Inhalt des Artikels
- Eine Domäne kann mehrere DKIM-Einträge haben, solange jeder Eintrag einen eindeutigen Selektor verwendet.
- Mehrere Einträge sind in modernen E-Mail-Umgebungen üblich, in denen verschiedene Plattformen wie Google Workspace, Microsoft 365, CRMs und Marketing-Tools E-Mails von derselben Domäne aus versenden.
- Der DKIM-Selektor macht dies möglich, da jeder Selektor auf einen separaten DNS-Eintrag mit einem eigenen öffentlichen Schlüssel verweist.
- Ein gut verwaltetes DKIM unterstützt eine stärkere E-Mail-Authentifizierung, eine bessere Zustellbarkeit von E-Mails und ein zuverlässigeres Domain-Vertrauen bei der geschäftskritischen E-Mail-Kommunikation.
Moderne Unternehmen versenden selten alle E-Mails von einem Ort aus. Marketing-Plattformen, Helpdesk-Systeme, Produktivitätssuites und Transaktions-Tools können alle E-Mails von derselben Domain aus versenden.
Das wirft eine häufige Frage auf: Können Sie mehrere DKIM-Einträge auf einer Domain veröffentlichen? Ja, das können Sie, und in vielen Fällen sollten Sie das auch. Der Schlüssel liegt darin, zu verstehen, wie Selektoren funktionieren und wie man sie im großen Maßstab sauber verwaltet.
Was ist DKIM?
DKIM ( DomainKeys Identified Mail) ist eine Methode zur Authentifizierung von E-Mails, mit deren Hilfe überprüft werden kann, dass eine Nachricht von einer autorisierten Domain gesendet und nicht während der Übertragung verändert wurde.
Es funktioniert durch Hinzufügen einer digitalen Signatur zu ausgehenden E-Mails. Der sendende Dienst signiert die Nachricht mit einem privaten Schlüssel, , und der empfangende Server verifiziert sie mit einem passenden öffentlichen Schlüssel, der im DNS veröffentlicht wird.
Für Unternehmen hilft DKIM, die Integrität von Nachrichten zu schützen, das Vertrauen in die Domäne zu stärken und die breiteren Bemühungen um E-Mail-Sicherheit zu unterstützen. Es arbeitet auch mit SPF und DMARC zusammen, um die Authentifizierungsergebnisse zu verbessern.
Ein DKIM-Eintrag ist der DNS-Eintrag, der den öffentlichen Schlüssel veröffentlicht, der zur Überprüfung der DKIM-Signatur einer Nachricht verwendet wird. Sie wird in der Regel als TXT-Eintrag unter einer auf einem Selektor basierenden Subdomain veröffentlicht, wie z.B.:
|
selector1._domainkey.example.com IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQ..." |
In diesem Beispiel ist selector1 der DKIM-Selektor, der dem Empfänger mitteilt, nach welchem Schlüssel er suchen soll. Mit Selektoren ist es möglich, mehrere DKIM-Einträge in derselben Domäne zu veröffentlichen. Dies hilft Unternehmen, die sendenden Dienste zu trennen, Schlüssel zu rotieren und die Authentifizierung sauberer zu verwalten.
Kann ich mehrere DKIM-Einträge für dieselbe Domain haben?
Ja. Sie können ohne Bedenken mehrere DKIM-Einträge für dieselbe Domäne veröffentlichen, und dies ist für viele Organisationen eine normale Einrichtung.
Der Grund, warum es funktioniert, ist einfach: DKIM-Einträge befinden sich nicht alle in einem flachen Namensraum. Jeder ist an einen anderen -Selektor gebunden, so dass jeder Eintrag an einem eigenen DNS-Speicherort lebt. Durch diese Trennung wird ein direkter Konflikt vermieden.
Eine Domäne könnte zum Beispiel so aussehen:
- mktg._domainkey.beispiel.com
- support._domainkey.beispiel.com
- arbeitsbereich._domainkey.beispiel.com
Jeder dieser Einträge ist ein separater DKIM-Eintrag, auch wenn sie alle zur selben Domain gehören.
Was gilt als eine gültige Konfiguration?
