Warum DKIM 2026 nicht mehr verhandelbar ist
Seit Februar 2024 verlangen Google, Yahoo und Microsoft hart, was BSI und DSGVO schon länger empfehlen: SPF, DKIM und DMARC — sauber ausgerichtet. Wer DKIM nicht signiert, landet im Spam-Ordner oder wird gar nicht erst zugestellt. Microsoft Exchange On-Premises bringt von Haus aus keinen DKIM-Signer mit. Genau diese Lücke füllt die ISW Exchange DKIM Signer Familie — in drei Editionen für jeden Einsatzfall.
Bessere Zustellrate
Gmail, Microsoft 365 und Yahoo stufen unsignierte E-Mails als verdächtig ein. DKIM sorgt dafür, dass Ihre Nachrichten im Posteingang landen — nicht im Spam.
Schutz vor Spoofing
Ohne gültigen privaten Schlüssel kann niemand E-Mails im Namen Ihrer Domain signieren. DKIM verhindert E-Mail-Spoofing zuverlässig.
Grundlage für DMARC
DMARC baut auf DKIM und SPF auf. Ohne DKIM ist keine effektive DMARC-Policy umsetzbar — und damit kein vollständiger E-Mail-Schutz.
Compliance-Anforderung
ISO 27001, BSI IT-Grundschutz, PCI-DSS und DSGVO fordern E-Mail-Authentifizierung. DKIM ist ein wesentlicher Baustein zur Erfüllung dieser Anforderungen.
Drei Editionen für drei Welten
Alle drei Editionen teilen den gleichen Engineering-Kern: Transport-Agent in .NET Framework 4.8, modernes WPF-Konfigurationstool in .NET 10, RSA-2048-Signing via MimeKit + BouncyCastle. Sie unterscheiden sich nur in dem, was darüber hinaus geht.
5.0.1 Classic
Ein Exchange-Server, eigene Domains, klassische Mail-Flows. Einmal aufsetzen, läuft.
- DKIM nach RFC 6376 / RSA-SHA256
- DNS-Live-Check + DNS-Dashboard
- Quick-Status-Kacheln
- Per-Domain-Statistiken
- Event-Log-Viewer
- Lokale Bedienung am Server
6.0.0 ARC-Edition
ARC nach RFC 8617 für Mailinglisten, Forwarding und vorgelagerte Gateways. Pflicht bei DMARC p=reject.
- Alles aus 5.0.1 Classic
- Vollständiger ARC-Sealer (RFC 8617)
- Ed25519-Support (RFC 8463)
- DMARC-Awareness
- ARC-Chain-Validation eingehend
- Pro-Domain: DKIM / ARC / beides
7.0.0 Remote-Deploy
Komplettes Management von der Admin-Workstation per PowerShell-Remoting. Server-Core-tauglich.
- Alles aus 5.0.1 Classic
- Remote-Deploy über WinRM
- Server-Core-tauglich
- Edge-Transport in der DMZ
- Kerberos- oder Basic-Auth
- Multi-Server-Management
settings.xml- und keys/-Verzeichnisse aus älteren Versionen werden ohne Migration übernommen.
Welche Edition passt zu Ihrem Setup?
Drei kurze Faustregeln, keine Wissenschaft:
Classic 5.0.1
Single-Server, Desktop-Edition, eigene Domains, keine Mailinglisten
ARC-Edition 6.0.0
Forwarding · Mailinglisten · Proofpoint / Mimecast / Hornetsecurity · DMARC p=reject
Remote-Deploy 7.0.0
Mehrere Exchange-Server · Server Core · Edge-DMZ · MSP-Setup
Wie das Lizenzmodell funktioniert
Klares Pauschalmodell ohne Abo, ohne versteckte Kosten. Eine Lizenz gilt unbefristet für einen Unternehmensstandort.
Im Klartext
- Eine Lizenz = ein Standort. Pauschal — Sie zahlen pro Unternehmensstandort einmalig, unabhängig davon, wie viele Exchange-Server, Domains oder E-Mails dort verarbeitet werden.
- Mehrere Standorte = mehrere Lizenzen. Jeder weitere Standort benötigt eine eigene Standortlizenz. Verschiedene Standorte können verschiedene Editionen einsetzen.
