DKIM-Tags: Erforderliche und optionale Tags

DKIM ist die Abkürzung für DomainKeys Identified Mail, ein E-Mail-Authentifizierungsprotokoll, das mit Hilfe einer verschlüsselten digitalen Signatur funktioniert. Es ist auch ein ergänzendes Protokoll, das mit Ihrer DMARC-Richtlinie.

Das DKIM-Protokoll kann durch das Setzen eines Eintrags in Ihrem DNS implementiert werden, der aus einer Kombination von DKIM-Tags und den entsprechenden Werten besteht. In diesem Blog werden wir die erforderlichen, optionalen, empfohlenen und nicht empfohlenen DKIM-Signatur-Tags anhand von Beispielen ausführlich erläutern. 

Was sind DKIM-Tags?

DKIM-Tags sind Anweisungen im DKIM-Datensatz, die Details über den Absender für die digitale Signaturprüfung angeben. 

Mit einer ordnungsgemäß konfigurierten DKIM-Signatur können E-Mail-Dienstanbieter Ihre E-Mail-Nachrichten authentifizieren. Tech-Giganten wie Google und Yahoo haben dieses Protokoll für E-Mail-Versender vorgeschrieben, um Spam zu verhindern, Phishing und Spoofing.

Wie DKIM-Signatur-Tags funktionieren

Der Server des Empfängers verwendet die Daten in der Kopfzeile der E-Mail und die offiziellen Daten der Domäne DKIM Datensatz, um die Authentizität von E-Mail-Nachrichten zu überprüfen. Ein DKIM-Signatur-Header wird an die ausgehende E-Mail angehängt. Mehrere DKIM-Signatur-Tags enthalten Informationen über den Absender, so dass der Server des Empfängers weiß, wo er nachschauen muss, um eine E-Mail zu überprüfen.

Diese DKIM-Signatur-Tags sind die Informationskomponente, die bestimmte Werte anzeigt, die jeweils Details über den Inhalt der E-Mail darstellen. Alle DomainKeys haben einen privaten Schlüssel, der für die Verschlüsselung der digitalen DKIM-Signaturen verwendet wird. Außerdem verfügen sie über einen öffentlichen Schlüssel, der im DNS der Domäne veröffentlicht wird.

Wenn also E-Mails von Ihrer Domäne aus verschickt werden, muss der private Schlüssel in den E-Mails mit dem öffentlichen Schlüssel übereinstimmen. Andernfalls wird die Nachricht die Postfächer der Empfänger nicht erreichen. Dies ist ein sehr schneller Prozess, der nicht mehr als ein paar Sekunden dauert. Er funktioniert jedoch nur, wenn Sie einen DKIM-Eintrag erstellen und die richtigen DKIM-DNS-Tags hinzufügen.

Vereinfachen Sie DKIM-Tags mit PowerDMARC!

DKIM-Datensatz-Tags erklärt

DKIM-DNS-Datensatz-Tags sind einzelne Buchstaben, die als Befehle verwendet werden, gefolgt von einem Gleichheitszeichen. Alle Buchstaben haben ein DKIM-Tag, das bestimmte Werte bezeichnet, die Informationen über den Absender enthalten. Jedes DKIM-Signatur-Tag enthält Angaben über den Ort des öffentlichen Schlüssels, der zur Verschlüsselung der Nachrichten verwendet wird.

DKIM-Tag-Typen 

Sie können DKIM-Signatur-Tags in "erforderliche Tags" und "optionale Tags" einteilen, und der Wert jedes Tags ist wichtig für die Erstellung eines DKIM-Datensatzes. Es gibt einige andere DKIM-Signatur-Tags, die als "nicht erforderlich" oder "nicht empfohlen" eingestuft werden. Sie können sie je nach ihrem Nutzen oder den Anforderungen der jeweiligen Domäne festlegen. Sie benötigen die richtigen DKIM-Authentifizierungs-Tags, wenn Sie einen DKIM-Eintrag zu Ihrem DNS hinzufügen. Wir wollen diese Tags im Detail kennenlernen.

Obligatorische DKIM-Tags 

Die Required DKIM-Tags sind so wichtig für den DKIM-Signatur-Header, dass Ihre Nachricht ohne sie die Verifizierungsprüfung nicht bestehen wird. Die Mailbox des Empfängers verwirft E-Mails ohne diese Tags. 

