DKIM-Pflicht: So landen deine Newsletter sicher im Posteingang

Weltweit werden täglich mehr als 300 Milliarden E-Mails versendet. Tendenz steigend. Wer selbst regelmäßig E-Mails empfängt, weiß sicherlich, wie schnell das eigene Postfach voll sein kann. Neben wichtigen Nachrichten über die nächsten Arbeitsschritte oder den Versandstatus der letzten Onlinebestellung schleicht sich hier auch gern die ein oder andere Spam- und Scam-Mail ein. Das ist nicht nur nervig, sondern wegen immer ausgefeilterer Betrugsmaschen auch gefährlich. Klar ist deshalb: Der E-Mail-Verkehr muss sicherer werden. Dafür soll unter anderem die DKIM-Pflicht sorgen, die bei den Postfach-Anbietern Yahoo und Google bereits seit Anfang 2024 besteht und am 1. April 2024 verschärft wurde – und von der auch du als E-Mail-Marketer profitierst.

Wir erklären dir, was es mit dem Verschlüsselungsverfahren auf sich hat, was die DKIM-Pflicht für dein E-Mail-Marketing bedeutet und wie du die Richtlinie einhalten kannst.

Was ist DKIM?

DKIM steht für DomainKeys Identified Mail. Die Authentifizierungsmethode basiert auf den Sicherheitsprotokollen „Domain Keys“ von Yahoo und „Identified Mail“ von Cisco. Sie wurden 2007 in Zusammenarbeit mit der IETF (Internet Engineering Task Force) zusammengelegt und zum heute bekannten DKIM-Verfahren weiterentwickelt. Seit 2011 ist das Verschlüsselungsverfahren Internetstandard und eine der Grundlagen für sicheren E-Mail-Verkehr.

DKIM gewährleistet, dass eine E-Mail auch wirklich von der Person oder Institution stammt, die als Absender*in angegeben ist. Das soll vor Phishing und Spam schützen. Denn: Ist eine E-Mail nicht ausreichend verschlüsselt, kann sie beispielsweise unterwegs abgefangen und verändert werden. Der*die Absender*in bliebe dann gleich, der Inhalt der Mail wäre aber ein anderer und könnte zum Beispiel auf betrügerische Websites verlinken.

Authentifizierungsschlüssel sorgen deshalb dafür, dass Server eine E-Mail als vertrauenswürdig einstufen. Stimmen diese Schlüssel – vereinfacht gesagt – nicht überein, markiert der empfangende Server die Nachricht als Spam oder stellt sie erst gar nicht zu. So werden beispielsweise auch E-Mails abgefangen, die auf den ersten Blick von derselben Domain (z. B. @omr.com) stammen, im Hintergrund aber von Betrüger*innen aufgesetzt oder verändert wurden.

So funktioniert DKIM

Versendest du eine E-Mail, generiert dein E-Mail-Server eine DKIM-Signatur. Sie wird an deine Nachricht angefügt und enthält Informationen, die ihre Legitimität bestätigen. Damit deine E-Mails sicher von A nach B gelangen, folgt das DKIM-Verfahren mehreren Schritten:

1. Zunächst wird ein Schlüsselpaar erstellt, das aus einem privaten und einem öffentlichen Schlüssel besteht. Der private Schlüssel wird auf deinem E-Mail-Server gespeichert und dient dazu, die DKIM-Signatur zu erstellen. Der öffentliche Schlüssel wird im DNS (Domain Name System) veröffentlicht, damit er auffindbar ist. Das DNS kannst du dir hierbei wie ein Telefonbuch vorstellen, in dem Domains organisiert werden.
2. Die DKIM-Signatur enthält bestimmte Informationen wie die Absendeadresse, den Betreff der Mail oder ihren Inhalt. Aus diesen Infos wird eine Zahlenfolge, ein sogenannter „Hash String“, generiert, der wiederum verschlüsselt und in den Header deiner E-Mail eingefügt wird. Er darf nicht verändert werden, damit der empfangende Server deine Mail als vertrauenswürdig einstuft.
3. Erreicht deine Nachricht den*die Empfänger*in, überprüft der empfangende Server wiederum die DKIM-Signatur deiner Mail. Dafür greift der Server auf den veröffentlichten DKIM-Schlüssel im DNS zu, entschlüsselt den Hash String deiner E-Mail und vergleicht ihn mit dem Hash String, den er anhand bestimmter Vorgaben selbst konstruiert hat.

Gehen diese Schritte auf, kann der empfangende Mailserver sicher sein, dass die E-Mail wirklich von dir stammt und auf ihrem Weg nicht verändert wurde. Das ist insbesondere im beruflichen E-Mail-Verkehr wichtig, in dem es häufig um den Austausch sensibler Daten und Informationen geht.

