Wie du DKIM einrichtest und deine Cold Emails endlich in den Posteingang gelangen

Wenn du eine neue Domain für Cold Email einrichtest und deine E-Mail so aussieht wie outreach.yourcompany.com, musst du sie zuerst richtig authentifizieren. 

Ohne das werden Inbox-Anbieter wie Gmail und Outlook deine E-Mails wahrscheinlich als verdächtig einstufen. Und da die Filter im Jahr 2024 strenger werden, landen selbst legitime E-Mails von Absendern mit geringem Volumen im Spam.

DKIM einzurichten ist der Weg, um zu beweisen, dass deine E-Mails echt sind und nicht gefälscht oder manipuliert wurden.

Wenn er fehlt, siehst du möglicherweise bereits:

❌ “Fehlende DKIM”-Fehler in deinem Warm-up Tool 

❌ Gmail-Header zeigen dkim=fail

❌ Kampagnen mit geringen Öffnungsraten, hoher Spam-Platzierung und ohne Antworten laufen schlecht

In diesem Leitfaden zeigen wir dir Schritt für Schritt, wie du DKIM einrichtest, abhängig von deiner Konfiguration:

• Wenn du Google Workspace nutzt, zeigen wir dir, wie du DKIM in der Admin-Konsole generierst und aktivierst.

• Wenn du Microsoft 365 verwendest, erklären wir dir, wie du es im Defender-Portal konfigurierst

• Wenn du eine benutzerdefinierte Domain bei GoDaddy oder Cloudflare verwendest, zeigen wir dir, wie du die richtigen Einträge manuell hinzufügst, auch wenn du noch nie zuvor mit DNS zu tun hattest.

Schnellstart: Wähle deinen DKIM-Pfad

• Verwendest du Gmail (Google Workspace)? Richte es in der Google Admin Console ein
  
• Verwendest du Outlook (Microsoft 365)? Richte es in Microsoft Defender + DNS ein
  
• Verwendest du eine benutzerdefinierte Domain mit Tools wie Instantly, Smartlead oder ActiveCampaign? Füge DKIM-Einträge in deinem DNS-Provider hinzu (wie GoDaddy)

Wie DKIM funktioniert

Jedes Mal, wenn du eine E-Mail sendest, fügt DKIM eine unsichtbare digitale Signatur hinzu. Diese Signatur beweist zwei Dinge:

1. Die E-Mail stammt wirklich von deiner Domain.
   
2. Der Inhalt wurde nach dem Absenden nicht mehr verändert.

Hier ist, wie es in einfachen Worten funktioniert:

• Dein E-Mail-System verwendet einen privaten Schlüssel, um jede E-Mail im Hintergrund zu „signieren”.
  
• Diese Signatur ist an den E-Mail-Header angehängt (du siehst sie nicht, aber die E-Mail-Server schon).
  
• Wenn die E-Mail empfangen wird, sucht der Mailserver deinen öffentlichen Schlüssel nach, der in den DNS-Einträgen deiner Domain gespeichert ist.
  
• Es verwendet den öffentlichen Schlüssel, um die Signatur zu verifizieren.
  
  
  • Wenn die Übereinstimmung passt: Die E-Mail besteht DKIM.
    
  • Wenn nicht: Sie kann als verdächtig markiert werden.
    

Du wirst dies oft in deinen E-Mail-Headern als so etwas wie:
dkim=pass header.i=@yourcompany.com sehen.

Wenn diese Zeile fehlt oder dkim=fail anzeigt, landen deine E-Mails eher im Spam oder werden ganz blockiert.

Warum DKIM jetzt wichtiger ist denn je

2024 haben Gmail und Yahoo damit begonnen, strenge Anforderungen für alle durchzusetzen, die mehr als 5.000 E-Mails pro Tag versenden, einschließlich Kaltakquise und Warmy-Traffic. DKIM ist nicht mehr optional, wenn du möchtest, dass deine E-Mails ankommen.

Selbst wenn du weniger als 5.000 E-Mails versendest, bringen dich fehlgeschlagene DKIM-Prüfungen auf die Überholspur in Richtung Spam. Deshalb prüfen Zustellbarkeitstools wie MailReach auf einen gültigen DKIM-Eintrag.

Wenn du in MailReach eine “Missing DKIM”-Fehlermeldung siehst, bedeutet das, dass deine E-Mails nicht signiert sind und Postfächer wie Gmail nicht überprüfen können, ob sie wirklich von dir stammen.

Bis das behoben ist, ist dein Outreach entweder unsichtbar oder wird als unglaubwürdig eingestuft. DKIM ist einer der ersten und wichtigsten Schritte, um gesehen zu werden.

Bevor du DKIM einrichtest: Was du brauchst

1. Zugriff auf die DNS-Einstellungen deiner Domain

Du musst dich bei deinem DNS-Provider wie GoDaddy, Cloudflare oder Namecheap anmelden, um einen TXT- oder CNAME-Record hinzuzufügen. Wenn du keinen Zugriff hast, besorge ihn dir von demjenigen, der deine Domain verwaltet.

2. Zugriff auf deine E-Mail-Versandplattform

DKIM-Schlüssel werden innerhalb der Plattform generiert, die deine E-Mails sendet, Google Workspace, Microsoft 365, Zoho oder Mailgun. 

Diese Plattform muss so eingestellt sein, dass sie deine E-Mails signiert, bevor du den DNS-Eintrag hinzufügst.

3. Klarheit darüber, wer E-Mails von deiner Domain sendet

Cold Emails können über Tools wie Instantly, Smartlead oder Lemlist laufen. Marketing-E-Mails können von Mailchimp oder Brevo kommen.

Transaktions-E-Mails können über SendGrid, Postmark oder Amazon SES geroutet werden.

Jeder benötigt normalerweise seinen eigenen DKIM-Eintrag mit einem eindeutigen Selektor. Wenn du mehrere Tools verwendest, fügst du mehrere Einträge hinzu.

4. Eine Möglichkeit, zu testen, ob es funktioniert

Geh nicht einfach davon aus, dass es funktioniert, nachdem du den Record veröffentlicht hast. Du solltest überprüfen, ob E-Mails tatsächlich signiert werden.

Nutze den kostenlosen DKIM Checker von MailReach, nachdem du die Einrichtung abgeschlossen hast. Wir erklären später im Artikel, wie das geht (scrolle zum Ende). 

Wie man DKIM einrichtet

Das Einrichten von DKIM unterscheidet sich je nach E-Mail-Anbieter. Im Folgenden sind die gängigsten Plattformen aufgeführt. Wähle diejenige aus, die du verwendest, und befolge die genauen Schritte. 

DKIM in Google Workspace (Gmail) einrichten

1. Melde dich in der Google Admin Console mit einem Super Admin Konto an. Dies ist das Haupt-Admin-Konto, mit dem Google Workspace für deine Domain eingerichtet wurde. Wenn du keinen Zugriff darauf hast, musst du deinen IT-Admin oder Domain-Manager fragen.

Sobald du drin bist, geh zu: Apps → Google Workspace → Gmail → E-Mails authentifizieren
Hier siehst du eine Liste der mit deinem Konto verbundenen Domains. Wähle die Domain aus, die du zum Senden von E-Mails verwendest (z. B. deinefirma.de). Wenn DKIM noch nicht eingerichtet ist, siehst du eine Schaltfläche mit der Aufschrift “Neuen Eintrag generieren.” Klicke darauf.

 2. Du wirst nun aufgefordert, zwei Dinge auszuwählen:

• Ein Selektorname (verwende einfach google, die Standardeinstellung. Es gibt keinen Grund, ihn anzupassen, es sei denn, du hast einen bestimmten Grund)
• Eine Schlüssellänge (wähle 2048-Bit, was sicherer ist und von Google empfohlen wird)
  
  

Klicke auf Generieren. Google zeigt dir dann zwei wichtige Informationen:

• Ein DNS Hostname (z. B. google._domainkey.yourcompany.com)
  
  
• Ein TXT-Record-Wert — eine sehr lange Zeichenkette, die mit v=DKIM1; k=rsa; p=... beginnt. Dies ist dein öffentlicher DKIM-Schlüssel, und jetzt musst du ihn veröffentlichen, damit Mailserver ihn finden können.

3. Öffne das Dashboard deines DNS-Providers. Das ist der Ort, wo deine Domain gehostet wird. Gängige sind GoDaddy, Cloudflare, Namecheap oder Google Domains. Du wirst dort einen TXT-Eintrag hinzufügen, was vielleicht einschüchternd klingt, aber eigentlich nur ein Copy-Paste-Job ist.

4. Klicke in deinem DNS-Dashboard auf “Neuen Eintrag hinzufügen” und wähle:

• Typ: TXT
  
• Name / Host: google._domainkey (füge deine vollständige Domain nicht hinzu, es sei denn, dein Provider verlangt dies – viele füllen diesen Teil automatisch aus)
  
• Wert: füge die vollständige Schlüsselzeichenfolge ein, die du von Google erhalten hast
  

Speichere den Eintrag. DNS-Änderungen verbreiten sich typischerweise innerhalb von 5–30 Minuten, können aber in seltenen Fällen bis zu 24 Stunden dauern.

5. Geh jetzt zurück zur Google Admin Console und klicke auf “Authentifizierung starten”. Dadurch wird Google angewiesen, alle deine ausgehenden E-Mails mit diesem DKIM-Schlüssel zu signieren. Wenn ein Fehler angezeigt wird, liegt das wahrscheinlich daran, dass der DNS-Eintrag noch nicht übernommen wurde. Warte 10–30 Minuten und versuche es erneut.

6. Sobald die Authentifizierung startet, zeigt Google den Status “E-Mail mit DKIM wird authentifiziert” an. Das bedeutet, es ist live.

7. Um zu bestätigen, dass alles funktioniert, sende eine Test-E-Mail von deiner Domain an ein Gmail-Konto (z. B. dein persönliches). Öffne die E-Mail, klicke auf die drei Punkte oben rechts und wähle “Original anzeigen”. Scrolle nach unten und suche nach dieser Zeile:

dkim=pass header.i=@yourcompany.com

Wenn du das siehst, bist du startklar. Deine Domain ist jetzt DKIM-geschützt, und deine E-Mails landen eher in Posteingängen als im Spam.

Du musst dies nur einmal pro Domain tun, und du bist fertig. DKIM ändert sich nicht oft, aber wir empfehlen, wöchentlich oder nach DNS-Änderungen einen kurzen Email Spam Test durchzuführen. Dies hilft, versehentliche Probleme zu erkennen, bevor sie die Zustellbarkeit beeinträchtigen.

✅ DKIM in Microsoft 365 einrichten (Outlook / Office 365)

Wenn deine geschäftliche E-Mail über Microsoft 365 (z. B. Outlook) läuft, werden deine Nachrichten standardmäßig mit dem gemeinsam genutzten DKIM-Schlüssel von Microsoft signiert, der an onmicrosoft.com gebunden ist, was nicht ideal ist, insbesondere wenn du Cold Outreach betreibst. Du solltest den DKIM deiner eigenen Domain verwenden, damit deine Nachrichten legitim und vertrauenswürdig aussehen, insbesondere für Gmail und andere Spamfilter.

1. Melde dich zunächst als Administrator im Microsoft 365 Defender Portal an:
   
   
2. Geh zu https://security.microsoft.com → und navigiere dann zu:
   Email & Collaboration → Policies & Rules → Threat Policies → DKIM
   
   
3. Hier siehst du eine Liste deiner E-Mail-Domains. Finde die Domain, von der du E-Mails sendest (wie deinefirma.de) und klicke darauf.
   
   
4. Wenn DKIM noch nicht eingerichtet ist, siehst du die Option “DKIM-Schlüssel erstellen”. Klick drauf! Microsoft generiert dann zwei DNS-Einträge, die du zu den DNS-Einstellungen deiner Domain hinzufügen musst. Das sind CNAME-Einträge, keine TXT – und du musst beide hinzufügen.
   
   
5. Microsoft zeigt dir die zu verwendenden Werte. Für jeden einzelnen erhältst du:

• Ein Name / Host wie selector1._domainkey.yourcompany.com
  
  
• A Points to / Value like: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  
  

6. Kopiere beide Records: einen für selector1 und einen für selector2.
7. Gehe als Nächstes zu deinem DNS-Provider (z. B. GoDaddy, Cloudflare, Namecheap—wo auch immer deine Domain verwaltet wird).
8. Füge zwei neue CNAME-Einträge hinzu, wobei du die exakten Namen und Werte von Microsoft verwendest:
   
   

• Typ: CNAME
  
  
• Name: selector1._domainkey
  
  
• Value: selector1-yourcompany-com._domainkey.<region>.onmicrosoft.com
  

• Typ: CNAME
  
  
• Name: selector2._domainkey
  
  
• Value: selector2-yourcompany-com._domainkey.<region>.onmicrosoft.com
  Save both records. Make sure to replace <region> with what Microsoft shows (like europe or us), and match your actual domain. Once added, give the records some time to propagate—5 minutes to a few hours depending on your DNS provider.
  
  

9. Sobald die Records gespeichert sind und etwas Zeit hatten, sich zu verbreiten, geh zurück zum Microsoft Defender Portal, wo du die Keys erstellt hast.
10. Dort siehst du jetzt einen Schalter, der so etwas sagt wie "Nachrichten für diese Domain mit DKIM-Signaturen signieren". Stell den Schalter auf Ein.

Wenn alles korrekt eingerichtet ist, bestätigt Microsoft, dass DKIM jetzt aktiv ist. Ab diesem Zeitpunkt wird jede E-Mail, die von deiner Domain über Microsoft 365 gesendet wird, mit den eigenen DKIM-Schlüsseln deiner Domain signiert.

Um doppelt zu checken, ob alles funktioniert:

• Sende eine Test-E-Mail an einen Gmail- oder Yahoo-Posteingang
  
  
• Öffne die Nachricht → klicke auf das Drei-Punkte-Menü → “Original anzeigen”
  
  
• Suche nach dieser Zeile:
  dkim=pass header.i=@yourcompany.com
  
  

Wenn du dkim=pass siehst, herzlichen Glückwunsch, es funktioniert alles.

Sobald das erledigt ist, musst du es nicht mehr anfassen, es sei denn, du änderst dein DNS oder möchtest Schlüssel aus Sicherheitsgründen rotieren. Microsoft übernimmt die Schlüsselrotation im Hintergrund automatisch mithilfe dieser beiden Selektoren (selector1 und selector2), sodass du abgesichert bist.

Warum das wichtig ist: Ohne diese Einrichtung werden deine E-Mails möglicherweise als verdächtig eingestuft, insbesondere bei den neuen Regeln für Massenversender von Google Mail. DKIM hilft dir, eine starke Absenderreputation aufzubauen, was entscheidend ist, wenn du Cold Outreach betreibst oder Posteingänge mit email warmup Tools wie MailReach aufwärmst.

DKIM mit anderen E-Mail-Anbietern einrichten (GoDaddy, Zoho, Mailchimp)

Auch wenn du Google Workspace oder Microsoft 365 nicht zum Versenden von E-Mails verwendest, musst du DKIM einrichten.

Die meisten Anbieter, einschließlich GoDaddy E-Mail-Hosting, Zoho Mail, Mailchimp, SendGrid oder Brevo, generieren einen DKIM, den du kopieren und in deine Domain-Einstellungen einfügen musst.

Wir führen dich durch drei der gängigsten Nicht-Google/Microsoft-Setups:

GoDaddy Email Hosting (cPanel oder GoDaddy Webmail)

Wenn du deine Domain und E-Mail über GoDaddy gekauft hast und deren integrierten E-Mail-Service (Webmail oder cPanel-basiert) nutzt, solltest du Folgendes tun:

1. Logge dich in dein GoDaddy-Konto ein und öffne dein cPanel-Dashboard (für cPanel-Pläne) oder E-Mail & Office-Dashboard (für GoDaddy Webmail).
   
2. In cPanel suchst du nach einem Abschnitt namens E-Mail-Zustellbarkeit oder E-Mail-Authentifizierung.
   Hier findest du die DKIM-Einstellungen, falls vorhanden.
   
   
   • Wenn DKIM bereits aktiviert ist, zeigt cPanel den vorhandenen TXT-Eintrag und ob er funktioniert.
     
   • Wenn nicht, klicke auf “DKIM aktivieren” oder “Reparieren”.
     
3. Wenn GoDaddy den DKIM-Eintrag manuell bereitstellt:
   
   • Kopiere den Namen / Host (so etwas wie default._domainkey.yourdomain.com)
     
   • Kopiere den TXT Value (beginnt mit v=DKIM1; k=rsa; p=...)
     
4. Geh zu deinem GoDaddy DNS-Einstellungen (Meine Produkte → Domain → DNS verwalten).
   
   • Klicke auf Hinzufügen → Wähle TXT
     
   • Host: der Selektor + _domainkey (z.B. default._domainkey)
     
   • Wert: füge die lange Schlüsselzeichenfolge aus Schritt 3 ein
     
   • Speichern und warten. DNS aktualisiert sich normalerweise innerhalb von Minuten, kann aber bis zu 48 Stunden dauern.

Zoho Mail

Zoho Mail ist beliebt bei Startups und kleinen Unternehmen. Hier erfährst du, wie du DKIM in Zoho einrichtest:

1. Geh zur Zoho Mail Admin Console
   
2. Gehe zu:
   Mail Administration > Domains > [deine Domain] > DKIM
   
3. Klicke auf “Add Selector” und wähle einen Selektornamen — etwas wie zoho oder default funktioniert gut.
   
4. Zoho zeigt dir dann den DNS-Eintrag, den du veröffentlichen musst:
   
   • Host: zoho._domainkey.yourdomain.com (oder gib die vollständige Domain an, falls erforderlich)
     
   • Typ: TXT
     
   • Wert: eine lange Zeichenkette, die mit v=DKIM1; p=... beginnt
     
5. Geh zu deinem DNS-Provider und füge einen TXT Record mit:
   
   
   • Host: zoho._domainkey
     
   • Wert: füge den Schlüssel von Zoho ein
     
6. Zurück in Zoho Admin, klicke auf “Verify”, sobald der Datensatz übertragen wurde.
   

✅ Sobald die Überprüfung abgeschlossen ist, beginnt Zoho mit der Signierung aller ausgehenden E-Mails mit DKIM.

E-Mail-Marketing- & Transaktionsplattformen (Mailchimp, SendGrid, Brevo usw.)

Diese Plattformen geben dir in der Regel mehrere DNS-Einträge zum Veröffentlichen für DKIM- (und SPF- oder DMARC-) Einträge. Das gebräuchlichste Format umfasst zwei CNAME-Einträge:

1. Gehe im Dashboard deines E-Mail-Tools zum Abschnitt Domain Authentication oder Sender Verification.
   (In Mailchimp: Website > Domains > Authenticate)
   
   
2. Füge deine Domain hinzu, und das Tool generiert die benötigten Einträge.
   
   • Typischerweise beinhaltet dies 1–2 CNAME-Einträge für DKIM
     
   • Manchmal ist auch ein TXT-Eintrag für SPF enthalten
     
3. Kopiere jeden Record und füge ihn zu den DNS-Einstellungen deiner Domain hinzu.
   
   Beispiel (Mailchimp)
   
   
   • CNAME 1: k1._domainkey.deinedomain.com → dkim.mailchimp.com
     
   • CNAME 2: k2._domainkey.deinedomain.com → dkim2.mailchimp.com
     
4. Sobald du es hinzugefügt hast, gehe zurück zur Plattform und klicke auf Verify oder Authenticate
   .

• Für SendGrid, Brevo und die meisten anderen Plattformen ist die Einrichtung ähnlich: Sie zeigen Host/Value-Paare an, oft mte1._domainkey / dkim1 usw., die du als CNAMEs in deinem DNS-Panel eingeben musst.

SPF vs. DKIM vs. DMARC: Was ist der Unterschied?

Diese drei Akronyme tauchen oft zusammen auf und funktionieren am besten als Team. Hier ist, wie sie sich aufschlüsseln:

Brauchst du alle drei?

Ja, idealerweise schon. Aber DKIM ist oft das Wichtigste, wenn es um Zustellbarkeit und Domain-Vertrauen geht, besonders bei Gmail und Outlook.

Wenn du bei Null anfängst, beginne mit DKIM und SPF. Füge dann DMARC hinzu, wenn du bereit bist, die Richtlinien zu überwachen und durchzusetzen.

Lass nicht zu, dass ein perfektes Setup im Spam endet   

An diesem Punkt hast du die schwierigen Teile erledigt: DKIM eingerichtet, deine Domain authentifiziert und mit dem Warmup deines Posteingangs begonnen. Das ist das Fundament.

Aber eine konsistente Zustellbarkeit ist ein fortlaufender Prozess.

Was hält es stark?

• Stabile Sendemuster (keine plötzlichen Volumensprünge)

• Konsistente Engagement-Signale (Öffnungen, Antworten, wenig Spam)

• Sauberes Absenderverhalten (keine schlechten Listen oder Blacklist-Links)

MailReach überwacht all dies im Hintergrund. Wenn deine Inbox-Reputation nachlässt, weißt du, was los ist, bevor es deine Kampagnen ruiniert. 

Nutze MailReach, um im Posteingang zu bleiben, und nicht nur einmal dorthin zu gelangen.

Melde dich jetzt bei MailReach an.