Überprüfen Sie Ihren DKIM-Eintrag sofort, indem Sie Ihren Domainnamen und Ihren Selektor eingeben. Unser kostenloses DKIM-Prüftool überprüft Ihren öffentlichen Schlüssel, validiert die Syntax, erkennt Fehlkonfigurationen und identifiziert Authentifizierungsfehler. Erhalten Sie sofortige Ergebnisse – eine Registrierung ist nicht erforderlich.
Informationen zur automatisierten DKIM-Verwaltung und Schlüsselrotation finden Sie in unserem Hosted-DKIM-Service.
Bereich
Selektor
DKIM-Status
DKIM-Status
Datensatz-Prüfungen
| Gültiger DKIM-Eintrag | |
| Öffentlicher Schlüssel gefunden | |
| Schlüssel-Algorithmus | |
| Fehler-Details | |
| Warnung |
| Tag | Wert | Beschreibung |
|---|---|---|
| v | Version | |
| g | Granularität des Schlüssels | |
| h | DKIM-Hash-Algorithmus | |
| k | DKIM-Schlüsseltyp | |
| n | Hinweise | |
| p | Öffentlicher Schlüssel | |
| s | Service-Typ | |
| t | Flag |
0+
Organisationen weltweit0+
Fortune-100-Unternehmen und Regierungen0+
Länder, in denen wir tätig sindSo überprüfen Sie Ihren DKIM-Eintrag in 3 einfachen Schritten:
Geben Sie Ihre Domain ein (z. B. yourdomain.com), ohne die Präfixe „http://“, „www“ oder „mail.“. Wenn Sie mehrere Selektoren haben, müssen Sie jeden einzeln überprüfen.
Der Selektor ist eine Bezeichnung, die angibt, welcher öffentliche Schlüssel verwendet werden soll. Gängige Standardwerte: google, selector1, selector2, k1, s1.
Die DKIM-Ergebnisse werden sofort angezeigt. Ein „Bestanden“ bedeutet, dass der DKIM-Eintrag vorhanden und syntaktisch korrekt ist und einen gültigen öffentlichen Schlüssel enthält.
DKIM steht für „DomainKeys Identified Mail“. Es handelt sich um ein E-Mail-Authentifizierungsprotokoll, mit dem sendende Server Nachrichten digital signieren können. Ein DKIM-Eintrag ist ein DNS-TXT-Eintrag, der unter selector._domainkey.yourdomain.com veröffentlicht wird und den öffentlichen Schlüssel enthält, mit dem Empfänger die Signaturen Ihrer E-Mails überprüfen. DKIM schützt vor Manipulationen am Inhalt und vor Spoofing und ist eine wesentliche Voraussetzung für die DMARC-Konformität und die Zustellbarkeit von E-Mails.
Für ein tieferes Verständnis lesen Sie bitte unseren:
Die DKIM-Signierung und -Überprüfung erfolgt in vier Schritten:
Ihr Mail-Server signiert die E-Mail mit einem auf dem Server gespeicherten privaten Schlüssel und erstellt dabei einen DKIM-Signature-Header, der die Kopfzeilen und den Textkörper der Nachricht umfasst.
Die signierte E-Mail (mit dem DKIM-Signature-Header) wird an den empfangenden Mailserver gesendet.
Der empfangende Server ermittelt den öffentlichen Schlüssel, indem er Ihren DNS-Eintrag unter selector._domainkey.yourdomain.com.
Der Empfänger verwendet den öffentlichen Schlüssel, um die Signatur zu überprüfen. Ist die Signatur gültig, wird die DKIM-Prüfung bestanden. Ist die Signatur ungültig oder fehlt sie, wird die DKIM-Prüfung nicht bestanden.
Unser DKIM-Checker führt acht Kernprüfungen Ihres DNS-Eintrags durch. Hier erfahren Sie, was die einzelnen Prüfungen bedeuten:
Überprüft, ob unter selector._domainkey.yourdomain.com ein DKIM-Eintrag vorhanden ist. Wird kein Eintrag gefunden, ist DKIM für diese Domain und diesen Selektor nicht eingerichtet.