• v= Dies ist das DKIM-Versions-Tag, das den verwendeten DKIM-Standard angibt. Sein Wert ist immer auf 1 gesetzt.
• a= Dieses DKIM-Tag gibt den kryptografischen Algorithmus an, der für die Erstellung der Signatur verwendet wird. Der verwendete Wert ist rsa-sha256. Wenn Ihr Computer eine geringere CPU-Leistung hat, können Sie rsa-sha1 verwenden. Dies wird jedoch aus Sicherheitsgründen nicht empfohlen. 
• s= Es gibt das DKIM-Selektor-Tag an, das zum Auffinden des öffentlichen Schlüssels im DNS einer Domain verwendet wird. In dieses Feld geben Sie einen Namen oder eine Zahl ein.
• d= Das DKIM-Domain-Tag zeigt die Domain an, die mit dem Selektor-Datensatz verwendet wird, um öffentliche Schlüssel zu finden. Sein Wert ist derselbe wie der vom Absender verwendete Domänenname.
• b= Das DKIM-Body-Tag wird für die Hash-Daten des Headers verwendet. Es wird normalerweise mit dem h=-Tag gepaart, um die DKIM-Signatur zu erstellen. Es ist immer in Base64 kodiert. 
• bh= Das DKIM-Body-Hash-Tag enthält den berechneten Hash-Wert von E-Mails. Sein Wert ist eine Zeichenkette, die einen durch einen Algorithmus ermittelten Hashwert angibt.
• h= Dieses Tag enthält die Kopfzeilen des Signieralgorithmus, um den Hash im b=-Tag zu erzeugen. Sein Wert kann weder entfernt noch geändert werden. 

Optionale DKIM-Tags

Neben den DKIM-Signatur-Tags gibt es mehrere optionale Tags. Das heißt, wenn Ihre DKIM-Signatur diese Tags nicht enthält, wird bei der Überprüfung kein Fehler auftreten. Experten empfehlen jedoch, sie zu verwenden, um E-Mail-Spoofing zu vermeiden. 

Spoofers weisen im Gegensatz zu echten Unternehmens-E-Mails keine Zeitwerte zu. Wenn Ihr Posteingang also falsche Zeitwerte für einen Absender feststellt, ist es wahrscheinlicher, dass er die E-Mail komplett ablehnt. 

Optionale, aber empfohlene DKIM-Tags

Es wird empfohlen, diese empfohlenen DKIM-Datensatz-Tags zu verwenden, da sie den Server des Empfängers beim Überprüfungsprozess unterstützen. 

• g= Er dient als Granularität Ihres öffentlichen Schlüssels und sein Wert ist der gleiche wie der lokale Teil des i=Tags. Sie können auch ein Sternchen (*) als Platzhalter eingeben. Dieses DKIM-Tag blockiert die Signieradressen für die Verwendung der Selektoreinträge. Jede E-Mail mit einer Signieradresse, die nicht mit diesem Tag übereinstimmt, wird nicht überprüft. 
• h= Es bezeichnet einen akzeptablen Hash-Algorithmus und hat bestimmte Werte, die auf "sha1" und "sha256" eingestellt sind. Unterzeichner und Prüfer benötigen diese.
• k= Das ist der Schlüsseltyp. Der Standardwert ist auf "rsa" eingestellt, was von Unterzeichnern und Prüfern unterstützt werden sollte.
• n= Administratoren verwenden dieses Tag, um von Menschen lesbare Notizen hinzuzufügen.
• t= Dies ist eine wichtige Kennzeichnung, da sie als Zeitstempel für die Signatur dient und den Zeitpunkt des Versands der E-Mail angibt. Das Format dieses Tags ist in nummerierten Sekunden ab 00:00:00 am 1. Januar 1970 (UTC).
• x= Diese Markierung gibt das Verfallsdatum der Signatur an. Es ergänzt das t=-Tag, indem es ein Lieferdatum zuweist. 
• t=y Sie wird verwendet, um eine Domaintestsignatur anzugeben, und wird von Absendern verwendet, wenn DKIM zum ersten Mal eingestellt wird. Es wird empfohlen, da einige Mailbox-Anbieter DKIM-Signaturen im Testmodus übersehen. Sie müssen das Tag vor der vollständigen Bereitstellung entfernen.
• t=s ist der Ersatz für das t=y-Tag. Es besagt, dass jede DKIM-Signatur, die das i=-Tag verwendet, denselben Domänenwert haben muss wie die primäre Domäne.

