So finden Sie Ihren DKIM-Selektor und verwalten DKIM-Schlüssel

Was bewirkt die E-Mail-Authentifizierung? Ja, sie blockiert gefälschte Nachrichten, aber sie spielt auch eine entscheidende Rolle beim Schutz der Markenreputation und stellt sicher, dass legitime E-Mails tatsächlich den Posteingang erreichen. Unter den wichtigsten Authentifizierungsprotokollen sticht DKIM hervor, indem es jeder Nachricht eine kryptografische Signatur hinzufügt, die belegt, dass sie während der Übertragung nicht verändert wurde.

Im Mittelpunkt von DKIM steht der DKIM-Selektor. Obwohl er oft übersehen wird, bestimmt der Selektor, welchen öffentlichen Schlüssel die empfangenden Server zur Überprüfung der Signatur Ihrer E-Mail verwenden sollen, was ihn für eine erfolgreiche DKIM-Authentifizierung über verschiedene E-Mail-Ströme und Anbieter hinweg unverzichtbar macht.

In diesem Blog erklären wir Ihnen alles, was Sie über DKIM-Selektoren wissen müssen, und zeigen Ihnen, wie Sie häufige Fehler beheben können, die die Authentifizierung beeinträchtigen und die Zustellbarkeit beeinträchtigen können.

Was ist ein DKIM-Selektor?

Ein DKIM-Selektor ist eine eindeutige Kennung, die bei der DKIM-Authentifizierung verwendet wird und den empfangenden Mail-Servern mitteilt, welchen öffentlichen Schlüssel sie aus dem DNS abrufen müssen, um die DKIM-Signatur. Er ermöglicht es einer Domain, mehrere DKIM-Schlüssel gleichzeitig zu verwenden, was die Schlüsselrotation und -verwaltung vereinfacht, ohne die E-Mail-Zustellung zu unterbrechen.

Beispiel:

DKIM-Signatur: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…

Hier steht „s=“ für den Selektor. In diesem Beispiel weist „s=selector1“ den Server an, folgende Abfrage durchzuführen:
selector1._domainkey.example.com

So funktioniert die DKIM-Authentifizierung (Schritt für Schritt)

Wie oben erläutert, funktioniert DKIM, indem es jeder ausgehenden E-Mail, die von Ihrer DKIM-fähigen Domain gesendet wird, eine kryptografische Signatur hinzufügt.

• Schritt 1: Der sendende Mailserver signiert die ausgehende E-Mail mit einem privaten kryptografischen Schlüssel. Diese Signatur wird zusammen mit einem DKIM-Selektor, der angibt, welcher Schlüssel verwendet wurde, in den E-Mail-Header eingefügt.
• Schritt 2: Der empfangende Mailserver sucht nach dem öffentlichen Schlüssel. Dazu fragt er das DNS unter Verwendung des Selektors ab.
• Schritt 3: Sobald der öffentliche Schlüssel gefunden wurde, verwendet der empfangende Server ihn, um die Signatur im E-Mail-Header zu überprüfen. Stimmt die Signatur überein, wird DKIM bestanden, was bestätigt, dass die Nachricht während der Übertragung nicht verändert wurde und von der sendenden Domain autorisiert wurde.

Beachten Sie jedoch, dass DKIM am besten in Verbindung mit SPF und DMARCund allein Spoofing und Phishing verhindern.

So finden Sie einen DKIM-Selektor (Schritt-für-Schritt-Anleitung)

Methode A: E-Mail-Header überprüfen (manuell)

1) Senden Sie eine Test-E-Mail an Ihr Gmail-Konto
2) Klicken Sie auf die drei Punkte neben der E-Mail in Ihrem Gmail-Posteingang

3) Wählen Sie "Original anzeigen".

4) Navigieren Sie auf der Seite "Originalnachricht" zum unteren Ende der Seite zum Abschnitt "DKIM-Signatur" und versuchen Sie, das Tag "s=" zu finden; der Wert dieses Tags ist Ihr DKIM-Selektor.

