Inhalt des Artikels
- Google Workspace DKIM hilft, ausgehende E-Mails mit einer kryptografischen Signatur zu verifizieren, was eine stärkere E-Mail-Authentifizierung, Domain-Vertrauen und eine bessere Zustellbarkeit von E-Mails unterstützt.
- Bevor Sie beginnen, vergewissern Sie sich, dass Ihre Domain verifiziert ist, dass Google Mail für diese Domain aktiv ist und dass Ihr Team Zugriff auf die richtigen DNS-Einstellungen beim Domain-Host hat.
- Der grundlegende Einrichtungsablauf ist einfach: Generieren Sie den Schlüssel in der Google Admin-Konsole, veröffentlichen Sie den TXT-Eintrag im DNS und klicken Sie dann auf Authentifizierung starten.
- DKIM ist am stärksten, wenn es mit SPF und DMARC als Teil einer breiteren E-Mail-Sicherheitsstrategie kombiniert wird.
Die Einrichtung von DKIM in Google Workspace ist eine der praktischsten Möglichkeiten, das Vertrauen in ausgehende E-Mails zu stärken. Wenn richtig konfiguriert ist, hilft es den Empfängern, die Legitimität Ihrer Nachrichten zu überprüfen, verbessert die Zustellbarkeit und erschwert das Spoofing.
In diesem Leitfaden erfahren Sie, wie Sie DKIM mit SPF, DMARC und der breiteren E-Mail-Sicherheit verbinden können.
Was ist DKIM und warum ist es wichtig?
DKIM(DomainKeys Identified Mail) ist eine E-Mail-Authentifizierungsmethode, mit der ein sendendes System eine kryptographische Signatur an ausgehende E-Mails anhängen kann. Das Mailsystem des Empfängers verwendet den im DNS veröffentlichten öffentlichen Schlüssel, um die DKIM-Signatur zu validieren und zu bestätigen, dass die Nachricht von der sendenden Domäne autorisiert und während der Übertragung nicht verändert wurde.
Es gibt einige Gründe, warum DKIM für die Sicherheit und die E-Mail-Authentifizierung wichtig ist:
- Hilft bei der Überprüfung der Integrität von Nachrichten
- Stärkt das Vertrauen in die E-Mail Ihrer Domain
- Unterstützt eine bessere Platzierung im Posteingang und Zustellbarkeit in Verbindung mit SPF und DMARC
Sehen Sie, wie der Mimecast DMARC Analyzer die Überwachung, Berichterstattung und Durchsetzung in Ihren Domains vereinfachen kann.
Voraussetzungen vor der Einrichtung von DKIM
Bevor Sie mit der Einrichtung von Google Workspace DKIM beginnen, sollten Sie sicherstellen, dass die Grundlagen vorhanden sind. Der Einrichtungsablauf von Google geht davon aus, dass die Domain bereits für Google Mail aktiv ist und dass der Administrator sowohl in Workspace als auch auf der DNS-Ebene Änderungen vornehmen kann.
Das sollten Sie bestätigen:
- Die Domainüberprüfung in Google Workspace ist abgeschlossen.
- Sie oder ein Teammitglied haben Zugang zum DNS-Provider oder Registrar der Domain.
- Das Team, das die Einrichtung vornimmt, kann mit DNS-Einträgen arbeiten, einschließlich eines neuen Texteintrags, Selektornamen und TXT-Werten.
- Gmail ist bereits für diese Domain in Google Workspace aktiviert, bevor Sie versuchen, den DKIM-Schlüssel zu generieren.
Wenn Google Mail erst kürzlich für die Domain aktiviert wurde, können Sie den DKIM-Schlüssel möglicherweise nicht sofort in der Verwaltungskonsole von Google Workspace generieren. Diese Wartezeit ist normal und kann den nächsten Schritt verzögern.
Es ist auch hilfreich, zuerst den Pfad Ihrer ausgehenden Post zu überprüfen. DKIM kann unterbrochen werden, wenn Nachrichten nach dem Signieren geändert werden. Das kann passieren, wenn ausgehende Gateways, sichere Mail-Tools oder Routing-Dienste Kopfzeilen oder Nachrichtenteile ändern, nachdem die Signatur angewendet wurde.
Nachdem Sie sich vergewissert haben, dass Sie über die notwendigen Voraussetzungen verfügen, können Sie nun mit der Einrichtung von DKIM in Google Workspace fortfahren.
