Wie lautet der Standard-SPF-Eintrag für DreamHost?

v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net -all. DreamHost fügt dies automatisch für alle Domains hinzu, die DreamHost-E-Mail nutzen. Eine manuelle Konfiguration ist nicht erforderlich, wenn DreamHost Ihr einziger E-Mail-Absender ist.

Wie verbinde ich DreamHost SPF mit Google Workspace?

Erstellen Sie einen zusammengefassten Eintrag, der beide Mechanismen enthält: v=spf1 mx include:netblocks.dreamhost.com include:relay.mailchannels.net include:_spf.google.com -all Wenn Sie nur Googles SPF hinzufügen, wird der Standardeintrag von DreamHost entfernt, was den E-Mail-Verkehr bei DreamHost unterbricht. Fügen Sie daher immer beide hinzu.

Richtet DreamHost DKIM automatisch ein?

Ja, für Domains, die von DreamHost gehostete E-Mails mit SMTP nutzen. Der DKIM-Eintrag wird automatisch erstellt, und E-Mails werden signiert, wenn sie über den Mailserver von DreamHost versendet werden. E-Mails, die über PHP-Mail versendet werden (WordPress-Kontaktformulare ohne SMTP), sind jedoch NICHT DKIM-signiert. Installieren Sie WP Mail SMTP, um dieses Problem zu beheben.

Warum landen meine E-Mails von DreamHost im Spam-Ordner?

Zu den häufigsten Ursachen zählen fehlende oder fehlerhafte SPF-Einträge (insbesondere nach dem Hinzufügen eines Drittanbieter-Absenders, wodurch der Standard-Eintrag von DreamHost entfernt wird), nicht angewandtes DKIM, weil E-Mails über PHP-Mail statt über SMTP versendet werden, keine veröffentlichten DMARC-Einträge oder Nameserver, die auf Cloudflare verweisen, während die DNS-Einträge nur im DreamHost-Panel vorhanden sind. Führen Sie einen kostenlosen Scan mit dem Domain Analyzer von PowerDMARC durch, um genau zu ermitteln, wo das Problem liegt.

Kann ich bei DreamHost zwei SPF-Einträge haben?

Nein. RFC 7208 schreibt vor, dass pro Domain nur ein einziger SPF-TXT-Eintrag vorhanden sein darf. Wenn zwei Einträge vorhanden sind, die mit „v=spf1“ beginnen, gibt SPF einen „PermError“ zurück und die Authentifizierung schlägt in allen Fällen fehl. Führen Sie alle autorisierten Absender in einem einzigen Eintrag zusammen.

DKIM-Selektor: Einrichtung, Abfrage und Verwaltung des DKIM-Selektors

Wichtigste Erkenntnisse

A DKIM-Selektor ist der s= Wert im DKIM-Signature-Header, der den empfangenden Mail-Servern mitteilt, wo der entsprechende öffentliche Schlüssel im DNS zu finden ist.
Mit DKIM-Selektoren lassen sich mehrere Signaturschlüssel gleichzeitig bei verschiedenen E-Mail-Anbietern wie Microsoft 365, Google Workspace, HubSpot und SendGrid verwenden.
Ein ordnungsgemäßes Selektor-Management ist für die DKIM-Verifizierung, die DMARC-Konformität, die Schlüsselrotation und die Aufrechterhaltung der E-Mail-Zustellbarkeit in großem Maßstab unerlässlich.
Häufig DKIM-Fehler werden in der Regel durch fehlende Selektoren, fehlerhafte DNS-Einträge, verkürzte 2048-Bit-Schlüssel oder Abweichungen bei der DMARC-Ausrichtung verursacht.
Unternehmen, die mehrere E-Mail-Dienstleister nutzen, sollten ein zentrales Verzeichnis der aktiven Selektoren, Rotationspläne und Signaturdomänen führen, um Probleme bei der Zustellbarkeit und der Einhaltung von Vorschriften zu vermeiden.

Was ist ein DKIM-Selektor?