Im obigen Beispiel ist s1 mein DKIM-Selektor. Dies ist eine der Methoden, die Sie verwenden können, um Ihren zu identifizieren und zu finden.

Methode B: E-Mail-Anbietereinstellungen verwenden

Schritt 1: Melden Sie sich bei der Verwaltungskonsole Ihres E-Mail-Dienstanbieters an.

Schritt 2: Navigieren Sie zum Abschnitt „E-Mail-Authentifizierung“ oder „DNS-Konfiguration“.
Schritt 3: Suchen Sie die DKIM-Einstellungen für Ihre Domain.
Schritt 4: Identifizieren Sie den Selektorwert, der beim DKIM-TXT-Eintrag aufgeführt ist.

Methode C: Verwendung von DKIM-Lookup-/Checker-Tools

Schritt 1: Öffnen Sie das PowerDMARC DKIM Checker -Tool.

Schritt 2: Geben Sie Ihren Domainnamen ein und belassen Sie das Auswahlfeld auf „Auto“.

Schritt 3: Klicken Sie auf „Lookup-
“ (Lookup-Verzeichnis durchsuchen). Schritt 4: Lassen Sie unser Tool Ihren DKIM-Selektor automatisch erkennen und anzeigen.

Methode D: Verwendung von DMARC-Überwachungstools

DMARC-Berichtstools wie PowerDMARC bieten Einblick in DKIM-Selektoren, die von Absendern aktiv verwendet werden.

Schritt 1: Aktivieren Sie die DMARC-Aggregatberichterstattung für Ihre Domain, indem Sie sich bei PowerDMARC anmelden.
Schritt 2: Überprüfen Sie die Authentifizierungsergebnisse für jede Absenderquelle.
Schritt 3: Identifizieren Sie die DKIM-Selektorwerte, die pro Quelle und IP gemeldet werden.

Methode E: Verwendung von Befehlszeilentools

Für technisch versierte Nutzer bieten Befehlszeilentools direkten Zugriff auf DNS-Einträge und DKIM-Selektoren.

Verwendung des Befehls „dig“:

So fragen Sie einen bestimmten DKIM-Selektor ab:

dig TXT selector1._domainkey.example.com

Verwendung des Befehls „nslookup“:

nslookup -type=TXT selector1._domainkey.example.com

Hinweis: Sie müssen den Namen des Selektors im Voraus kennen, um diese Befehle effektiv nutzen zu können.

So finden Sie einen DKIM-Selektor bei verschiedenen E-Mail-Anbietern

Jeder E-Mail-Anbieter hat eigene Schritte zum Auffinden von DKIM-Selektoren. Hier finden Sie eine umfassende Anleitung für gängige Plattformen:

Gmail/Google Workspace

1. Bei der Google Admin-Konsole anmelden
2. Navigieren Sie zu „Apps“ > „Google Workspace“ > „Gmail“ > „E-Mail-Authentifizierung“
3. Klicken Sie auf „Neuen Datensatz erstellen“, um die Auswahlanzeige anzuzeigen
4. Der Selektor hat in der Regel das folgende Format: google._domainkey.yourdomain.com

Microsoft 365/Outlook

1. Zum Microsoft 365-Verwaltungscenter
2. Gehen Sie zu „Einstellungen“ > „Domains“ > Wählen Sie Ihre Domain aus
3. Klicken Sie auf „DNS-Einträge“ und suchen Sie nach DKIM-Einträgen
4. Selektoren lauten in der Regel: selector1._domainkey und selector2._domainkey

Yahoo Mail

1. Zum Yahoo Small Business-Verwaltungsbereich
2. Gehen Sie zu „Domain-Einstellungen“ > „E-Mail-Authentifizierung“
3. Rufen Sie die DKIM-Konfiguration auf, um den Selektor zu finden
4. Gängiges Format: s1024._domainkey.yourdomain.com