Schritt 1: Generieren Sie den DKIM-Schlüssel in Google Workspace
Der erste Schritt besteht darin, den DKIM-Schlüssel in der Verwaltungskonsole zu erzeugen. In Googles dokumentiertem Ablauf gehen Sie zu:
Verwaltungskonsole > Apps > Google Workspace > Gmail > E-Mail authentifizieren
Wählen Sie dort die richtige Domain aus, bevor Sie den Datensatz erstellen. Dies ist in Umgebungen mit mehreren Domänen oder Subdomänen von Bedeutung, da die DKIM-Einstellungen domänenspezifisch sind.
Wenn Sie auf Neuen Datensatz generieren klicken, fordert Google Sie auf, zwei wichtige Entscheidungen zu treffen:
- DKIM-Schlüssel-Bitlänge: Google empfiehlt 2048-Bit, wenn Ihr Domain-Provider dies unterstützt; 1024-Bit ist der Fallback für Hosts mit Beschränkungen der TXT-Länge.
- Selektor: Google verwendet den Standard-Selektor Google, was normalerweise in Ordnung ist, es sei denn, dieser Selektor wird bereits verwendet. Wenn dies der Fall ist, wählen Sie stattdessen einen Präfix-Selektor oder einen anderen eindeutigen Selektor.
Schritt 2: Veröffentlichen Sie den DKIM-TXT-Eintrag im DNS
Nachdem Google den Schlüssel generiert hat, müssen Sie den DKIM-DNS-Eintrag bei Ihrem Domain-Host hinzufügen. Google bietet zwei wichtige Werte:
- Hostname, z. B. Google._domainkey
- TXT-Wert, der mit v=DKIM1 beginnt und den öffentlichen Schlüssel (p=) enthält
Fügen Sie diesen TXT-Eintrag in den DNS-Verwaltungsbereich Ihres Registrars oder DNS-Anbieters ein und speichern Sie ihn. Dies ist der eigentliche DNS-Eintrag , den die empfangenden Systeme während der DKIM-Authentifizierung abfragen werden.
Wenn Ihr Anbieter mehrere DNS-TXT-Eintragsfragmente für lange Werte unterstützt, befolgen Sie seine Formatierungsregeln genau. Wenn dies nicht tut, wird der Datensatz möglicherweise nicht korrekt veröffentlicht, auch wenn der Text in der Konsole richtig aussieht.
Schritt 3: Starten Sie die DKIM-Authentifizierung in Google Workspace
Sobald der DNS-Eintrag veröffentlicht ist, kehren Sie zur Google-Verwaltungskonsole zurück und gehen Sie zurück zu:
Apps > Google Workspace > Gmail > E-Mail authentifizieren
Wählen Sie dieselbe Domäne und klicken Sie auf Authentifizierung starten, aber erst nachdem der DNS-Eintrag tatsächlich hinzugefügt wurde. Der von Google dokumentierte Erfolgsstatus besteht darin, dass die Seite wechselt, um anzuzeigen, dass die Domain E-Mails mit DKIM authentifiziert.
Es ist normal, dass die Konsole eine Zeit lang eine Warnung oder den Status "Ausstehend" anzeigt, selbst wenn die DNS-Aktualisierung korrekt ist. Die Verzögerung von wird oft durch die DNS-Ausbreitung verursacht, nicht durch eine fehlerhafte Einrichtung.
Schritt 4: Überprüfen Sie, ob DKIM funktioniert
Gehen Sie nicht davon aus, dass die Einrichtung erfolgreich war, nur weil der Datensatz veröffentlicht ist. Genauso wichtig ist es, den Live-Mailverkehr zu testen.
Senden Sie dazu eine Testnachricht von dem konfigurierten Konto an einen separaten Posteingang von Google Mail oder Google Workspace und nicht an das Postfach des gleichen Absenders. Google weist ausdrücklich darauf hin, dass Sie DKIM nicht verifizieren können, indem Sie sich selbst eine Testnachricht schicken.
Öffnen Sie dann die empfangene Nachricht in Google Mail und verwenden Sie Original anzeigen, um die Kopfzeilen zu prüfen. Sie möchten bestätigen, dass DKIM für den erwarteten Selektor und die Domäne funktioniert. Dies ist der direkteste Weg, die Live-Signatur zu validieren.