Das bedeutet die DKIM-Pflicht für dein E-Mail-Marketing

Relevant ist dieses Verfahren allerdings auch – oder vor allem – für dein E-Mail-Marketing: Sind deine Newsletter nicht richtig verschlüsselt, können die Server deiner Empfänger*innen sie nicht als vertrauenswürdig einstufen. Deine mühevoll erstellten E-Mails landen dann zum Beispiel im Spam-Ordner oder kommen gar nicht erst an.

Deshalb bietet DKIM dir einige Vorteile:

• Deine Mails landen sicher bei den Empfänger*innen statt ungesehen im Spam-Ordner
• Empfänger*innen können sichergehen, dass der Inhalt deiner Mails seriös ist und nicht unterwegs verändert wurde
• Du wirst als authentische*r Absender*in wahrgenommen und nicht ohne Umschweife aussortiert

Doch obwohl das Verfahren nun schon seit mehr als zehn Jahren existiert, besteht die DKIM-Pflicht erst seit Anfang 2024. Um ihre User vor Spam und unerwünschten Mails zu schützen, haben Postfach-Anbieter wie Yahoo und Google dieses Jahr ihre Anforderungen verschärft: Versendest du beispielsweise täglich mehr als 5000 E-Mails an private Yahoo- oder Gmail-Konten, gelten für dich bestimmte Absenderichtlinien. Dazu zählt unter anderem die korrekte Verschlüsselung, aber auch die Möglichkeit für deine Empfänger*innen, sich einfach von deinen Mails abmelden zu können. Sicher verschlüsseln solltest du deine E-Mails laut Google und Yahoo allerdings auch bei kleineren Empfängerkreisen, um deine Zustellraten nicht zu gefährden.

DKIM einrichten – so geht’s

Die DKIM-Pflicht stellt viele Versender*innen vor Herausforderungen, denn E-Mails sind nicht unbedingt automatisch per DKIM verschlüsselt. Verschickst du deine Mails an viele Empfänger*innen über einen kostenlosen Dienst wie Gmail und hast demnach statt einer eigenen Domain eine Mailadresse, die zum Beispiel auf @gmail.com endet, kannst du gar kein DKIM einrichten. Und auch einige E-Mail-Marketing-Tools bieten diese Möglichkeit (noch) nicht an. Möchtest du allerdings weiterhin in den Postfächern deiner Kund*innen, Leser*innen oder Fans landen, solltest du schnellstmöglich DKIM einrichten. Das funktioniert je nach Mailing-Anbieter anders. Grundsätzlich geht es aber darum, ein DKIM-Schlüsselpaar bei deinem Provider anzufordern bzw. bei Nutzung eines eigenen Mailservers selbst zu erstellen und diese Schlüssel – einen privaten und einen öffentlichen – an den richtigen Orten zu hinterlegen:

1. Der private DKIM-Schlüssel kommt auf deinen Mailserver. Hast du die Keys bei deinem E-Mail-Provider, z. B. STRATO, angefordert, ist das in der Regel bereits passiert. Betreibst du deinen eigenen Server, musst du dich selbst um die Hinterlegung kümmern. Wichtig: Beim E-Mail-Provider handelt es sich nicht zwangsläufig ums E-Mail-Programm, das du für den Newsletter-Versand nutzt. Der Provider stellt dir lediglich deine Domain, also z. B. @unternehmen.com – und um die geht es beim Eintragen des DKIM-Schlüsselpaars.
2. Nun muss der öffentliche DKIM-Schlüssel im DNS vermerkt werden, damit er später für die Abgleiche auffindbar ist. Dieser DNS-Eintrag erfolgt im TXT-Format und sieht so aus: [selector]._domainkey.[domain]. „Selector“ ist ein Wert, den der E-Mail-Provider ausgibt und der bei Verschlüsselung wiederum in den Header der Mail aufgenommen wird. „Domain“ ist der Name der E-Mail-Domain. Und hier liegt das Problem: Die erforderlichen DNS-Einträge können nämlich nur für individuelle Domains erfolgen und nicht für allgemeine Mailadressen, die beispielsweise auf @gmail.com oder @web.de enden.

Musst du dein DKIM-Schlüsselpaar aufgrund eigener Server selbst erstellen, kannst du dafür auch Generatoren wie den kostenlosen DKIM Record Generator von EasyDMARC verwenden. Sie geben dir ein Schlüsselpaar aus, das du bzw. dein Mail Provider auf dem Mailserver hinterlegen und in den DNS Record eintragen kannst.

DKIM-Pflichten erfüllen mit einem Tool

Deine E-Mails sollen trotz verschärfter Anforderungen von Google und Yahoo sicher ans Ziel kommen, so viel steht fest. Damit das auch wirklich klappt, kannst du dich mit etwas technischem Know-how selbst um die DKIM-Einrichtung kümmern. Oder du setzt von vornherein auf Tools für E-Mail-Marketing, die die DKIM-Pflicht bereits erfüllen. Eines von ihnen ist CleverReach: Der Tool-Anbieter ermöglicht es dir, Newsletter auch ohne eigenen DKIM-Eintrag sicher zu versenden. Dafür speicherst du deine Domain bei CleverReach und das Tool erstellt dir automatisch einen DNS-TXT-Eintrag. Diesen musst du dann nur noch bei deinem Provider hinterlegen. Das ist bei den meisten Anbietern in den Einstellungen möglich.