SendGrid

1. Melden Sie sich beim SendGrid-Dashboard an
2. Gehe zu „Einstellungen“ > „Absenderauthentifizierung“
3. Klicken Sie auf „Domain authentifizieren“
4. Format des Selektors: s1._domainkey.yourdomain.com und s2._domainkey.yourdomain.com

Mailchimp

1. Zu den Einstellungen des Mailchimp-Kontos
2. Gehen Sie zu „Domains“ > „Domain verifizieren“
3. Siehe Abschnitt „DNS-Einträge“ für DKIM-Einträge
4. Format des Selektors: k1._domainkey.yourdomain.com

So konfigurieren und veröffentlichen Sie einen DKIM-Selektor

Die korrekte Konfiguration eines DKIM-Selektors ist entscheidend für die E-Mail-Authentifizierung, die Reputation des Absenders und die langfristige Zustellbarkeit. Ein falsch konfigurierter Selektor kann DKIM vollständig außer Kraft setzen, selbst wenn der Schlüssel selbst gültig ist.

Erforderliches DNS-Eintragformat und Syntax

Ein DKIM-Eintrag wird als TXT-Eintrag im DNS mit folgender Struktur veröffentlicht: selector._domainkey.yourdomain.com

Beispiel: s1._domainkey.example.com

Der Wert umfasst in der Regel:

• v=DKIM1 (Protokollversion)
• k=rsa (Schlüsseltyp)
• p= (öffentlicher Schlüssel)

Beispielwert: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Stellen Sie sicher, dass keine zusätzlichen Leerzeichen, Anführungszeichen oder Zeilenumbrüche , die vom DNS-Anbieter hinzugefügt wurden.

Empfehlungen zur Schlüssellänge (2048 Bit)

• 2048-Bit-DKIM-Schlüssel werden dringend empfohlen.
• 1024-Bit-Schlüssel sind veraltet und können bei der Authentifizierung bei großen E-Mail-Anbietern fehlschlagen.
• Längere Schlüssel verbessern die kryptografische Stärke, ohne die Leistung zu beeinträchtigen.

Die meisten modernen E-Mail-Plattformen verwenden standardmäßig 2048-Bit-Schlüssel. Es wird empfohlen, diese Einstellung beizubehalten, sofern keine schwerwiegenden technischen Gründe dagegen sprechen.

Veröffentlichung über das DNS-Provider-Panel

1. Melden Sie sich bei Ihrem DNS-Hosting-Anbieter an.
2. Neuen TXT-Eintrag hinzufügen
3. Legen Sie den host/name als DKIM-Selektor fest
4. Fügen Sie den öffentlichen DKIM-Schlüssel in das Wertfeld ein.
5. Speichern und auf Ausbreitung warten
6. Überprüfen Sie Ihre DKIM-Konfiguration mit unserem DKIM-Checker-Tool.

TXT- vs. CNAME-Einträge für DKIM

Das Verständnis des Unterschieds zwischen TXT- und CNAME-Einträgen für DKIM hilft bei der korrekten Implementierung und Fehlerbehebung.

TXT-Einträge (am häufigsten)

• Enthält den tatsächlichen öffentlichen DKIM-Schlüssel
• Format: selector._domainkey.example.com TXT „v=DKIM1; k=rsa; p=MIIBIjAN…“
• Wird verwendet, wenn Sie Ihre eigenen DKIM-Schlüssel verwalten

CNAME-Einträge (delegierte Verwaltung)

• Verweist auf eine andere Domain, auf der der DKIM-Schlüssel gehostet wird
• Format: selector._domainkey.example.com CNAME selector._domainkey.emailprovider.com
• Wird verwendet, wenn Ihr E-Mail-Anbieter DKIM-Schlüssel verwaltet
• Häufig bei Diensten wie Google Workspace, Office 365 und SendGrid

Wann wird welcher Typ verwendet?

