DKIM für Google Workspace einrichten

Schritt-für-Schritt-Anleitung: DKIM-Schlüssel in der Admin Console generieren, TXT-Record anlegen und Signierung aktivieren — inklusive 48-Stunden-Aktivierungszeit und Schlüssellänge.

DKIM prüfen Plattform entdecken
Google Workspace · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

DKIM für Google Workspace (Gmail)

Google Workspace nutzt einen TXT-Record mit dem Standard-Selektor „google“ und unterstützt RSA-Schlüssel mit 1024 oder 2048 Bit — verwenden Sie immer 2048 Bit. Der DKIM-Schlüssel wird direkt in der Admin Console generiert und als TXT-Record im DNS hinterlegt. Google benötigt nach der Aktivierung bis zu 48 Stunden, um die neue Signatur tatsächlich zu verwenden. Ed25519 wird von Google nur zur Verifikation eingehender Mails unterstützt — nicht zur Signierung.

BSI TR-03108 Abschnitt 4.3 fordert DKIM-Signierung für ausgehende E-Mails mit mindestens RSA 2048-Bit — Google Workspace erfüllt diese Anforderung, wenn Sie bei der Schlüsselgenerierung 2048 Bit statt 1024 Bit wählen. Der Wolf-Agents Email Security Check prüft Schlüsselstärke, Selektor und die 48-Stunden-Aktivierungszeit auf 22 DKIM-Kriterien.

Hardening-Pfad: Nach DKIM folgt DMARC für Google Workspace — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht.

Ausführliche Einführung in DKIM

1 Schritt 1 von 3

DKIM-Schlüssel generieren

Generieren Sie den DKIM-Schlüssel in der Google Admin Console. Wählen Sie 2048 Bit als Schlüssellänge und behalten Sie den Standard-Selektor „google“ bei.

Menüpfad in der Admin Console

  1. Melden Sie sich bei admin.google.com an
  2. Navigieren Sie zu Apps → Google Workspace → Gmail
  3. Klicken Sie auf E-Mail authentifizieren
  4. Wählen Sie Ihre Domain aus
  5. Setzen Sie die Schlüssellänge auf 2048 Bit
  6. Belassen Sie das Selektor-Präfix auf google
  7. Klicken Sie auf Generieren — Google zeigt den TXT-Record-Wert an
Warum 2048 Bit statt 1024?

1024-Bit-RSA-Schlüssel gelten seit 2023 als unsicher (NIST SP 800-131A). Google bietet 1024 Bit nur für DNS-Provider an, die keine langen TXT-Records unterstützen — verwenden Sie immer 2048 Bit, wenn möglich.

2 Schritt 2 von 3

DNS-Record anlegen

Erstellen Sie einen TXT-Record bei Ihrem DNS-Provider mit dem Schlüssel aus der Admin Console. Der Hostname ist google._domainkey.

DNS TXT-Record Google Workspace 
google._domainkey.ihre-domain.de  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."
Langer TXT-Record?

Ein 2048-Bit-Schlüssel erzeugt einen TXT-Record mit ca. 400 Zeichen. Manche DNS-Provider teilen diesen automatisch in mehrere Strings auf (RFC 4408). Kopieren Sie den kompletten Schlüssel aus der Admin Console — kürzen Sie ihn nicht.

3 Schritt 3 von 3

DKIM verifizieren

Warten Sie 15-60 Minuten auf die DNS-Propagierung, dann aktivieren Sie DKIM in der Admin Console. Google benötigt anschließend bis zu 48 Stunden, um die neue Signatur tatsächlich für ausgehende E-Mails zu verwenden.

Terminal Verifikation 
# TXT-Record prüfen
dig TXT google._domainkey.ihre-domain.de +short

# Erwartete Ausgabe:
# "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."

# Windows (PowerShell)
Resolve-DnsName -Name google._domainkey.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

Senden Sie nach der 48-Stunden-Wartezeit eine Test-E-Mail und prüfen Sie den Header auf DKIM-Signature: ... d=ihre-domain.de; s=google. Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft DKIM auf Selektor-Konfiguration, Schlüssellänge und Signatur-Validität.

Häufige Fehler bei Google Workspace

Die folgenden drei Fehler treten bei der DKIM-Konfiguration mit Google Workspace am häufigsten auf. Jeder einzelne kann dazu führen, dass DKIM-Signaturen fehlen oder ungültig sind.

Falscher Selektor: „default“ statt „google“

Problem: Der TXT-Record wird mit dem Selektor default._domainkey angelegt statt mit google._domainkey. Google Workspace sucht den Schlüssel aber unter dem Selektor „google“ — die Signatur schlägt fehl.

Lösung: Verwenden Sie als Hostname immer google._domainkey.ihre-domain.de. Wenn Sie den Selektor in der Admin Console geändert haben, passen Sie den DNS-Record entsprechend an.

Nicht 48 Stunden gewartet

Problem: DKIM wurde in der Admin Console aktiviert und sofort eine Test-E-Mail gesendet — die Signatur fehlt im Header. Google benötigt nach der Aktivierung bis zu 48 Stunden, um den neuen Schlüssel tatsächlich für Signaturen zu verwenden.

Lösung: Warten Sie bis zu 48 Stunden nach der Aktivierung. Prüfen Sie in der Admin Console, ob der Status auf „Authentifiziert“ wechselt. Erst dann signiert Google ausgehende E-Mails mit dem neuen Schlüssel.

1024-Bit statt 2048-Bit-Schlüssel gewählt

Problem: Bei der Schlüsselgenerierung wurde 1024 Bit statt 2048 Bit gewählt. 1024-Bit-Schlüssel sind technisch unsicher und werden von einigen Empfänger-Servern niedriger bewertet — sie erfüllen nicht die Empfehlungen von NIST und BSI.

Lösung: Generieren Sie einen neuen 2048-Bit-Schlüssel in der Admin Console und ersetzen Sie den DNS-Record. Falls Ihr DNS-Provider keine langen TXT-Records unterstützt, wechseln Sie den Provider oder nutzen Sie den Split-Modus (zwei 255-Byte-Strings).

DKIM-Anleitung auch für:

Microsoft 365IONOSStratoAll-InklHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei DKIM?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten