Der empfangende Server ruft den öffentlichen Schlüssel per DNS ab und überprüft die Signatur
Versand:  Nachricht → Hash → Signatur (privater Schlüssel) → DKIM-Signature Header
Empfang: Header → öffentlicher Schlüssel (DNS) → Signaturprüfung → Pass/Fail

Syntax eines DKIM-Eintrags

Ein DKIM-Eintrag ist ein DNS-TXT-Eintrag, der unter <selector>._domainkey.<domain> veröffentlicht wird:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

DKIM-Tags

TagBeschreibungErforderlichWerte
vVersionEmpfohlenDKIM1
kSchlüsseltypNein (Standard: rsa)rsa, ed25519
pÖffentlicher SchlüsselJaBase64 DER
hHash-AlgorithmenNeinsha256, sha1
tFlagsNeiny (Test), s (Strikt)
sService-TypenNeinemail, *
nNotizenNeinFreitext

Beispiel-Records

RSA 2048 Bit (empfohlen):

default._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

Ed25519:

default._domainkey.captaindns.com TXT "v=DKIM1; k=ed25519; p=MCowBQYDK2Vw..."

RSA vs Ed25519: Welchen Algorithmus wählen?

KriteriumRSA 2048RSA 4096Ed25519
SicherheitGutAusgezeichnetAusgezeichnet
UnterstützungUniversellUniversellTeilweise (~80%)
Record-Länge~400 Zeichen~800 Zeichen~90 Zeichen
PerformanceGutLangsamSehr schnell
EmpfehlungProduktionSensibelFortgeschritten

Empfehlungen

  • RSA 2048 Bit: Aktueller Standard, maximale Kompatibilität. Wähle diese Option standardmäßig.
  • RSA 4096 Bit: Für sehr sensible Umgebungen. Achte auf DNS-Einschränkungen.
  • Ed25519: Für fortgeschrittene Konfigurationen. Erwäge einen doppelten Selektor (RSA + Ed25519).
  • RSA 1024 Bit: Veraltet seit 2020. Nicht verwenden.

Schlüssellängen und DNS-Limits

Das 255-Zeichen-Limit

DNS-TXT-Einträge sind auf 255 Zeichen pro String begrenzt. Hier die Auswirkungen nach Algorithmus:

AlgorithmusRecord-LängeDNS-kompatibel
Ed25519~90 Zeichen✅ Immer
RSA 1024~230 Zeichen✅ Immer
RSA 2048~400 Zeichen⚠️ Automatische Aufteilung
RSA 4096~800 Zeichen⚠️ Provider prüfen

Wie Provider lange Records handhaben

Die meisten DNS-Provider (Cloudflare, AWS Route 53, Google Cloud DNS) teilen lange Records automatisch in mehrere Strings auf. Das DNS-Protokoll verkettet sie beim Abrufen.

Wenn dein Provider lange Records nicht unterstützt, bevorzuge RSA 2048 Bit oder Ed25519.

Konkrete Anwendungsfälle

Neue Domain: Erste DKIM-Konfiguration

Kontext: Du konfigurierst einen neuen Mailserver (Postfix, etc.)

Lösung:

  1. Generiere einen RSA 2048 Bit-Schlüssel mit dem Selektor default
  2. Lade den privaten Schlüssel herunter und konfiguriere OpenDKIM
  3. Veröffentliche den TXT-Eintrag in deiner DNS-Zone
  4. Überprüfe mit dem DKIM Checker

DKIM-Schlüsselrotation

Kontext: Dein DKIM-Schlüssel ist älter als 12 Monate oder wurde kompromittiert

Lösung:

  1. Generiere einen neuen Schlüssel mit einem neuen Selektor (z.B. s2, 202602)
  2. Konfiguriere den neuen Schlüssel in deinem Mailserver
  3. Veröffentliche den neuen DNS-Eintrag
  4. Warte 24-48 Stunden auf die DNS-Propagation
  5. Lösche den alten Eintrag

Doppelter Selektor: RSA + Ed25519

Kontext: Du möchtest Ed25519 nutzen und gleichzeitig RSA-Kompatibilität behalten

Lösung:

  1. Generiere einen RSA 2048-Schlüssel mit dem Selektor rsa
  2. Generiere einen Ed25519-Schlüssel mit dem Selektor ed
  3. Konfiguriere deinen Server für die Signierung mit beiden Schlüsseln
  4. Moderne Server verifizieren Ed25519, ältere nutzen RSA

DKIM-Flags: Test- und Strikt-Modus

Flag t=y (Testmodus)

Aktiviert den DKIM-Testmodus. Verifizierungsfehler werden als neutral behandelt (weder Pass noch Fail).

Anwendung: Teste deine Konfiguration ohne Risiko von Ablehnungen. Entferne das Flag nach erfolgreicher Validierung.

Flag t=s (Strikter Modus)

Erfordert striktes Alignment zwischen der DKIM-Signatur-Domain und der From-Domain. Standardmäßig erlaubt das relaxte Alignment Subdomains.

Anwendung: Verstärke die Sicherheit in der Produktion. Stelle sicher, dass alle deine E-Mails von der exakten Domain signiert werden.

FAQ - Häufig gestellte Fragen

F: Wie generiere ich einen DKIM-Schlüssel für meine Domain?

A: Nutze unseren Generator: Gib deine Domain und einen Selektor ein, wähle RSA 2048 Bit, klicke auf Generieren. Lade den privaten Schlüssel herunter und veröffentliche den TXT-Eintrag in deinem DNS.

F: Was ist der Unterschied zwischen RSA und Ed25519?

A: RSA wird von allen Servern unterstützt. Ed25519 ist moderner mit kürzeren Schlüsseln, aber die Unterstützung ist nicht universell (~80%). Empfehlung: RSA 2048 Bit für die Produktion.

F: Welche RSA-Schlüssellänge sollte ich wählen?

A: RSA 2048 Bit ist der Standard. RSA 1024 ist veraltet. RSA 4096 bietet mehr Sicherheit, erzeugt aber sehr lange Records.

F: Was ist ein DKIM-Selektor?

A: Ein Bezeichner, der mehrere DKIM-Schlüssel ermöglicht. Beispiele: default, google, s1. Der Eintrag wird unter selector._domainkey.domain.com veröffentlicht.

F: Wird der private Schlüssel gespeichert?

A: Nein. Er wird einmal generiert, übertragen und dann gelöscht. Lade ihn sofort herunter.

F: Warum überschreitet mein Record 255 Zeichen?

A: RSA 4096 erzeugt Records mit über 800 Zeichen. Die meisten Provider teilen automatisch auf. Andernfalls empfehlen wir RSA 2048 oder Ed25519.

F: Wie konfiguriere ich DKIM mit Google Workspace?

A: Google generiert eigene Schlüssel. Admin-Konsole > Gmail > E-Mail authentifizieren > Neuen Eintrag generieren. Unser Tool ist für eigene Server gedacht.

Ergänzende Tools

ToolNutzen
DKIM Record CheckÜberprüfe, ob dein DKIM veröffentlicht und gültig ist
DKIM Syntax CheckValidiere die Syntax eines DKIM-Records
SPF GeneratorErstelle deinen SPF-Eintrag
DMARC GeneratorKonfiguriere DMARC zur Vervollständigung der Authentifizierung
Mail TesterTeste die Zustellbarkeit deiner E-Mails

Nützliche Ressourcen