• TXT-Einträge: Selbstverwaltete E-Mail-Server, benutzerdefinierte DKIM-Implementierungen
• CNAME-Einträge: E-Mail-Dienste von Drittanbietern, verwaltete E-Mail-Plattformen

DKIM-Selektor-Namenskonventionen und Beispiele

Die Wahl des richtigen Selektornamens verbessert die Übersichtlichkeit, Skalierbarkeit und langfristige Wartbarkeit.

Gängige Selektormuster

Häufig verwendete Formate sind: s1, s2, selector1 und Standardwerte von Anbietern wie Google, k1, smtp, mail. Diese funktionieren zwar einwandfrei, aber oft fehlt ihnen der Kontext, sodass sie schwer nachzuvollziehen sind.

Bewährte Vorgehensweise: Beschreibende Selektornamen

Verwenden Sie stattdessen Selektoren, die Dienst und Zeitraumangeben, wie zum Beispiel: google2025, sendgrid_q1, marketing_2024. Diese sind viel leichter zu merken und nachzuverfolgen, liefern einen genauen Kontext, lassen wenig Raum für Spekulationen und sind gleichzeitig sicher.

DKIM-Selektor-Verwaltung

Einer der am häufigsten übersehenen Aspekte von DKIM ist die langfristige Verwaltung der Selektoren. Selektoren sollten als verwaltete Ressourcen betrachtet werden und nicht als einmalige DNS-Einträge, die nach der Einrichtung in Vergessenheit geraten.

Die Pflege der Dokumentation ist eine einfache, aber wirkungsvolle Maßnahme. Mit einer einfachen Tabelle oder einem internen Protokoll lassen sich Ihre Selektoren und Rotationszeitpläne effizient nachverfolgen. So lassen sich Unklarheiten vermeiden, wenn Schlüssel rotiert werden müssen oder ein sendender Dienst außer Betrieb genommen wird.

Führen Sie einfach ein einfaches Nachverfolgungssystem (CSV, Tabellenkalkulation oder internes Protokoll) mit folgenden Angaben:

• Selektorname
• Bereich
• Versandservice
• Schlüssellänge
• Erstellungsdatum
• Rotationsplan
• Eigentümer/Team

DKIM-Selektor-Lebenszyklus

Jeder DKIM-Selektor sollte einem klaren Lebenszyklus folgen. Dieser beginnt mit der Planung, in der Namenskonventionen und Zeitpläne für die Rotation festgelegt werden.

Zu einem gesunden Lebenszyklus gehören:

1. Plan: Festlegung der Namens- und Rotationsstrategie
2. Veröffentlichen: DNS-Eintrag hinzufügen und validieren
3. Drehen: Einführung eines neuen Selektors und Schlüssels
4. Deaktivieren: Nicht verwendete Selektoren sicher entfernen

Wie das DKIM-Analysetool von PowerDMARC helfen kann

PowerDMARC’s Hosted DKIM Analytics schließt diese Lücke, indem es Unternehmen kontinuierliche Einblicke in die tatsächliche Leistung von DKIM über Domains, Selektoren und Absenderquellen hinweg bietet.