Überprüft, ob der Datensatz gemäß RFC 6376 (dem DKIM-Standard) korrekt formatiert ist, und kennzeichnet fehlende oder fehlerhafte Tags.
Gibt an, ob das „p=“-Tag vorhanden ist und einen nicht leeren öffentlichen Schlüssel enthält. Ist „p=“ leer, wurde der Schlüssel widerrufen.
Ermittelt den Schlüsseltyp: RSA (am häufigsten) oder Ed25519 (neuer, effizienter) und kennzeichnet unbekannte Algorithmen.
Überprüft, ob „h=sha256“ festgelegt ist, und kennzeichnet „h=sha1“ als veraltet und unsicher.
Bei RSA-Schlüsseln werden Schlüssel mit einer Schlüssellänge unter 2048 Bit als schwach eingestuft, da RSA-2048 oder Ed25519 empfohlen werden.
Gibt an, ob „s=email“ vorhanden ist. Falls dies nicht der Fall ist, wird der Datensatz möglicherweise nicht von allen Empfängern korrekt verarbeitet.
Zeigt den vollständigen DNS-Abfragepfad (selector._domainkey.domain.com) an, damit Sie die Position des Eintrags bei Ihrem DNS-Anbieter überprüfen können.
Ein DKIM-Selektor ist eine Kennung in Ihrem DNS, die angibt, welcher öffentliche Schlüssel verwendet werden soll. Viele Organisationen verfügen über mehrere DKIM-Einträge – einen pro E-Mail-Dienstanbieter (ESP) oder Mailserver. Der Selektor teilt den Empfängern mit, welchen Eintrag sie nachschlagen sollen.
E-Mail-Header überprüfen
Öffnen Sie eine E-Mail, die von Ihrer Domain gesendet wurde (in Gmail, Outlook usw.)
Klicken Sie auf „Original anzeigen“ oder „Nachrichtenquelle anzeigen“
Finde die DKIM-Signature Überschrift
Halten Sie Ausschau nach dem s= Tag – das ist dein Selektor
s=google bedeutet, dass dein Selektor „google“ lautet Überprüfen Sie die Verwaltungskonsole Ihres E-Mail-Anbieters
Verschiedene Infrastrukturanbieter verwenden unterschiedliche Standard-Zeichenfolgenstrukturen. In der Tabelle finden Sie gängige Standardkonfigurationen für Selektoren.
| ESP-Plattform | Selektoren | Hinweis zur Infrastruktur |
|---|---|---|
| Google Arbeitsbereich | google | Ein einziger Selektor für alle von Google gehosteten E-Mail-Bereitstellungen |
| Microsoft 365 | selector1, selector2 | Microsoft verwendet abwechselnd zwei Schlüssel für die Rotation und die Redundanz |
| Mailchimp | k1 | Standard-Basis-Schlüssel, der häufig für transaktionale Marketing-E-Mails verwendet wird |
| SendGrid | s1, s2 oder s201801, s201802 | Die genauen Werte entnehmen Sie bitte Ihrem persönlichen SendGrid-Dashboard. |
| Amazon SES | Individuell (variiert) | Dieses spezifische Zeichenfolgenprofil legen Sie bei der Generierung von DKIM manuell fest. |
| Zoho Mail | zmail1 | Einzelner Standardparameter für die Systemvalidierung |
| Office 365 | selector1, selector2 | Befolgt dieselben Regeln zur strukturellen Ausrichtung wie das Cloud-Routing von Microsoft 365 |
Lassen Sie unser Tool diese automatisch erkennen: Verzichten Sie gänzlich auf manuelle Suchen. Lassen Sie unseren automatisierten Scanner Ihre Domain-Infrastruktur analysieren, um aktive Selektoren sofort zu identifizieren.
