So finden Sie Ihren DKIM-Selektor und verwalten DKIM-Schlüssel

Was bewirkt die E-Mail-Authentifizierung? Ja, sie blockiert gefälschte Nachrichten, aber sie spielt auch eine entscheidende Rolle beim Schutz der Markenreputation und stellt sicher, dass legitime E-Mails tatsächlich den Posteingang erreichen. Unter den wichtigsten Authentifizierungsprotokollen sticht DKIM hervor, indem es jeder Nachricht eine kryptografische Signatur hinzufügt, die belegt, dass sie während der Übertragung nicht verändert wurde.

Im Zentrum von DKIM steht der DKIM-Selektor. Obwohl er oft übersehen wird, bestimmt der Selektor, welchen öffentlichen Schlüssel Empfangsserver zur Überprüfung der Signatur Ihrer E-Mail verwenden sollen, und ist somit für eine erfolgreiche DKIM-Authentifizierung über verschiedene Mail-Streams und Anbieter hinweg unerlässlich.

In diesem Blog erklären wir Ihnen alles, was Sie über DKIM-Selektoren wissen müssen, und zeigen Ihnen, wie Sie häufige Fehler beheben können, die die Authentifizierung beeinträchtigen und die Zustellbarkeit beeinträchtigen können.

Was ist ein DKIM-Selektor?

Ein DKIM-Selektor ist eine eindeutige Kennung, die bei der DKIM-Authentifizierung verwendet wird und den empfangenden Mailservern mitteilt, welcher öffentliche Schlüssel aus dem DNS abgerufen werden muss, um die DKIM-Signatur einer E-Mail zu überprüfen. Dadurch kann eine Domain mehrere DKIM-Schlüssel gleichzeitig verwenden, was die Schlüsselrotation und -verwaltung vereinfacht, ohne die E-Mail-Zustellung zu unterbrechen.

Beispiel:

DKIM-Signatur: v=1; a=rsa-sha256; c=relaxed/relaxed; d=example.com; s=selector1; h=from:to:subject:date; bh=abc123…; b=xyz456…

Hier steht s= für Selektor. In diesem Beispiel weist s=selector1 den Server an, folgende Abfrage durchzuführen:
selector1._domainkey.example.com

So funktioniert die DKIM-Authentifizierung (Schritt für Schritt)

Wie oben erläutert, funktioniert DKIM, indem es jeder ausgehenden E-Mail, die von Ihrer DKIM-fähigen Domain gesendet wird, eine kryptografische Signatur hinzufügt.

• Schritt 1: Der sendende Mailserver signiert die ausgehende E-Mail mit einem privaten kryptografischen Schlüssel. Diese Signatur wird dem E-Mail-Header hinzugefügt, zusammen mit einem DKIM-Selektor, der angibt, welcher Schlüssel verwendet wurde.
• Schritt 2: Der empfangende Mailserver sucht den öffentlichen Schlüssel. Dazu fragt er den DNS unter Verwendung des Selektors ab.
• Schritt 3: Sobald der öffentliche Schlüssel gefunden wurde, verwendet der empfangende Server ihn, um die Signatur im E-Mail-Header zu überprüfen. Wenn die Signatur übereinstimmt, wird DKIM bestanden, was bestätigt, dass die Nachricht während der Übertragung nicht verändert wurde und von der sendenden Domain autorisiert wurde.

Beachten Sie jedoch, dass DKIM am besten in Verbindung mit SPF und DMARC funktioniert und allein Spoofing- und Phishing-Angriffe nicht verhindern kann.

Wie finden Sie Ihren DKIM-Selektor?

Methode A: E-Mail-Header überprüfen (manuell)

1) Senden Sie eine Test-E-Mail an Ihr Gmail-Konto
2) Klicken Sie auf die drei Punkte neben der E-Mail in Ihrem Gmail-Posteingang.

3) Wählen Sie "Original anzeigen".

4) Navigieren Sie auf der Seite "Originalnachricht" zum unteren Ende der Seite zum Abschnitt "DKIM-Signatur" und versuchen Sie, das Tag "s=" zu finden; der Wert dieses Tags ist Ihr DKIM-Selektor.

Im obigen Beispiel ist s1 mein DKIM-Selektor. Dies ist eine der Methoden, die Sie verwenden können, um Ihren zu identifizieren und zu finden.

Methode B: E-Mail-Anbietereinstellungen verwenden

Schritt 1: Melden Sie sich bei der Verwaltungskonsole Ihres E-Mail-Dienstanbieters an.