Ein DKIM-Selektor ist eine kurze Textzeichenfolge, die im Header einer DKIM-signierten E-Mail enthalten ist und dem empfangenden Mailserver mitteilt, wo der entsprechende öffentliche Schlüssel im DNS zu finden ist. Er wird im `s=`-Tag des DKIM-Signature-Headers definiert.

Jede DKIM-Signatur enthält einen Selektorwert. Der Selektor bildet zusammen mit der signierenden Domain aus dem `d=`-Tag einen DNS-Abfragepfad, der auf einen bestimmten TXT-Eintrag verweist, der den zur Überprüfung der Signatur verwendeten öffentlichen Schlüssel enthält.

So sieht der Selektor im E-Mail-Header aus:

DKIM-Signature: v=1; a=rsa-sha256; d=example.com; s=selector1;
c=relaxed/relaxed; q=dns/txt; h=from:to:subject:date;
bh=abc123…=; b=xyz789…=

In diesem Beispiel ist `selector1` der DKIM-Selektor. Der empfangende Server fragt `selector1._domainkey.example.com` ab, um den öffentlichen Schlüssel abzurufen.

Unternehmen setzen je nach ihren E-Mail-Anforderungen oft mehrere Signaturschlüssel gleichzeitig ein. Jeder Schlüssel erhält einen eigenen Selektor, sodass beide unter derselben Domain konfliktfrei nebeneinander bestehen können.

Selektoren ermöglichen zudem eine Schlüsselrotation ohne Ausfallzeiten. Sie können einen neuen Schlüssel unter einem neuen Selektor veröffentlichen, während der alte Selektor weiterhin aktiv bleibt, und dann die Umstellung vornehmen, sobald die Weitergabe abgeschlossen ist.

Wie funktionieren DKIM-Selektoren?

Wenn ein empfangender Mailserver eine DKIM-signierte E-Mail erhält, liest er den Selektor (`s=`) und die Domain (`d=`) aus dem E-Mail-Header aus, fragt das DNS unter `{selector}._domainkey.{domain}` ab, ruft den öffentlichen Schlüssel aus dem resultierenden TXT-Eintrag ab und verwendet diesen Schlüssel, um die kryptografische Signatur der Nachricht zu überprüfen.

Hier ist die Schritt-für-Schritt-Anleitung:

Schritt 1: Der Absenderserver signiert die E-Mail

Bevor die E-Mail den sendenden Mailserver (oder ESP) verlässt, erstellt der Server mithilfe seines privaten Schlüssels eine kryptografische Signatur über bestimmte Header-Felder und den Nachrichtentext. Diese Signatur wird zusammen mit dem Selektorwert und der Signaturdomäne als `DKIM-Signature`-Header zur E-Mail hinzugefügt.

Schritt 2: Der empfangende Server extrahiert den Selektor und die Domäne

Wenn die E-Mail im Posteingang eintrifft, analysiert der empfangende Server den `DKIM-Signature`-Header und entnimmt zwei Werte:

Der Selektor von `s=`
Die Domäne ab `d=`.

Schritt 3: Der empfangende Server fragt das DNS ab

The server constructs a DNS query by combining the selector, the fixed string `_domainkey`, and the domain: {selector}._domainkey.{domain} → TXT record

Wenn beispielsweise `s=google` und `d=example.com` gilt, lautet die DNS-Abfrage: google._domainkey.example.com

Schritt 4: DNS gibt den öffentlichen Schlüssel zurück

Der TXT-Eintrag unter diesem DNS-Pfad enthält den öffentlichen Schlüssel und die zugehörigen Parameter:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAO…

Schritt 5: Der empfangende Server überprüft die Signatur

Der Server verwendet den öffentlichen Schlüssel, um die kryptografische Signatur im E-Mail-Header zu überprüfen.

Wenn die Signatur übereinstimmt, ist DKIM erfolgreich.
Fehlt der Schlüssel, ist der Datensatz fehlerhaft.
Wenn die Signatur nicht übereinstimmt, schlägt DKIM fehl.

Der Selektor verknüpft den E-Mail-Header mit dem DNS-Eintrag , da der empfangende Server ohne den DNS-Eintrag keine Möglichkeit hätte, den richtigen öffentlichen Schlüssel zu finden, insbesondere wenn eine Domain mehrere DKIM-Schlüssel für verschiedene Dienste veröffentlicht.