Darüber hinaus hilft CleverReach dir beim DKIM-Verfahren aber auch weiter, wenn du für deine Domain (noch) kein DKIM einrichten kannst. Das ist beispielsweise der Fall, wenn du keine eigene Domain verwendest, sondern deine Newsletter beispielsweise über unternehmen@gmail.com verschickst (was du eigentlich lieber nicht tun solltest). Damit die Mails trotzdem sicher ankommen, kann CleverReach solche Versanddomains anpassen: Aus unternehmen@gmail.com wird dann zum Beispiel unternehmen=gmail.com@c.havemy.email inklusive gültigem DKIM-Eintrag. Antworten deiner Empfänger*innen landen dabei trotzdem in deinem eigenen Postfach.

Verwendest du für dein E-Mail-Marketing ein Tool wie CleverReach, kannst du die DKIM-Anforderungen der Postfach-Anbieter einfach erfüllen und dir so hohe Zustellraten sichern. Darüber hinaus bietet CleverReach dir unter anderem folgende Features und Funktionen:

• Eine intuitive Nutzeroberfläche für die einfache Erstellung ansprechender Mailings
• Clevere KI-Funktionen für dein E-Mail-Marketing
• Schnittstellen zu Tools wie HubSpot, elopage und OrgaMax
• Gratisnutzung bei maximal 250 Empfänger*innen und bis zu 1.000 E-Mails pro Monat
• Zahlreiche Vorlagen, die du nach Belieben anpassen kannst
• Hohe Datenschutzstandards und DSGVO-Konformität dank europäischer Serverstandorte

E-Mail-Authentifizierung nicht nur via DKIM

Damit deine E-Mails von Empfängerservern als vertrauenswürdig eingestuft werden, musst du neben DKIM weitere Sicherheitsstandards einhalten. Erst die Kombination aus den verschiedenen Verfahren bzw. Verschlüsselungsmethoden sorgt dafür, dass Dienste wie Google und Yahoo deine E-Mails auch wirklich an ihre User durchlassen. Dazu zählen SPF (Sender Policy Framework) und DMARC (Domain-based Message Authentication, Reporting, and Conformance):

• SPF ermöglicht die Prüfung einer Absenderadresse auf Echtheit. Dafür kontrolliert der empfangende E-Mail-Server, ob die IP-Adresse des sendenden Servers in den SPF-Records der Absender-Domain aufgeführt ist. Je nach Ergebnis kann der Mailserver die Nachricht beispielsweise als potenziell gefährlich kennzeichnen.
• DMARC baut auf DKIM und SPF auf und bietet zusätzliche Kontrollmechanismen, um E-Mail-Spoofing, also das Vortäuschen einer fremden Identität, und Phishing-Angriffe zu bekämpfen. Als Domain-Inhaber*in kannst du hierfür in deinen DNS-Einträgen unter anderem festlegen, wie Empfängerserver mit E-Mails umgehen sollen, die nicht den DKIM- und SPF-Sicherheitsstandards entsprechen.

Um darüber hinaus problemlos und ohne Warnmeldungen in den Postfächern deiner Kund*innen und Leser*innen zu landen, solltest du neben der DKIM-Pflicht folgende Tipps für eine optimale Zustellbarkeit deiner E-Mails beachten:

• Versende deine Mails nur an Personen, die zuvor dem Empfang zugestimmt haben (Double-Opt-in).
• Sorge dafür, dass Empfänger*innen deine E-Mails mit nur einem Klick einfach abbestellen können.
• Halte deine Spam-Raten mindestens unter 0,3 Prozent, lieber unter 0,1 Prozent.

Fazit

Seit Anfang 2024 ist die Einrichtung von DKIM Pflicht. Wer jetzt als Versender*in von Newslettern keinen Wert auf E-Mail-Sicherheit legt, wird künftig womöglich abgestraft. Deshalb ist es umso wichtiger, dass du dich um ausreichend verschlüsselte E-Mails kümmerst und die hohen Sicherheitsstandards von Postfach-Anbietern wie Google und Yahoo erfüllst. Am einfachsten geht das, indem du zuverlässige E-Mail-Marketing-Tools wie CleverReach verwendest. Sie unterstützen dich bei der Einrichtung von DKIM und bei der Einhaltung weiterer Richtlinien. Dazu zählen beispielsweise Opt-in-Verfahren oder einfache Abmeldemöglichkeiten für die Empfänger*innen deiner Mails. Was spätestens ab diesem Jahr nicht mehr geht (und auch schon vorher keine gute Idee war), ist Newsletter über klassische Mailing-Anbieter zu versenden, statt auf sichere E-Mail-Marketing-Tools zu setzen.