• Überwachung nach Selektor und Versanddienst: PowerDMARC schlüsselt die DKIM-Leistung auf Selektor- und Senderdienst-Ebene auf.
• Flexible Filterung nach Zeiträumen: Mit PowerDMARC können Sie die DKIM-Leistung Leistung über flexible Zeiträume wie die letzten sieben Tage, den vergangenen Monat oder vollständig benutzerdefinierte Zeiträume zu analysieren.
• DKIM-Statistiken auf einen Blick: Für eine schnelle Einschätzung bietet PowerDMARC einen allgemeinen DKIM-Überblick, der die Gesamtzahl der Selektoren, die aktiven Versanddienste sowie das Volumen der DKIM-signierten und nicht signierten E-Mails zusammenfasst.
• Detaillierte Einblicke auf Selektor-Ebene: Für jeden Selektor zeigt PowerDMARC wichtige Datenpunkte an, wie z. B. das gesamte E-Mail-Volumen, die DKIM-Bestätigungsraten und den Zeitpunkt, zu dem der Selektor zuletzt beim Signieren von E-Mails beobachtet wurde.
• Exportierbare Berichte für Audits und Zusammenarbeit: Mit PowerDMARC können Sie Hosted-DKIM Analytics-Daten im CSV-Format zu exportieren, was die Berichterstellung einfach und flexibel macht.
• Übersicht über den DKIM-Schlüsselzustand: Zu den wichtigsten Informationen zum Schlüsseltilstand gehören die Sichtbarkeit der Schlüssellänge, die Nachverfolgung der Schlüsselrotation und die Überwachung der Schlüsselnutzung.

Bewährte Verfahren für DKIM-Selektoren

Befolgen Sie diese bewährten Verfahren, um die Funktionsfähigkeit des DKIM-Selektors aufrechtzuerhalten und die Zustellbarkeit von E-Mails zu optimieren:

Checkliste für bewährte Verfahren zum DKIM-Selector

Auswirkungen auf die Zustellbarkeit

Eine ordnungsgemäße Verwaltung der DKIM-Selektoren wirkt sich unmittelbar auf die Zustellbarkeit von E-Mails aus, indem sie:

• Gewährleistung einer einheitlichen Authentifizierung über alle Absenderquellen hinweg
• Aufbau einer guten Absenderreputation durch zuverlässige DKIM-Signaturen
• Verhindern von Authentifizierungsfehlern, die Spamfilter auslösen können
• Unterstützung der DMARC-Konformität für maximalen Schutz

Fehlerbehebung bei Problemen mit dem DKIM-Selektor

Häufige Probleme mit DKIM-Selektoren und ihre Lösungen:

Problem 1: Selektor nicht im DNS gefunden

Häufige Ursachen: Dieses Problem kann durch Syntaxfehler, einen falschen DNS-Eintragstyp, unvollständige Propagierung oder die falsche Verwendung von Domains oder Subdomains verursacht werden.
Fehlerbehebung: Warten Sie 24 bis 48 Stunden, bis die DNS-Einträge propagiert sind, wenn Sie DKIM kürzlich konfiguriert haben. Wenn das Problem weiterhin besteht, verwenden Sie ein DKIM-Prüftool, um Ihren Eintrag zu überprüfen und gefundene Fehler zu beheben.

Problem 2: Mehrere Selektoren sorgen für Verwirrung

Häufige Ursachen: Zu viele aktive Selektoren können Audits erschweren, und ungenutzte Selektoren können auf unbestimmte Zeit bestehen bleiben. Dies entspricht nicht den Best Practices. Darüber hinaus führt eine unzureichende Dokumentation zu Unklarheiten hinsichtlich der Verantwortlichkeiten.
Fehlerbehebung: Entfernen Sie ungenutzte Selektoren zeitnah und halten Sie die Dokumentation auf dem neuesten Stand, um Audits und Nachverfolgung präzise und mühelos zu gestalten.

Problem 3: Selektor-Fehlanpassung

Häufige Ursachen: Der DKIM-Header verweist auf einen Selektor, der im DNS nicht existiert, oder ein Schlüssel wurde rotiert, der sendende Dienst wurde jedoch nicht aktualisiert.
Fehlerbehebung: Überprüfen Sie stets die Übereinstimmung zwischen der DKIM-Signatur (s=Wert) und Ihrem veröffentlichten DNS-Eintrag.

Abschließende Worte

Aus diesem Blog haben wir gelernt, dass der DKIM-Selektor eine wichtige Rolle bei der DKIM-Authentifizierung spielt und dass wir ihn mit verschiedenen Methoden finden können – sowohl manuell als auch automatisch. Wenn du aber die volle Kontrolle über dein DKIM haben willst, brauchst du mehr als das.