Syntax und Format des DKIM-Selektors

DKIM-Selektoren müssen bestimmten Syntaxregeln entsprechen, die in RFC 6376definiert sind.

Zulässige Zeichen:

Alphanumerische Zeichen (a–z, A–Z, 0–9)
Bindestriche (-)
Punkte (.) für Selektoren im Subdomain-Stil

Einschränkungen:

Bei der DNS-Auflösung wird bei Selektoren nicht zwischen Groß- und Kleinschreibung unterschieden, obwohl die Verwendung von Kleinbuchstaben gängige Praxis ist.
In RFC 6376 ist keine maximale Länge festgelegt, jedoch gelten praktische DNS-Beschränkungen. Bei den meisten Implementierungen werden Selektoren auf unter 63 Zeichen begrenzt (die maximale Länge von DNS-Labels).
Selektoren dürfen nicht mit einem Bindestrich beginnen oder enden.
Punkte in Selektoren erzeugen Subdomain-Hierarchien in der DNS-Abfrage. Beispielsweise ist `2024.jan._domainkey.example.com` ein gültiger Abfragepfad, wenn der Selektor `2024.jan` lautet.

Das Format des DNS-TXT-Eintrags unter dem Pfad des Selektors enthält die folgenden Tags:

Tag	Bedeutung	Beschreibung
v=	Empfohlen	Version (muss DKIM1 sein)
k=	Optional	Schlüsseltyp (Standardwert ist „rsa“; unterstützt auch „ed25519“)
p=	Erforderlich	Base64-kodierter öffentlicher Schlüssel (ein leerer Wert widerruft den Schlüssel)
t=	Optional	Flags (z. B. „t=s“ für strikte Domänenabgleichung, „t=y“ für Testmodus)
h=	Optional	Zulässige Hash-Algorithmen
s=	Optional	Diensttyp (Standardwert ist „*“, was „alle Dienste“ bedeutet)

Hinweis: 2048-Bit-RSA-Schlüssel erzeugen öffentliche Schlüsselstrings, die die Begrenzung von 255 Zeichen für einen einzelnen DNS-TXT-String überschreiten. DNS bewältigt dies durch mehrzeilige TXT-Einträge, bei denen der Wert auf mehrere in Anführungszeichen gesetzte Strings aufgeteilt wird, die der Resolver gemäß RFC 6376 verkettet. Allerdings können nicht alle DNS-Verwaltungsschnittstellen dies effizient verarbeiten, was eine häufige Ursache für DKIM-Fehler ist

So finden Sie Ihren DKIM-Selektor

Es gibt vier zuverlässige Methoden, um die für eine bestimmte Domain verwendeten DKIM-Selektoren zu ermitteln. Jede Methode hat ihre jeweiligen Vorteile, je nachdem, ob Sie die Domain verwalten, Zugriff auf E-Mail-Header haben oder die Überprüfung von außen durchführen.

Methode 1: E-Mail-Header überprüfen

Die Überprüfung der E-Mail-Header ist der direkteste Ansatz. Öffnen Sie eine Nachricht, die von der betreffenden Domain gesendet wurde, und zeigen Sie die vollständigen E-Mail-Header an.

In Gmail: Öffne die Nachricht → klicke auf das Menü mit den drei Punkten → „Original anzeigen“.
In Outlook: Öffnen Sie die Nachricht → Datei → Eigenschaften → „Internet-Kopfzeilen“.
In Apple Mail: Ansicht → Nachricht → Alle Kopfzeilen.

Suchen Sie nach dem Header `DKIM-Signature` und suchen Sie das Tag `s=`. Dieser Wert ist der Selektor.

Wenn die E-Mail mehrere Signaturdienste durchlaufen hat, werden möglicherweise mehrere `DKIM-Signature`-Header angezeigt, die jeweils einen anderen Selektor aufweisen.