Schritt 2: Navigieren Sie zum Abschnitt für die E-Mail-Authentifizierung oder DNS-Konfiguration.
Schritt 3: Suchen Sie die DKIM-Einstellungen für Ihre Domain.
Schritt 4: Identifizieren Sie den Selektorwert, der mit dem DKIM-TXT-Eintrag aufgeführt ist.

Methode C: Verwendung von DKIM-Lookup-/Checker-Tools

Schritt 1: Öffnen Sie das PowerDMARC DKIM Checker -Tool.

Schritt 2: Geben Sie Ihren Domainnamen ein und belassen Sie das Auswahlfeld auf „Auto“.

Schritt 3: Klicken Sie auf „Lookup-
“ (Lookup-Verzeichnis durchsuchen). Schritt 4: Lassen Sie unser Tool Ihren DKIM-Selektor automatisch erkennen und anzeigen.

Methode D: Verwendung von DMARC-Überwachungstools

DMARC-Berichtstools wie PowerDMARC bieten Einblick in DKIM-Selektoren, die von Absendern aktiv verwendet werden.

Schritt 1: Aktivieren Sie die DMARC-Aggregatberichterstattung für Ihre Domain, indem Sie sich bei PowerDMARC anmelden.
Schritt 2: Überprüfen Sie die Authentifizierungsergebnisse für jede Absenderquelle.
Schritt 3: Identifizieren Sie die DKIM-Selektorwerte, die pro Quelle und IP gemeldet werden.

So konfigurieren und veröffentlichen Sie einen DKIM-Selektor

Die korrekte Konfiguration eines DKIM-Selektors ist entscheidend für die E-Mail-Authentifizierung, die Reputation des Absenders und die langfristige Zustellbarkeit. Ein falsch konfigurierter Selektor kann DKIM vollständig außer Kraft setzen, selbst wenn der Schlüssel selbst gültig ist.

Erforderliches DNS-Eintragformat und Syntax

Ein DKIM-Eintrag wird als TXT-Eintrag im DNS mit folgender Struktur veröffentlicht: selector._domainkey.yourdomain.com

Beispiel: s1._domainkey.example.com

Der Wert umfasst in der Regel:

• v=DKIM1 (Protokollversion)
• k=rsa (Schlüsseltyp)
• p= (öffentlicher Schlüssel)

Beispielwert: v=DKIM1; k=rsa; p=MIIBIjANBgkq…
Stellen Sie sicher, dass der DNS-Anbieter keine zusätzlichen Leerzeichen, Anführungszeichen oder Zeilenumbrüche hinzugefügt hat.

Empfehlungen zur Schlüssellänge (2048 Bit)

• 2048-Bit-DKIM-Schlüssel werden dringend empfohlen.
• 1024-Bit-Schlüssel sind veraltet und können bei der Authentifizierung bei großen E-Mail-Anbietern fehlschlagen.
• Längere Schlüssel verbessern die kryptografische Stärke, ohne die Leistung zu beeinträchtigen.

Die meisten modernen E-Mail-Plattformen verwenden standardmäßig 2048-Bit-Schlüssel. Es wird empfohlen, diese Einstellung beizubehalten, sofern keine schwerwiegenden technischen Gründe dagegen sprechen.

Veröffentlichung über das DNS-Provider-Panel

1. Melden Sie sich bei Ihrem DNS-Hosting-Anbieter an.
2. Neuen TXT-Eintrag hinzufügen
3. Legen Sie den Host/Namen als DKIM-Selektor fest.
4. Fügen Sie den öffentlichen DKIM-Schlüssel in das Wertfeld ein.
5. Speichern und auf Ausbreitung warten
6. Überprüfen Sie Ihre DKIM-Konfiguration mit unserem DKIM-Checker-Tool.

DKIM-Selektor-Namenskonventionen und Beispiele

Die Wahl des richtigen Selektornamens verbessert die Übersichtlichkeit, Skalierbarkeit und langfristige Wartbarkeit.

Gängige Selektormuster

Häufig verwendete Formate sind: s1, s2, selector1 und Standardwerte von Anbietern wie Google, k1, smtp, mail. Diese funktionieren zwar einwandfrei, aber oft fehlt ihnen der Kontext, sodass sie schwer nachzuvollziehen sind.

Bewährte Vorgehensweise: Beschreibende Selektornamen

Verwenden Sie stattdessen Selektoren, die den Dienst und den Zeitraum angeben, wie z. B.: google2025, sendgrid_q1, marketing_2024. Diese sind viel einfacher zu merken und nachzuverfolgen, liefern einen genauen Kontext, lassen wenig Raum für Spekulationen und sind gleichzeitig sicher.