Durch die Kombination von Leistungsanalysen mit wichtigen Daten zur E-Mail-Integrität verwandelt PowerDMARC DKIM von einer statischen Konfiguration in eine kontinuierlich überwachte Sicherheitsmaßnahme. Teams erhalten so den nötigen Überblick, um die Zustellbarkeit aufrechtzuerhalten, Best Practices durchzusetzen und DKIM in komplexen E-Mail-Ökosystemen sicher zu verwalten, ohne auf manuelle Überprüfungen oder Vermutungen angewiesen zu sein.

Warum sollten Sie PowerDMARC wählen?

• Echtzeit-Bedrohungsinformationen
• Kompetenter Support rund um die Uhr
• Nahtlose Integration mit den wichtigsten Plattformen
• Mehr als 2.000 Marken weltweit vertrauen uns

Beginnen Sie Ihre sichere Reise

Häufig gestellte Fragen

Wie sieht ein DKIM-Selektor aus?

Ein DKIM-Selektor ist in der Regel eine kurze Zeichenfolge wie „s1“, „selector1“, „google“ oder „k1“. Er erscheint im DKIM-Signatur-Header als „s=selector1“ und entspricht einem DNS-Eintrag wie „selector1._domainkey.yourdomain.com“.

Wie testet man einen DKIM-Selektor?

Sie können einen DKIM-Selektor mithilfe von Online-DKIM-Prüftools, Befehlszeilentools wie „dig“ oder „nslookup“ oder durch Überprüfung der E-Mail-Header auf DKIM-Authentifizierungsergebnisse testen. Das DKIM-Prüftool von PowerDMARC bietet umfassende Test- und Validierungsfunktionen.

Wie finde ich meinen DKIM-Selektor im E-Mail-Header?

Um Ihren DKIM-Selektor im E-Mail-Header zu finden, suchen Sie nach der Zeile „DKIM-Signature“ und achten Sie auf den Parameter „s=“. In „s=selector1“ lautet der Selektor beispielsweise „selector1“. Sie können E-Mail-Header anzeigen, indem Sie in Gmail auf „Original anzeigen“ klicken oder in anderen E-Mail-Programmen eine ähnliche Option auswählen.

Was passiert, wenn ein DKIM-Selektor falsch ist?

Wenn ein DKIM-Selektor falsch ist, können Ihre E-Mails die DKIM-Authentifizierung nicht bestehen, was Spamfilterung und mögliche DMARC-Fehler.

Kann man mehrere DKIM-Selektoren haben?

Ja. Mehrere DKIM-Selektoren sind üblich und oft für die Rotation oder bei mehreren Absendern erforderlich.

Wie oft sollte ich DKIM-Schlüssel rotieren?

Es wird empfohlen, Ihre DKIM-Schlüssel alle 3 bis 6 Monate zu aktualisieren. Sollte es jedoch zu einem Sicherheitsvorfall kommen, sollten Sie Ihre Schlüssel unverzüglich aktualisieren, um weitere Sicherheitsverletzungen zu verhindern.

Mit welchen Tools lassen sich DKIM-Selektoren automatisch ermitteln?

Der E-Mail-Header-Analysator und DKIM-Lookup-Tools von PowerDMARC können den in einer Nachricht verwendeten DKIM-Selektor sofort extrahieren, ohne manuellen Aufwand oder technisches Fachwissen.

• Über
• Neueste Beiträge

Yunes Tarada

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• compauth=fail: Microsoft Composite Authentication erklärt – 1. Juni 2026
• Reicht Windows Defender für die Sicherheit kleiner Unternehmen aus? – 14. Mai 2026
• DMARCbis erklärt – Was ändert sich und wie bereitet man sich vor - 16. April 2026