Nicht erforderlich

Sie brauchen diese DKIM-Signatur-Tags nicht, wenn Sie zum ersten Mal einen DKIM-Header erstellen. Sie machen Ihre DKIM-Signatur eher technisch und komplex. 

• c= ist ein DKIM-Datensatz-Tag, das als Kanonisierungsalgorithmus fungiert und die Änderungsstufen einer E-Mail während des Transports zu einem anderen Postfachanbieter beschreibt. Es wird verwendet, um geringfügige Änderungen an E-Mails während der Übertragung zu vermeiden. Dies kann sonst zu einer fehlgeschlagenen Überprüfung führen. Zu den Änderungen gehören Leerzeichen oder Zeilenumbrüche.

Sein Wert wird entweder auf Wert1 oder Wert2 gesetzt. Wert1 ist für die Kopfzeile gedacht, während Wert2 für den Nachrichtentext gilt. Diese können auf "einfach" oder "entspannt" gesetzt werden, um die Toleranz gegenüber Änderungen in der E-Mail festzulegen. 

• i= steht für die Identität des Nutzers oder Agenten. Sein Wert ist die E-Mail-Adresse mit einer Domäne und Subdomäne zu Ihrer Website, die die gleiche ist wie das d=-Tag.

Nicht empfohlen

Diese DKIM-DNS-Tags sind nicht für jeden DKIM-Header erforderlich. Sie werden nur verwendet, wenn Sie eine der unten genannten Spezifikationen kontrollieren müssen;

• l= Das DKIM-Längen-Tag ermöglicht die teilweise Signierung des Nachrichtentextes, angegeben durch die Anzahl der zu signierenden Bits. Dieses Tag wird nicht empfohlen, da es Ihre Nachricht anfällig für Manipulationen macht. 
• z= Er enthält die ursprünglichen Kopfzeilen von Nachrichten und wird von Mailbox-Anbietern verwendet, um Fehler bei der Diagnoseüberprüfung zu beheben.

Letzte Erkenntnisse

Die Implementierung und Verwaltung Ihres DKIM-Protokolls kann Fachwissen, Zeit und Aufwand erfordern, die oft weit über Ihre Bandbreite hinausgehen. Aus diesem Grund entscheiden sich Unternehmen für unsere gehostete DKIM-Lösung. Wir helfen bei der Erstellung von DKIM-Datensätzen, richten Ihre DKIM-Signatur-Tags ein und verwalten Ihre DKIM-Selektoren und -Schlüssel auf einer einzigen Plattform! 

Darüber hinaus bieten wir fachkundige Unterstützung bei der Konfiguration von ergänzenden Protokollen wie DMARC und SPF um Ihre Verteidigung gegen E-Mail-basierte Angriffe zu stärken.

Um mehr zu erfahren und eine maßgeschneiderte Domain-Sicherheitsstrategie für Unternehmen zu erhalten, die sich bewährt hat, um Ihre Zustellbarkeit zu verbessern - kontaktieren Sie uns noch heute!

• Über
• Neueste Beiträge

Ahona Rudra

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Ahona ist Marketing-Managerin bei PowerDMARC und verfügt über mehr als 5 Jahre Erfahrung im Schreiben über Cybersicherheitsthemen, insbesondere im Bereich Domain- und E-Mail-Sicherheit. Ahona hat einen Postgraduierten-Abschluss in Journalismus und Kommunikation und ist seit 2019 in der Sicherheitsbranche tätig.

Neueste Beiträge von Ahona Rudra (alle anzeigen)

• Was ist DANE? DNS-basierte Authentifizierung benannter Entitäten erklärt (2026) – 20. April 2026
• VPN-Sicherheit für Einsteiger: Bewährte Methoden zum Schutz Ihrer Privatsphäre – 14. April 2026
• MXtoolbox-Testbericht: Funktionen, Nutzererfahrungen, Vor- und Nachteile (2026) – 14. April 2026