Methode 2: Verwenden Sie ein DKIM-Lookup-Tool

Wenn Sie den Namen des Selektors kennen, können Sie den DKIM-Eintrag direkt unter selector._domainkey.example.com abfragen. PowerDMARCs DKIM-Eintrag-Suche, MXToolbox oder Befehlszeilen-DNS-Abfragenwie dig und nslookup könnenden für diesen Selektor veröffentlichten TXT-Eintrag zurückgeben.

Verwendung von dig:

bash

dig TXT selector1._domainkey.example.com +short

Verwendung von nslookup:

bash

nslookup -q=TXT selector1._domainkey.example.com

Bei dieser Methode müssen Sie den Namen des Selektors bereits kennen oder gängige Standardwerte ausprobieren.

Die DKIM-Abfrage von PowerDMARC kann zudem Selektoren für viele Domains automatisch erkennen, die DKIM-Syntax validieren, fehlende oder fehlerhafte Einträge identifizieren und bei der Behebung häufiger DKIM-Konfigurationsprobleme helfen.

Methode 3: Überprüfen Sie die Verwaltungskonsole Ihres ESP

Die meisten E-Mail-Anbieter zeigen den DKIM-Selektor und den öffentlichen Schlüssel in ihren Authentifizierungseinstellungen an. Zum Beispiel:

Google Workspace: Admin-Konsole → Apps → Google Workspace → Gmail → E-Mail-Adresse bestätigen
Microsoft 365: Defender-Portal → Richtlinien und Regeln → Bedrohungsrichtlinien → E-Mail-Authentifizierung → DKIM
Mailchimp: Website → Domains → Authentifizierung → DKIM-Einstellungen

Methode 4: DMARC-Gesamtberichte

Dies ist die effektivste Methode, um alle Selektoren zu ermitteln, die aktiv E-Mails für Ihre Domain signieren – einschließlich solcher, von denen Sie möglicherweise nichts wissen.

DMARC-Aggregatberichte (RUA-Berichte) enthalten die DKIM-Authentifizierungsergebnisse für jede Nachricht, die von den meldenden Mail-Servern empfangen wurde. Jedes Ergebnis enthält den verwendeten Selektor, die signierende Domäne und den Status „bestanden“ oder „nicht bestanden“.

Wenn Ihr Unternehmen mehrere E-Mail-Anbieter (ESPs) einsetzt oder wenn Drittanbieter in Ihrem Namen E-Mails versenden, zeigen DMARC-Berichte Absender an, die Sie durch eine reine Überprüfung der Kopfzeilen möglicherweise nicht finden würden. Dies ist besonders hilfreich, um „Shadow-IT“-E-Mail-Dienste aufzudecken, die einst autorisiert und nie außer Betrieb genommen wurden.

Der DMARC-Analysator analysiert diese aggregierten Berichte automatisch und zeigt alle aktiven DKIM-Selektoren pro Domain in einem einzigen Dashboard an, wodurch das manuelle Extrahieren und Abgleichen von XML-Daten aus mehreren Berichtsquellen entfällt.

Note: There is no DNS wildcard or enumeration method to discover all selectors under `_domainkey.{domain}`. DNS does not support listing all subrecords of a zone from the outside. You cannot brute-force all possible selectors. The four methods above are the practical options.

5. ESP-Standard-DKIM-Selektoren: Referenztabelle 2026

Eine der häufigsten Aufgaben bei der DKIM-Verwaltung ist es, festzustellen, welcher Selektor zu welchem E-Mail-Dienst gehört. Die folgende Tabelle listet die Standard-DKIM-Selektoren auf, die Anfang 2026 von 14 großen E-Mail-Dienstanbietern verwendet wurden.

Wichtig: ESP-Anbieter können Standard-Selektoren jederzeit ändern, und einige Plattformen weisen kontospezifische oder zufällige Selektoren zu. Vergleichen Sie den in Ihrer eigenen ESP-Verwaltungskonsole angezeigten Selektor stets mit dieser Tabelle.

