Methodik & Funktionsweise
Was wird geprueft?
Generiert ein DKIM-Schlüsselpaar (RSA) für die E-Mail-Authentifizierung einer Domain.
Wie funktioniert es?
Im Browser wird über die Web Crypto API ein RSA-Schlüsselpaar erzeugt. Der öffentliche Schlüssel wird als DNS-TXT-Record im DKIM-Format ausgegeben, der private Schlüssel im PEM-Format zum Download angeboten.
Beispiel-Ergebnis
Domain: example.com, Selektor: default → DNS: default._domainkey.example.com TXT "v=DKIM1; k=rsa; p=MIIBIjAN..." + Private Key als .pem Download
Hinweise
Die Schlüssel werden ausschließlich im Browser generiert – es werden keine Daten an den Server übertragen.
Was ist DKIM?
DKIM (DomainKeys Identified Mail) ist ein Verfahren zur E-Mail-Authentifizierung, bei dem ausgehende E-Mails mit einer kryptographischen Signatur versehen werden. Der sendende Mailserver signiert den E-Mail-Header und -Body mit einem privaten Schlüssel. Der dazugehörige öffentliche Schlüssel wird als DNS-TXT-Record unter [selektor]._domainkey.[domain] veröffentlicht. Empfangende Mailserver können die Signatur prüfen und so verifizieren, dass die E-Mail tatsächlich vom angegebenen Absender stammt und unterwegs nicht verändert wurde. DKIM ist ein wichtiger Baustein der E-Mail-Sicherheit und Voraussetzung für eine wirksame DMARC-Policy.
DKIM-Konfiguration Tipps
- 1Verwenden Sie RSA-Schlüssel mit mindestens 2048 Bit Länge.
- 2Wählen Sie einen sprechenden Selektor-Namen (z.B. "mail2024" statt "default").
- 3Rotieren Sie DKIM-Schlüssel regelmäßig (mindestens jährlich).
- 4Der private Schlüssel darf niemals öffentlich zugänglich sein.
- 5Testen Sie die DKIM-Konfiguration mit dem DKIM Validator nach der Einrichtung.