Eine gültige DKIM-Einrichtung verwendet:
- Ein einziger Selektor pro sendendem Dienst oder Anwendungsfall
- Ein öffentlicher Schlüssel pro Selektor
- Eine klare Zuordnung zwischen dem Selektor und der Sendeplattform, die ihn verwendet
Was Probleme verursacht, ist, dass Sie im Allgemeinen nicht mehrere Datensätze haben. Das Problem beginnt in der Regel, wenn zwei verschiedene Systeme versuchen, denselben Selektor zu verwenden, oder wenn doppelte DNS-Einträge für denselben Selektor existieren. Das kann dazu führen, dass die Überprüfung fehlschlägt, die Ergebnisse der DNS-Abfrage nicht eindeutig sind oder die DKIM-Authentifizierung nicht funktioniert.
Die sichere Regel lautet also: Mehrere DKIM-Einträge sind in Ordnung, wenn jeder einzelne einen eindeutigen Selektor verwendet.
Wann können Organisationen mehrere DKIM-Einträge verwenden?
Viele Unternehmen benötigen mehr als einen DKIM-Eintrag, da die moderne E-Mail-Infrastruktur auf viele Tools und Teams verteilt ist.
Gängige Beispiele sind:
- Microsoft 365 für Mitarbeiterpost
- Google Workspace für die geschäftliche Kommunikation
- Plattformen zur Marketingautomatisierung
- CRM-Systeme
- Support- oder Ticket-Tools
- Systeme für Rechnungen oder Transaktionsmails
Diese Dienste versenden oft verschiedene Arten von E-Mails von derselben Domäne oder von mehreren zusammenhängenden Domänen, und jede kann ihren eigenen DKIM-Schlüssel benötigen.
Unternehmen trennen die Selektoren auch nach E-Mail-Strömen, z. B. Transaktions-E-Mails, Marketing-E-Mails, regionale Versandinfrastruktur oder E-Mail-Kommunikation von Führungskräften oder Personen mit hoher Vertrauenswürdigkeit. Dies hat einen echten praktischen Nutzen, da die Trennung von Selektoren es einfacher macht:
- Zuweisung der Verantwortung nach Plattform oder Team
- Isolieren Sie Probleme, wenn eine Nachricht nicht authentifiziert werden kann
- Drehen Sie einen Schlüssel, ohne einen anderen Dienst zu unterbrechen
- Bessere Kontrolle in dezentralen IT-Umgebungen
Mit anderen Worten: Mehrere DKIM-Schlüssel spiegeln oft wider, wie E-Mails in Unternehmensumgebungen heute tatsächlich funktionieren.
So fügen Sie mehrere DKIM-Einträge hinzu
Das Hinzufügen mehrerer DKIM-Einträge ist in der Regel einfach, sollte aber in einer kontrollierten Reihenfolge erfolgen.
1. Inventarisieren Sie jeden autorisierten Absender
Beginnen Sie damit, alle Systeme zu identifizieren, die E-Mails von der Domäne aus versenden dürfen. Dazu gehören zentrale E-Mail-Plattformen, Marketing-Tools , Support-Systeme und Anwendungen von Drittanbietern. Wenn Sie diesen Schritt auslassen, riskieren Sie, DKIM für einen Absender zu aktivieren, während andere nicht authentifiziert werden.
2. Generieren oder erhalten Sie den DKIM-Schlüssel für jeden Absender
Jede Sendeplattform generiert entweder ihr eigenes Schlüsselpaar oder fordert Sie auf, eines zu erstellen. Der Absender verwendet den privaten Schlüssel für die DKIM-Signierung, während der passende öffentliche Schlüssel im DNS veröffentlicht wird.
3. Weisen Sie jedem Dienst einen anderen Selektor zu
Jeder Absender sollte einen anderen Selektor verwenden. Auf diese Weise können mehrere Selektoren sicher in derselben Domain koexistieren. Die Namen der Selektoren sollten eindeutig und konsistent sein. Zum Beispiel:
- m365
- crm
- marketing-us
4. Veröffentlichen Sie die DNS-Einträge
Fügen Sie für jeden Absender den entsprechenden DNS-TXT-Eintrag in die DNS-Konfiguration Ihrer Domain ein. Jeder Selektor sollte auf seinen eigenen öffentlichen Schlüssel verweisen.