ESP/E-Mail-Plattformen	Standardauswahl(en)	Schlüsseltyp	Hinweis
Google Arbeitsbereich	Google	RSA 2048 Bit	Über die Admin-Konsole konfigurierbar
Microsoft 365	`selector1`, `selector2`	RSA 2048 Bit	Verwendet zwei Selektoren für die automatische Rotation. Es kann bis zu 96 Stunden dauern, bis die Rotation vollständig umgesetzt ist.
Amazon SES	Das Format variiert je nach Region, z. B. `224i4yxa5dv7c2xz3..`	RSA 2048 Bit	Einzigartig pro Konfigurationssatz. Überprüfen Sie dies in der SES-Konsole.
Mailchimp	`k1`	RSA 2048 Bit	Überprüfen Sie die Authentifizierungseinstellungen der Kontodomäne
SendGrid (Twilio	`s1`, `s2`	RSA 2048 Bit	Automatischer Schlüsselwechsel zwischen `s1` und `s2`
Poststempel	Datumsbasiert, z. B. `20221121	RSA 2048 Bit	CNAME-basiert; der Selektor ändert sich bei der Rotation
Salesforce Marketing Cloud	Hängt von der Konfiguration des Kontos ab	RSA	Die Einrichtung von SFMC DKIM hängt stark vom Kontotyp, der SAP-Konfiguration und den Einstellungen der Absenderdomain ab. Bitte überprüfen Sie die Angaben anhand Ihres jeweiligen Kontos.
HubSpot	`hs1`, `hs2`	RSA 2048 Bit	Konfiguration über die Domänenverbindungseinstellungen
Zohomail	`zoho`	RSA 1024 Bit (Standard)	Standardmäßig 1024 Bit; ein Upgrade auf 2048 Bit ist in den Admin-Einstellungen verfügbar
Ständiger Kontakt	In den Kontoeinstellungen überprüfen	RSA	Die Benennung der Selektoren kann je nach Konto variieren. Überprüfen Sie dies in Ihrem Authentifizierungs-Dashboard.
Klaviyo	In den Kontoeinstellungen überprüfen	RSA	Die Bezeichnungen der Selektoren können variieren. Überprüfen Sie dies in den Einstellungen zur Domain-Authentifizierung von Klaviyo.
Aktive Kampagne	In den Kontoeinstellungen überprüfen	RSA	Die Bezeichnung des Selektors kann variieren. Überprüfen Sie dies auf der Seite zur E-Mail-Authentifizierung in Ihrem Konto.
Brevo (ehemals Sendinblue)	In den Kontoeinstellungen überprüfen	RSA	Bestätigen Sie die Auswahl im Bereich „Domain-Einstellungen“ von Brevo
Mimecast	`mimecast20190104` (Beispielformat)	RSA 2048 Bit	Datumsgestempeltes Format. Tatsächlicher Selektor, der während der Einarbeitung ausgestellt wurde

Wenn Ihre Domain E-Mails über drei oder vier dieser Plattformen gleichzeitig versendet, haben Sie drei oder vier aktive DKIM-Selektoren in Ihrem DNS, und jeder einzelne davon muss separat nachverfolgt, überprüft und rotiert werden.

Die Verwaltung mehrerer DKIM-Selektoren über verschiedene E-Mail-Dienstleister hinweg wird bei steigendem Umfang schwierig, insbesondere wenn jede Plattform unterschiedliche Rotationszeitpläne, Selektorformate und DNS-Anforderungen hat.

PowerDMARC Hosted DKIM unterstützt die Zentralisierung der Selektorverwaltung über ein einziges Dashboard, wodurch das Hinzufügen, Rotieren, Validieren und Überwachen von DKIM-Selektoren vereinfacht wird, ohne dass DNS-Einträge wiederholt manuell geändert werden müssen.

Kostenlose Testversion starten

Namenskonventionen und bewährte Vorgehensweisen

DKIM-Selektoren können innerhalb der Syntaxregeln fast beliebig benannt werden. Ohne eine einheitliche Namenskonvention wird die Verwaltung der Selektoren schnell unübersichtlich, wenn Dienste hinzugefügt und Schlüssel rotiert werden.

Empfohlene Namenskonventionen

Ein strukturierter Namenskonzept erleichtert es erheblich, die Zuständigkeiten zu klären, Rotationen nachzuverfolgen, Fehler zu beheben und spätere Verwirrung im Betrieb zu vermeiden.