DKIM-Selektor-Verwaltung

Einer der am häufigsten übersehenen Aspekte von DKIM ist die Selektorverwaltung im Zeitverlauf. Selektoren sollten als verwaltete Assets behandelt werden und nicht als einmalige DNS-Einträge, die nach der Einrichtung vergessen werden.
Die Pflege der Dokumentation ist eine einfache, aber wirkungsvolle Maßnahme. Mit einer einfachen Tabelle oder einem internen Protokoll können Sie Ihre Selektoren und Rotationszeitpläne effizient verfolgen. So vermeiden Sie Verwirrung, wenn Schlüssel rotiert werden müssen oder ein Versanddienst eingestellt wird.
Führen Sie einfach ein einfaches Nachverfolgungssystem (CSV, Tabellenkalkulation oder internes Protokoll) mit folgenden Angaben:

• Selektorname
• Bereich
• Versandservice
• Schlüssellänge
• Erstellungsdatum
• Rotationsplan
• Eigentümer/Team

DKIM-Selektor-Lebenszyklus

Jeder DKIM-Selektor sollte einem klaren Lebenszyklus folgen. Dieser beginnt mit der Planung, in der Namenskonventionen und Rotationszeitpläne festgelegt werden.
Ein gesunder Lebenszyklus umfasst:

1. Plan: Festlegung der Benennungs- und Rotationsstrategie
2. Veröffentlichen: DNS-Eintrag hinzufügen und validieren
3. Drehen: neuen Selektor und Schlüssel einführen
4. Stilllegung: Entfernen Sie nicht verwendete Selektoren sicher.

Bewährte Verfahren für DKIM-Selektoren

Um die Integrität des DKIM-Selektors zu gewährleisten, können Sie die folgenden bewährten Verfahren befolgen:

1. Gestalten Sie Ihre Selektoren einzigartig und schwer zu erraten.
2. Rotieren Sie Ihre DKIM-Schlüssel so oft wie möglich, um Kompromittierungen zu vermeiden.
3. Verwenden Sie einheitliche Namenskonventionen für alle Absender, um Audits zu vereinfachen.
4. Überwachen Sie Ihr DKIM aktiv, um sicherzustellen, dass ungenutzte Selektoren rechtzeitig identifiziert und außer Betrieb genommen werden.

Wie das DKIM-Analysetool von PowerDMARC helfen kann

Die Hosted DKIM Analytics von PowerDMARC schließt diese Lücke, indem sie Unternehmen kontinuierliche Einblicke in die tatsächliche Leistung von DKIM über Domänen, Selektoren und Absenderquellen hinweg bietet.

• Überwachung pro Selektor und Versanddienst: PowerDMARC schlüsselt die DKIM-Leistung auf Selektor- und Versanddienstebene auf.
• Flexible Zeitbereichsfilterung: Mit PowerDMARC können Sie die DKIM- Leistung über flexible Zeitbereiche wie die letzten sieben Tage, den Vormonat oder vollständig benutzerdefinierte Zeiträume analysieren.
• DKIM-Statistiken auf einen Blick: Für schnelle Bewertungen bietet PowerDMARC eine allgemeine DKIM-Übersicht, die die Gesamtzahl der Selektoren, aktive Versanddienste und das Volumen der mit DKIM signierten E-Mails im Vergleich zu nicht signierten E-Mails zusammenfasst.
• Detaillierte Einblicke auf Selektor-Ebene: Für jeden Selektor zeigt PowerDMARC wichtige Datenpunkte wie das gesamte E-Mail-Volumen, DKIM-Passraten und den Zeitpunkt, zu dem der Selektor zuletzt beim Signieren von E-Mails beobachtet wurde.
• Exportierbare Berichte für Audits und Zusammenarbeit: Mit PowerDMARC können Sie Hosted DKIM Analytics-Daten im CSV-Format exportieren, was die Berichterstellung einfach und flexibel macht.
• DKIM-Schlüsselintegrität – Überblick: Zu den wichtigsten Erkenntnissen zur Schlüsselintegrität gehören die Sichtbarkeit der Schlüssellänge, die Nachverfolgung der Schlüsselrotation und die Überwachung der Schlüsselverwendung.