5. Aktivieren Sie DKIM in der Sendeplattform
Sobald DNS veröffentlicht ist, aktivieren Sie DKIM in den Einstellungen der sendenden Anwendung oder des Mailservers, damit mit diesem Selektor signiert wird.
6. Bestätigen Sie die Konfiguration
Verwenden Sie einen DKIM-Datensatz-Checker oder überprüfen Sie den E-Mail-Header einer Testnachricht, um sicherzustellen, dass der Selektor verwendet wird und die Signatur korrekt validiert.
7. Dokumentieren Sie Besitzverhältnisse und Änderungen
In Unternehmensumgebungen ist die Governance genauso wichtig wie die technische Einrichtung. Führen Sie Aufzeichnungen über:
- Namenskonventionen für Selektoren
- Geschäftsinhaber oder technischer Eigentümer für jeden Selektor
- Verlauf ändern
- Wichtige Termine der Rotation
Die Koordination zwischen DNS-, E-Mail- und Sicherheitsteams verringert das Risiko von stillen Fehlern.
Bewährte Praktiken für die Verwaltung mehrerer DKIM-Einträge in großem Maßstab
Wenn die Zahl der Absender wächst, geht es bei DKIM weniger um die einfache Einrichtung als vielmehr um die Verwaltung des Lebenszyklus. Ein paar bewährte Praktiken machen einen großen Unterschied.
Verwenden Sie starke Schlüssel und wechseln Sie sie regelmäßig aus.
Alte oder schwache Schlüssel stellen ein unnötiges Risiko dar. Eine regelmäßige Schlüsselrotation hilft, das Vertrauen aufrechtzuerhalten und die Anfälligkeit zu begrenzen, falls ein Schlüssel jemals kompromittiert wird.
Selektoren pro Dienst verwenden
Vermeiden Sie die Verwendung eines Selektors für viele Systeme. Selektoren für einzelne Dienste erleichtern die Fehlersuche und reduzieren den Radius von Konfigurationsfehlern.
Selektoren einheitlich benennen
Eine Namenskonvention hilft den Teams, schnell zu verstehen, wofür jeder Selektor dient. Dies ist umso wichtiger, je größer die Anzahl der Mehrfachdatensätze ist.
Pflegen Sie ein zentrales Absenderinventar
Sie sollten wissen, welcher Dienst von welcher Domain sendet, welchen Selektor er verwendet, ob er mit DKIM signiert und ob auch mit Ihrem SPF-Eintrag und DMARC -Eintrag übereinstimmt.
Bereinigen Sie nicht verwendete Datensätze
Alte Selektoren von ausgedienten Systemen sollten nicht ewig im DNS bleiben. Das Entfernen veralteter Einträge reduziert die Unübersichtlichkeit und macht die Überwachung von genauer.
Überwachung der Authentifizierungsleistung
Die DKIM-Verwaltung sollte Teil einer umfassenderen Überwachung sein, nicht eine Aufgabe, die man einfach mal so erledigt. Regelmäßige Audits helfen Ihnen beim Aufspüren:
- Fehlgeschlagene Signaturen
- Abgelaufene oder rotierte Schlüssel werden im DNS nicht aktualisiert
- Nicht autorisierte Absender
- Ausrichtungsprobleme mit Auswirkungen auf die Zustellbarkeit
An dieser Stelle wird DKIM Teil einer umfassenderen Strategie zur Authentifizierung und zur Verringerung menschlicher Risiken und nicht nur ein technisches Kontrollkästchen.
Mehrere DKIM-Einträge können die Authentifizierung stärken, wenn sie gut verwaltet werden
Sie können mehrere DKIM-Einträge für dieselbe Domäne haben, und in vielen Unternehmen ist das auch der richtige Ansatz. Die Anforderung für den Schlüssel ist einfach: Jeder Datensatz muss einen eindeutigen Selektor verwenden.
Wenn die Selektoren gut verwaltet werden, unterstützt DKIM die Integrität von Nachrichten, ein stärkeres Vertrauen in Domänen und eine zuverlässigere Authentifizierung von E-Mails in modernen Cloud-basierten Versandumgebungen.