Die schnellsten Überprüfungsmethoden sind:
- Überprüfen der Nachrichtenkopfzeilen in Google Mail
- Durchführung einer DNS-Abfrage, um zu bestätigen, dass der öffentliche Schlüssel des Selektors sichtbar ist
Ein DKIM-Datensatz-Checker kann ebenfalls dazu beitragen, die Veröffentlichung des Datensatzes zu bestätigen, sollte aber als Ergänzung und nicht als Ersatz für die Überprüfung des Headers betrachtet werden. Ein sichtbarer DNS-Eintrag allein beweist nicht, dass eine Live-E-Mail tatsächlich korrekt signiert wird.
Schritt 5: Beseitigen Sie häufige Probleme mit Google Workspace DKIM
Die häufigsten Ursachen für DKIM-Probleme nach der Einrichtung sind ganz einfach:
- DNS-Ausbreitungsverzögerung
- Falscher Hostname oder Selektor
- Abgeschnittene TXT-Werte
- Auswahl der falschen Domäne in der Verwaltungskonsole
Selbst wenn der DNS-Eintrag korrekt ist, kann DKIM fehlschlagen, wenn die Nachricht verändert wird, nachdem Google sie signiert hat. Diese enthält Änderungen, die von Gateways, Filterprogrammen oder sicheren E-Mail-Plattformen vorgenommen wurden. In diesen Fällen ist das Problem nicht der Datensatz selbst, sondern der Nachrichtenpfad.
In Unternehmensumgebungen, in denen Plattformen von Drittanbietern im Namen der gleichen Domäne senden, wird dies noch komplexer. Die Google Workspace-Mailsignierung gilt nur für Mails, die über die Systeme von Google gesendet werden. Wenn ein CRM, eine Marketing-Plattform oder ein Ticketing-Tool ebenfalls von dieser Domain aus sendet, benötigt es möglicherweise einen eigenen Selektor, eine eigene Signierungskonfiguration und eine eigene Ausrichtungsprüfung.
Schritt 6: Verbinden Sie DKIM mit SPF, DMARC und allgemeiner E-Mail-Sicherheit
DKIM ist eine wichtige Kontrolle, aber sie ist am stärksten als Teil einer mehrschichtigen Strategie. Google empfiehlt, SPF, DKIM und DMARC gemeinsam für Ihre Domains einzurichten. Diese Methoden funktionieren wie ein Stapel:
- DKIM signiert die Nachricht
- Sender Policy Framework prüft, ob die sendende Infrastruktur autorisiert ist
- DMARC in Google wendet Richtlinien und Berichte an, wenn die Authentifizierung fehlschlägt
Das bedeutet, dass Ihr DKIM-Projekt im Google-Arbeitsbereich neben Ihrem SPF-Eintrag und DMARC-Eintrag stehen sollte, nicht getrennt davon. Wenn Sie Google als Absender verwenden, verweist die SPF-Anleitung von Google in der Regel auf ein SPF-Include wie include:_spf.google.com; Stellen Sie nur sicher, dass die endgültige SPF-Syntax für Ihre Umgebung korrekt ist.
Wenn diese Kontrollen zusammen implementiert werden, reduzieren sie Spoofing, verbessern die Zustellbarkeit von E-Mails und tragen dazu bei, Vertrauen in die E-Mails von an Führungskräfte und Mitarbeiter aufzubauen. Sie tragen auch zur Verringerung des menschlichen Risikos bei, indem sie die erfolgreiche Zustellung von Imitationen und verdächtigen E-Mails erschweren.
Richten Sie Google Workspace DKIM ein, um das Vertrauen zu stärken
Die Einrichtungsschritte für Google Workspace DKIM sind nicht kompliziert, aber sie erfordern eine sorgfältige Koordination zwischen Workspace, DNS und dem Mailflow. Generieren Sie den Schlüssel in der Google Workspace Admin-Konsole, veröffentlichen Sie den TXT-Eintrag korrekt, starten Sie die Authentifizierung erst, wenn DNS live ist, und überprüfen Sie die Ergebnisse durch Live-Header-Inspektion.
Am wichtigsten ist, dass Sie DKIM als Teil einer umfassenderen E-Mail-Sicherheitsstrategie behandeln. Jede sendende Domain benötigt eine eigene gültige Konfiguration. Die besten langfristigen Ergebnisse werden erzielt, wenn DKIM mit SPF und DMARC kombiniert wird, um einen stärkeren Schutz, ein größeres Vertrauen und eine zuverlässigere Zustellbarkeit zu gewährleisten.