Findet DKIM-Selektoren automatisch

Kostenloses Tool

DKIM-Check

Prüfen Sie die DKIM-Einträge jeder Domain, ganz ohne Selektor

Kostenloser DKIM-Check für jede Domain. Geben Sie eine Domain ein: Wir finden ihre DKIM-Selektoren automatisch, Sie müssen den Namen also nicht vorher kennen. Sehen Sie jeden gefundenen Schlüssel, seinen Typ, seine Stärke und ob er aktiv, widerrufen oder falsch konfiguriert ist.

Geben Sie eine Domain ein. Fügen Sie einen Selektor hinzu, falls Sie ihn kennen; andernfalls prüfen wir die gängigsten.

Die Prüfung läuft in Ihrem Browser über DNS-over-HTTPS. Wir sehen niemals Nachrichteninhalte oder private Schlüssel. Wird ein aktiver Selektor gefunden, können sein Name und die Metadaten des öffentlichen Schlüssels gespeichert werden, um künftige Prüfungen zu beschleunigen und das Domain-Monitoring zu unterstützen.

So nutzen Sie diesen DKIM-Check

Drei Schritte vom Domainnamen zu einer belastbaren Aussage über die DKIM-Einrichtung.

  1. 1

    Domain eingeben

    Geben Sie eine beliebige Domain in das Formular oben ein. Kennen Sie den Selektor bereits, fügen Sie ihn für eine direkte Prüfung hinzu.

  2. 2

    Prüfung starten

    Mit Selektor prüfen wir ihn direkt. Ohne Selektor erkennen wir den E-Mail-Anbieter der Domain und probieren rund 125 gängige Selektornamen per DNS-over-HTTPS aus Ihrem Browser durch.

  3. 3

    Ergebnis, Schlüssel und Lücken ablesen

    Jeder gefundene Selektor wird bewertet: aktiv, schwach, im Testmodus, widerrufen oder defekt. Erwartete, aber fehlende Selektoren werden nach Anbieter benannt, damit Sie genau wissen, was Sie aktivieren müssen.

Was Sie aus einer DKIM-Prüfung erfahren

Eine DKIM-Prüfung beantwortet Fragen, die eine DMARC- oder SPF-Prüfung allein nicht klären kann. Nutzen Sie sie, um:

  • zu bestätigen, dass die DKIM-Signierung nach der Anbindung von Google Workspace, Microsoft 365 oder einem ESP tatsächlich aktiv ist.
  • den Selektornamen eines Anbieters zu finden, ohne sich durch rohe E-Mail-Header zu wühlen.
  • eine defekte CNAME-Delegation aufzuspüren, den häufigsten DKIM-Fehler bei Microsoft 365.
  • einen schwachen oder veralteten Schlüssel zu erkennen, bevor ein Empfänger ihn abzulehnen beginnt.
  • zu prüfen, ob ein Schlüssel nach der Rotation eines kompromittierten Selektors korrekt widerrufen wurde.
  • die DKIM-Einrichtung eines Dienstleisters oder Partners zu prüfen, bevor Sie in dessen Namen versendeten E-Mails vertrauen.

DKIM verstehen

Was ist ein DKIM-Selektor?

Ein Selektor ist die Kennung im DNS einer Domain, die auf einen bestimmten öffentlichen DKIM-Schlüssel verweist, veröffentlicht als TXT-Record unter {selector}._domainkey.{domain}. Selektoren erlauben einer Domain, mehrere Schlüssel gleichzeitig zu betreiben, etwa einen pro Sendeplattform, und einen Schlüssel zu rotieren, ohne andere Selektoren anzufassen.

Warum manche DKIM-Einträge CNAMEs sind

Microsoft 365 und mehrere andere Anbieter veröffentlichen DKIM-Selektoren als CNAME-Records, die auf einen vom Anbieter kontrollierten Hostnamen verweisen, statt als direkten TXT-Record. So kann der Anbieter den zugrunde liegenden Schlüssel rotieren, ohne dass der Domaininhaber im DNS eingreifen muss. Das bedeutet aber auch: Ein defektes oder gelöschtes CNAME-Ziel deaktiviert DKIM lautlos, bis jemand es prüft.

1024-Bit- vs. 2048-Bit-Schlüssel

RFC 8301 legt die Untergrenze fest: Empfänger müssen jeden DKIM-Schlüssel unter 1024 Bit ablehnen. 1024-Bit-RSA-Schlüssel funktionieren noch, gelten aber gegen moderne Faktorisierungsangriffe als schwach; für neue Schlüssel werden aktuell 2048 Bit oder mehr empfohlen. Ed25519-Schlüssel (RFC 8463) erreichen mit anderer Kryptografie bei einer festen Größe von 256 Bit eine gleichwertige Stärke.

Einen DKIM-Schlüssel rotieren

Rotation bedeutet: einen neuen Selektor mit neuem Schlüssel veröffentlichen, die Sendeplattform auf die Signierung damit umstellen und erst danach den alten Selektor widerrufen, indem sein p=-Tag geleert wird. Wird der alte Schlüssel widerrufen, bevor der neue nachweislich funktioniert, bricht die Signierung vollständig ab. Die beiden Schritte dürfen deshalb nie in derselben Änderung erfolgen.