Probieren Sie gängige Standardwerte aus, wie zum Beispiel google, selector1, selector2, k1, s1, oder mail
Schauen Sie in den Hilfe-Dokumenten Ihres E-Mail-Anbieters nach (die meisten Anbieter geben ihren Standard-Selektor an).
Wenn Sie es immer noch nicht finden können, wenden Sie sich bitte an den Support Ihres E-Mail-Anbieters.
Hier sind die fünf häufigsten DKIM-Probleme und wie man sie behebt:
Kein DKIM-Eintrag gefunden
Ursache: Der DNS-TXT-Eintrag ist nicht an der erwarteten Stelle veröffentlicht, oder es wird der falsche Selektor überprüft.
Empfohlene Lösungen:
Selektor-Diskrepanz
Ursache: Der Selektor im DKIM-Signature-Header der E-Mail stimmt nicht mit dem Selektor überein, den Sie im DNS überprüfen.
Empfohlene Lösungen:
Schlüssel widerrufen (p= Tag ist leer)
Grund: Der öffentliche Schlüssel wurde absichtlich widerrufen, indem die p= Tag leer oder nicht definiert.
Empfohlene Lösungen:
Schwacher Schlüsselalgorithmus oder Schlüssellänge
Ursache: Der Schlüssel ist RSA-1024 (zu kurz), verwendet SHA-1 (veraltet) oder weist eine andere schwache Konfiguration auf.
Empfohlene Lösungen:
h=sha256) DKIM wird bestanden, DMARC jedoch nicht
Grund: Die DKIM-Signatur ist gültig, aber die signierende Domain (d= (im DKIM-Signature-Header) stimmt nicht mit der Domain der Absenderadresse überein. DMARC verlangt eine Übereinstimmung.
Empfohlene Lösungen:
d= Domain zur Von Domäne
DKIM und DMARC sind beides Standards zur E-Mail-Authentifizierung, dienen jedoch unterschiedlichen Zwecken:
DKIM verwendet einen privaten Schlüssel auf Ihrem Mailserver, um E-Mails digital zu signieren. Die Empfänger überprüfen diese Signaturen mithilfe des öffentlichen Schlüssels aus Ihrem DNS-Eintrag. DKIM belegt, dass eine Nachricht von einem autorisierten Mailserver stammt und während der Übertragung nicht verändert wurde.
DMARC ist ein Richtlinienstandard, der den Empfängern vorgibt, wie sie vorgehen sollen, wenn DKIM (oder SPF) erfolgreich ist oder fehlschlägt. DMARC verlangt, dass DKIM-Signaturen mit der „From“-Domäne übereinstimmen, bevor ihnen vertraut wird.
Die DKIM-Signatur muss kryptografisch gültig sein
Die Signaturdomäne (d= (in der DKIM-Signatur) muss mit der Domain der Absenderadresse übereinstimmen
Beispiel: Eine mit DKIM signierte E-Mail von mail.example.com die DMARC-Überprüfung wird nur bestanden, wenn die Absenderadresse entweder @example.com (genaue Übereinstimmung) oder @mail.example.com mit aspf=r (Entspannungsmodus).
Überprüfen Sie mit unserem kostenlosen Abfrage-Tool sofort, ob Ihr DMARC-Eintrag aktiv, gültig und frei von Syntaxfehlern ist.
DMARC-Prüfprogramm →Der gehostete DMARC-Dienst von PowerDMARC begleitet Sie sicher von der Überwachung bis hin zur vollständigen Durchsetzung von „p=reject“ und bietet Ihnen dabei Transparenz in Echtzeit.
Gehostetes DMARC →PowerDMARC wertet Sammelberichte automatisch aus und benachrichtigt Sie, wenn neue Absender auftreten oder Authentifizierungsprobleme auftreten.
Kostenlos starten →
Regionalleiter für Auckland, Advantage
„Unser Geschäft basiert auf Vertrauen – nicht nur zwischen uns und unseren Kunden, sondern auch mit unseren Partnern. Dank der hervorragenden Partnerschaft mit PowerDMARC können wir unseren Kunden außergewöhnliche Dienstleistungen bieten.“