Muster 1: ESP + Datum

Beispiele:

google-2026q1
sendgrid-202601
hubspot-2025q4

Dies ist das praktischste Muster. Auf einen Blick lässt sich erkennen, welcher Dienst für den Schlüssel verantwortlich ist und wann dieser zuletzt aktualisiert wurde. Bei einer Prüfung können Sie jeden Selektor, dessen Datum mehr als 12 Monate zurückliegt, sofort kennzeichnen.

Muster 2: Dienstfunktion + Abfolge

Beispiele:

Marketing-01
transaktional-01
Unternehmen-01

Dies ist nützlich, wenn mehrere E-Mail-Anbieter dieselbe Domain bedienen und Sie die Selektoren lieber nach E-Mail-Strom als nach Anbieter sortieren möchten.

Muster 3: ESP-Standard (keine benutzerdefinierte Benennung)

Viele ESPs lassen keine benutzerdefinierte Benennung von Selektoren zu. Google Workspace verwendet immer „google“. Microsoft 365 verwendet „selector1“ und „selector2“. In diesen Fällen müssen Sie mit den von der Plattform bereitgestellten Optionen arbeiten und die Zuordnung extern nachverfolgen.

Zu vermeidende Namenskonventionen

Schlecht strukturierte oder zu allgemeine Namen können bei Audits, der Fehlerbehebung und bei Schlüsselrotationen zu Verwirrung führen, insbesondere in Umgebungen mit mehreren ESPs und einer großen Anzahl aktiver Selektoren. Vermeiden Sie die folgenden Namenskonventionen:

Allgemeine Bezeichnungen ohne Kontext: `key1`, `test`, `dkim` geben keine Auskunft über den ESP oder den Rotationsstatus.
Selektoren, die sensible Informationen enthalten: Betten Sie keine Details zur internen Infrastruktur, Server-Hostnamen oder Mitarbeiter-IDs in Selektor-Namen ein. Selektor-Namen sind über das DNS öffentlich einsehbar.
Übermäßig lange Selektoren: Obwohl technisch bis zu 63 Zeichen zulässig sind, führen Selektoren mit mehr als 30 Zeichen zu unnötiger Komplexität bei DNS-Einträgen und Suchbefehlen.

Die Einrichtung mit einer einzigen Domain und einem einzigen ESP ist einfach. Man generiert ein Schlüsselpaar, veröffentlicht den öffentlichen Schlüssel unter dem Selektor des ESP, und schon ist man fertig. Die operativen Herausforderungen beginnen, wenn dieselbe Domain E-Mails über mehrere Plattformen versendet.

Ein praktischer Managementrahmen

Der folgende fünfstufige Lebenszyklus bietet einen strukturierten Ansatz für das Selektor-Management:

Phase 1: Bestandsaufnahme

Jeden aktiven DKIM-Selektor für jede von Ihnen verwaltete Domain, einschließlich des ESP, der Schlüssellänge, des Veröffentlichungsdatums und der verantwortlichen Person oder des Teams. DMARC-Gesamtberichte sind der schnellste Weg, um dieses Verzeichnis zu erstellen, da sie jeden Selektor aufzeigen, der derzeit E-Mails für Ihre Domain signiert, einschließlich derer, an deren Einrichtung sich niemand mehr erinnert.

Phase 2: Validieren

Fragen Sie für jeden Selektor in Ihrem Bestand das DNS ab, um sicherzustellen, dass der öffentliche Schlüssel veröffentlicht und korrekt formatiert ist. Versenden Sie eine Test-E-Mail über jeden E-Mail-Dienstanbieter und überprüfen Sie, ob die DKIM-Prüfung erfolgreich ist. Überprüfen Sie die Schlüssellängen und kennzeichnen Sie alle Selektoren, die einen 1024-Bit-Schlüssel verwenden.

Phase 3: Standardisieren

Legen Sie eine Namenskonvention fest und wenden Sie diese auf jeden Selektor an, für den Sie verantwortlich sind. Bei ESPs, die feste Selektornamen verwenden, dokumentieren Sie die Zuordnung klar und deutlich. Legen Sie einen Rotationsplan fest und weisen Sie die Zuständigkeiten zu.