Warum manche Anbieter den Selektor verbergen

Amazon SES und Salesforce Marketing Cloud erzeugen für jede verifizierte Domain einen zufälligen Selektornamen, etwa eine lange hexadezimale Kennung. Es gibt keinen festen Namen zum Erraten und kein Wörterbuch, das sie abdeckt, sodass ein Check-Tool die Existenz des Schlüssels nicht durch Probieren bestätigen kann. Deshalb meldet dieses Tool für diese Anbieter „nicht erkennbar“ statt „kein DKIM“: Der Schlüssel ist mit hoher Wahrscheinlichkeit vorhanden, nur unter einem Namen, den ausschließlich die Plattform kennt. Um ihn zu sehen, öffnen Sie das DNS- oder Sende-Dashboard des Anbieters, oder fügen Sie eine echte Nachricht in den E-Mail-Header-Analyzer ein, der den Selektor direkt aus dem DKIM-Signature-Header ausliest.

Häufige Fragen

Was ist DKIM?
DKIM (DomainKeys Identified Mail, RFC 6376) ermöglicht es einer sendenden Domain, ausgehende E-Mails kryptografisch zu signieren. Der öffentliche Schlüssel wird als DNS-TXT-Record veröffentlicht, der private Schlüssel signiert jede Nachricht. Ein empfangender Server ruft den öffentlichen Schlüssel ab und prüft die Signatur. Das bestätigt, dass die Nachricht unterwegs nicht verändert wurde und tatsächlich von einem Server gesendet wurde, der den privaten Schlüssel dieser Domain besitzt.
Was ist ein DKIM-Selektor?
Ein Selektor ist die Kennung, die einem Empfänger mitteilt, welchen öffentlichen DKIM-Schlüssel er für eine bestimmte Signatur abrufen soll. Der DNS-Eintrag liegt unter {selector}._domainkey.{domain}. Ein Selektor namens „google“ für example.com veröffentlicht seinen Schlüssel also unter google._domainkey.example.com. Domains können mehrere Selektoren gleichzeitig betreiben und zwischen ihnen rotieren.
Wie finde ich den DKIM-Selektor meiner Domain?
Der Selektor wird nirgends eigenständig veröffentlicht. Er erscheint im s=-Tag eines DKIM-Signature-Headers einer Nachricht, die die Domain tatsächlich versendet hat, oder in der Einrichtungsdokumentation Ihres E-Mail-Anbieters. Dieses Tool umgeht das, indem es Ihren Anbieter anhand Ihrer MX- und SPF-Einträge erkennt und rund 125 gängige Selektornamen durchprobiert, die Anbieter üblicherweise verwenden.
Warum zeigt meine DKIM-Prüfung „kein aktiver Schlüssel“?
Dieses Ergebnis bedeutet, dass wir mindestens einen DKIM-Selektor gefunden haben, aber keiner davon nutzbar ist: ein leeres p=-Tag (ein widerrufener Schlüssel), ein ungültiger Eintrag oder ein CNAME, der nicht mehr auflöst. Funktional entspricht das dem vollständigen Fehlen von DKIM, bis der Schlüssel repariert oder rotiert wird.
Ist ein 1024-Bit-DKIM-Schlüssel sicher genug?
RFC 8301 verlangt von Empfängern, jeden DKIM-Schlüssel unter 1024 Bit abzulehnen, stuft 1024-Bit-RSA-Schlüssel vorerst als akzeptabel, aber schwach ein und empfiehlt für neue Schlüssel 2048 Bit oder mehr. Ed25519-Schlüssel (RFC 8463) nutzen 256-Bit-Schlüssel mit anderer Mathematik und gelten bei dieser Größe als stark.
Warum zeigt DKIM „nicht erkennbar“ statt eines Ergebnisses?
Manche Anbieter, allen voran Amazon SES und Salesforce Marketing Cloud, erzeugen zufällige, pro Domain unterschiedliche Selektornamen, die sich weder erraten noch per Wörterbuch durchprobieren lassen. Erkennen wir einen dieser Anbieter und finden nichts, melden wir „nicht erkennbar“ statt „kein DKIM“, denn der Schlüssel könnte durchaus unter einem für uns nicht vorhersehbaren Selektor existieren. Prüfen Sie das Dashboard der Sendeplattform, oder nutzen Sie unseren E-Mail-Header-Analyzer für eine echte Nachricht, um den tatsächlich verwendeten Selektor zu sehen.
Ist dieser DKIM-Check kostenlos?
Ja. Der DKIM-Check ist vollständig kostenlos und ohne Registrierung nutzbar. Die Prüfung läuft in Ihrem Browser über öffentliche DNS-over-HTTPS-Resolver, sodass nichts über die geprüfte Domain auf unseren Servern gespeichert wird, außer ein Selektor wird gefunden. Dann können lediglich der Selektorname und Metadaten des öffentlichen Schlüssels gespeichert werden, um künftige Prüfungen zu beschleunigen.