- Kein Upgrade-Pfad zwischen Editionen. Edition wechseln bedeutet, die neue Edition als Vollversion zu erwerben. Wir bauen kein Rabatt-Konstrukt zwischen 5.0.1, 6.0.0 und 7.0.0.
- Inklusive Bugfix-Updates innerhalb der gekauften Major-Version (z. B. 5.0.1 → 5.0.x). Major-Sprünge (5 → 6 oder 6 → 7) sind kostenpflichtige Neukäufe.
- Keine Laufzeit — die Lizenz gilt unbefristet.
Funktions-Matrix
| Funktion | 5.0.1 Classic |
6.0.0 ARC |
7.0.0 Remote |
|---|---|---|---|
| DKIM-Signing (RFC 6376) | ✓ | ✓ | ✓ |
| RSA-2048 / RSA-SHA256 | ✓ | ✓ | ✓ |
| Ed25519-Support (RFC 8463) | – | ✓ | – |
| ARC-Sealer (RFC 8617) | – | ✓ | – |
| DMARC-Awareness | – | ✓ | – |
| DNS-Live-Check | ✓ | ✓ | ✓ |
| Per-Domain-Statistiken | ✓ | ✓ | ✓ |
| Quick-Status-Dashboard | ✓ | ✓ | ✓ |
| Remote-Deploy via WinRM | – | – | ✓ |
| Server-Core-tauglich | – | – | ✓ |
| Edge-Transport-fähig | ✓ | ✓ | ✓ |
| DAG / Cluster-Support | ✓ | ✓ | ✓ |
| Konfig-Reload ohne Restart | ✓ | ✓ | ✓ |
| AES-256-Key-Encryption | ✓ | ✓ | ✓ |
| 30-Tage-Logging | ✓ | ✓ | ✓ |
Was alle drei Editionen können
- Automatische DKIM-Signierung aller ausgehenden E-Mails über den Exchange Transport Agent
- Modernes WPF-Konfigurationstool mit .NET 10 und MVVM-Architektur
- RSA-2048-Keygen direkt im Tool (BouncyCastle 2.6, MIT-lizenziert)
- Live-DNS-Validierung mit optionalem Google-DNS-8.8.8.8-Bypass
- Atomic-Swap-Settings-Reload — Settings-Änderungen sofort aktiv, ohne Service-Restart
- Defensive XML-Deserialisierung — beschädigte
settings.xmlcrasht den Agent nicht - Per-Domain-Statistiken: Erfolg / Fehler / Min-/Max-Latenz + Failure-Reason-Tracking
- AES-256 lokal verschlüsselte Schlüssel-Speicherung (kein DPAPI, kein Cloud-KMS)
- 30-Tage-Logging in
%ProgramData%\ISW Exchange DKIM Signer\Logs\ - Windows-Event-Log-Integration
- Keine Cloud-Komponenten · keine Telemetrie · kein „Phone Home"
Compliance ist kein Marketing-Sticker
Die ISW Exchange DKIM Signer Familie wird mit vollständiger Audit-Dokumentation ausgeliefert — Clean-Room-Statement, Code-Provenance-Tabelle, Verbatim-Lizenztexte aller Drittanbieter. Bereit für jeden Compliance-Audit.
Erfüllt
Systemvoraussetzungen
Exchange Server
- Exchange Server 2016 (RTM+)
- Exchange Server 2019 (RTM+)
- Exchange Server SE (RTM+)
- Mailbox Server oder Edge Transport
Betriebssystem
- Windows Server 2016 oder höher
- Server Core (nur 7.0.0)
- .NET Framework 4.8+ (Transport Agent)
- .NET 10 Desktop Runtime (Config-Tool)
Berechtigungen
- Lokale Administratorrechte
- Exchange Organization Management
- NETWORK SERVICE: Leserechte auf Keys
- WinRM 5985/5986 (nur 7.0.0)
Kryptographie
- RSA-2048 / RSA-SHA256 (alle Editionen)
- Ed25519 (nur 6.0.0)
- AES-256 (lokale Key-Encryption)
- Relaxed/Simple Kanonisierung
Bereit für saubere DKIM-Signierung?
Wählen Sie Ihre Edition im Shop oder fordern Sie eine 30-Tage-Demo-Lizenz an.
Zum Shop →