Häufige Probleme mit DKIM-Selektoren und deren Behebung

Problem 1: Selektor nicht im DNS gefunden

Häufige Ursachen: Dieses Problem kann durch Syntaxfehler, einen falschen DNS-Eintragstyp, eine unvollständige Propagierung oder eine falsche Verwendung der Domain oder Subdomain verursacht werden.
Fehlerbehebung: Warten Sie 24 bis 48 Stunden, bis die DNS-Propagierung abgeschlossen ist, wenn Sie DKIM kürzlich konfiguriert haben. Wenn das Problem weiterhin besteht, überprüfen Sie Ihren Eintrag mit einem DKIM-Prüftool und beheben Sie die gefundenen Fehler.

Problem 2: Mehrere Selektoren sorgen für Verwirrung

Häufige Ursachen: Zu viele aktive Selektoren können Audits erschweren, und ungenutzte Selektoren können auf unbestimmte Zeit bestehen bleiben. Dies ist keine gute Vorgehensweise. Darüber hinaus führt eine unzureichende Dokumentation zu Unklarheiten hinsichtlich der Verantwortlichkeiten.
Fehlerbehebung: Entfernen Sie ungenutzte Selektoren rechtzeitig und halten Sie die Dokumentation auf dem neuesten Stand, um Audits und Nachverfolgungen präzise und mühelos zu gestalten.

Problem 3: Selektor-Fehlanpassung

Häufige Ursachen: Der DKIM-Header verweist auf einen Selektor, der im DNS nicht existiert, oder ein Schlüssel wurde rotiert, aber der sendende Dienst wurde nicht aktualisiert.
Fehlerbehebung: Überprüfen Sie immer die Übereinstimmung zwischen der DKIM-Signatur (s= Wert) und Ihrem veröffentlichten DNS-Eintrag.

Abschließende Worte

Aus diesem Blog haben wir gelernt, dass der DKIM-Selektor eine wichtige Rolle bei der DKIM-Authentifizierung spielt und dass wir ihn mit verschiedenen Methoden finden können – sowohl manuell als auch automatisch. Wenn du aber die volle Kontrolle über dein DKIM haben willst, brauchst du mehr als das.

Durch die Kombination von Leistungsanalysen mit wichtigen Gesundheitsinformationen verwandelt PowerDMARC DKIM von einer statischen Konfiguration in eine kontinuierlich überwachte Sicherheitskontrolle. Teams erhalten die nötige Transparenz, um die Zustellbarkeit aufrechtzuerhalten, Best Practices durchzusetzen und DKIM in komplexen E-Mail-Ökosystemen sicher zu verwalten, ohne sich auf manuelle Überprüfungen oder Vermutungen verlassen zu müssen. Kontaktieren Sie uns noch heute, um loszulegen!

Häufig gestellte Fragen

Was passiert, wenn ein DKIM-Selektor falsch ist?
Wenn ein DKIM-Selektor falsch ist, können Ihre E-Mails die DKIM-Authentifizierung nicht bestehen, was zu einer erhöhten Spam-Filterung und möglichen DMARC-Fehlern führt.
Können Sie mehrere DKIM-Selektoren haben?
Ja. Mehrere DKIM-Selektoren sind normal und oft für die Rotation oder mehrere Absender erforderlich.
Wie oft sollte ich DKIM-Schlüssel rotieren?
Es wird empfohlen, Ihre DKIM-Schlüssel alle 3 bis 6 Monate zu rotieren. Im Falle eines Sicherheitsvorfalls sollten Sie Ihre Schlüssel jedoch sofort rotieren, um weitere Kompromittierungen zu verhindern.
Mit welchen Tools lassen sich DKIM-Selektoren automatisch finden?
Mit dem E-Mail-Header-Analyzer und den DKIM-Lookup-Tools von PowerDMARC können Sie den in einer Nachricht verwendeten DKIM-Selektor sofort extrahieren, ohne manuellen Aufwand oder technisches Fachwissen.

• Über
• Neueste Beiträge

Yunes Tarada

Experte für Domain- und E-Mail-Sicherheit bei PowerDMARC

Yunes ist Operations Team Lead bei PowerDMARC und verfügt über Expertenwissen im Bereich E-Mail-Authentifizierung und -Sicherheit. Yunes ist ein Microsoft-zertifizierter Azure Administrator Associate mit Zertifizierungen in CompTIA A+ und vielen mehr.

Neueste Beiträge von Yunes Tarada (alle anzeigen)

• DMARCbis erklärt – Was ändert sich und wie bereitet man sich vor - 16. April 2026
• Das SOA-Seriennummernformat ist ungültig: Ursachen und Lösungen – 13. April 2026
• So versenden Sie sichere E-Mails in Gmail: Eine Schritt-für-Schritt-Anleitung – 7. April 2026