Phase 4: Überwachen.

Verwenden Sie aggregierte DMARC-Berichte, um die DKIM-Erfolgs- und Fehlerquoten pro Selektor kontinuierlich zu überwachen. Ein plötzlicher Anstieg der Fehlerquote bei einem bestimmten Selektor deutet in der Regel auf eine Änderung im DNS, das Ablaufen eines Schlüssels oder eine Konfigurationsänderung beim E-Mail-Dienstanbieter hin.

Phase 5: Außerbetriebnahme

Wenn Sie die Nutzung eines ESP einstellen, widerrufen Sie dessen DKIM-Schlüssel, indem Sie einen leeren `p=`-Wert im DNS-Eintrag des Selektors veröffentlichen. Löschen Sie den DNS-Eintrag nicht einfach. Ein leerer `p=`-Wert teilt den empfangenden Servern ausdrücklich mit, dass der Schlüssel widerrufen wurde. Das vollständige Löschen des Eintrags führt zu einem Fehler bei der DNS-Abfrage, was mehrdeutig ist und von verschiedenen Empfängern unterschiedlich interpretiert werden kann.

PowerDMARC bietet ein zentrales Dashboard, das alle aktiven DKIM-Selektoren über alle Domains in Ihrem Konto hinweg abbildet und dabei gleichzeitig Daten aus DMARC-Gesamtberichten und der DNS-Überwachung abruft. Für MSPs, die große Kundenportfolios verwalten, ersetzt dies die tabellenbasierte Nachverfolgung, die ab einigen Dutzend Domains unüberschaubar wird.

DKIM-Schlüsselrotation und Selektorstrategie

Die DKIM-Schlüsselrotation bedeutet, dass ein neues Schlüsselpaar generiert und der neue öffentliche Schlüssel unter einem neuen (oder aktualisierten) Selektor veröffentlicht wird; anschließend wird der sendende Dienst so konfiguriert, dass er mit dem neuen privaten Schlüssel signiert.

Ein privater DKIM-Schlüssel, der über Jahre hinweg unverändert bleibt, stellt ein wachsendes Risiko dar. Sollte der Schlüssel durch einen Serverangriff, eine Insider-Bedrohung oder eine Schwachstelle im Schlüsselspeichersystem kompromittiert werden, kann ein Angreifer E-Mails im Namen Ihrer Domain signieren, die die DKIM-Authentifizierung bestehen. Eine regelmäßige Rotation begrenzt das Risiko.

So wechseln Sie DKIM-Schlüssel ohne Ausfallzeiten

Der Standard-Rotationsprozess verwendet nacheinander zwei Selektoren:

Ein neues Schlüsselpaar generieren: Erstellen Sie ein neues 2048-Bit-RSA- (oder Ed25519-)Schlüsselpaar.
Veröffentlichen Sie den neuen öffentlichen Schlüssel unter einem neuen Selektor: Wenn Ihr aktueller Selektor beispielsweise `google-2025q3` lautet, veröffentlichen Sie den neuen Schlüssel unter `google-2026q1`.
Warten Sie, bis die DNS-Änderungen übernommen wurden: Es dauert 24 bis 48 Stunden, bis der neue TXT-Eintrag weltweit propagiert ist. Speziell bei Microsoft 365 kann die vollständige Propagierung bis zu 96 Stunden dauern.
Aktualisieren Sie die Signaturkonfiguration: Konfigurieren Sie den ESP oder den Mailserver so, dass ausgehende Nachrichten mit dem neuen privaten Schlüssel und dem neuen Selektor signiert werden.
Überprüfen: Senden Sie Testnachrichten und überprüfen Sie, ob DKIM mit dem neuen Selektor erfolgreich ist.
Den alten Schlüssel widerrufen: Veröffentlichen Sie nach einer Übergangsphase (in der Regel 7 bis 14 Tage, damit mit dem alten Schlüssel signierte Nachrichten, die sich noch im Versand befinden, zugestellt werden können) einen leeren `p=`-Wert für den alten Selektor.

DKIM-Schlüsselrotation in Umgebungen mit mehreren E-Mail-Anbietern

Jedes ESP verfügt über einen eigenen Rotationsmechanismus:

Microsoft 365: bietet eine integrierte Selektorrotation zwischen `selector1` und `selector2`. Starten Sie die Rotation über das Defender-Portal.
SendGrid: wechselt automatisch zwischen `s1` und `s2`.
Google Workspace: erfordert eine manuelle Schlüsselneugenerierung über die Admin-Konsole.
Die meisten Marketingplattformen: erfordern eine manuelle Rotation über ihre Domain-Authentifizierungseinstellungen.

Wenn alle Selektoren am selben Tag rotiert werden, entsteht ein konzentriertes Risikofenster, und die Fehlerbehebung wird erschwert, falls etwas nicht funktioniert. Verteilen Sie die Rotationen auf verschiedene Wochen oder Monate.

Die gehostete DKIM-Funktion von PowerDMARC übernimmt die Schlüsselgenerierung, die DNS-Veröffentlichung und die Selektorrotation für alle Domains in Ihrem Konto, mit konfigurierbaren Rotationsplänen pro Domain und pro ESP.

Kostenlose Testversion starten

Häufige Fehler bei DKIM-Selektoren und wie man sie behebt

Wenn DKIM fehlschlägt, liegt die Ursache fast immer in einem von wenigen Fehlern bei der Selektor- oder DNS-Konfiguration. Die folgende Tabelle enthält die häufigsten Fehler, ihre Symptome und Lösungsansätze.

Fehler	Symptom	Ursache	Fix
Selektor nicht gefunden	DKIM-Ergebnis: `permerror` oder `none`; DNS-Abfrage gibt NXDOMAIN zurück	Der DNS-TXT-Eintrag des Selektors existiert nicht oder ist unter einem falschen Pfad veröffentlicht.	Verify the full DNS path: `{selector}._domainkey.{domain}`. Check for typos in the selector name and domain. Confirm the record exists using `dig TXT {selector}._domainkey.{domain}`.
Der öffentliche Schlüssel ist leer	DKIM-Ergebnis: `fail`	Der TXT-Eintrag ist vorhanden, enthält jedoch „p=“ ohne Wert, was auf einen widerrufenen Schlüssel hinweist	Dies ist bei deaktivierten Selektoren beabsichtigt. Sollte der Schlüssel aktiv sein, veröffentlichen Sie den vollständigen Wert des öffentlichen Schlüssels erneut.
Der öffentliche Schlüssel ist abgeschnitten	DKIM-Ergebnis: `fail`; der Wert nach `p=` scheint abgeschnitten zu sein	2048-Bit-RSA-Schlüssel erzeugen Base64-Zeichenfolgen, die die Begrenzung von 255 Zeichen für DNS-TXT-Zeichenfolgen überschreiten. Einige DNS-Verwaltungsschnittstellen kürzen lange Werte stillschweigend, anstatt sie gemäß RFC 6376 in mehrere Zeichenfolgen-Einträge aufzuteilen.	Stellen Sie sicher, dass Ihr DNS-Anbieter TXT-Einträge mit mehreren Zeichenfolgen korrekt verarbeitet. Der Wert des öffentlichen Schlüssels muss innerhalb eines einzelnen TXT-Eintrags auf mehrere Zeichenfolgen in Anführungszeichen aufgeteilt werden (z. B. `"v=DKIM1; k=rsa; p=MIIBIjAN..." "BgkqhkiG9w0B..."`). Bei einigen DNS-Anbietern müssen Sie den Wert als eine einzige ununterbrochene Zeichenfolge eingeben, die Aufteilung erfolgt dann automatisch. Bei anderen ist eine manuelle Aufteilung erforderlich. Testen Sie dies mit `dig TXT` und vergewissern Sie sich, dass der vollständige Schlüssel zurückgegeben wird. Falls Ihr DNS-Anbieter den Wert stillschweigend abschneidet, sollten Sie einen Anbieterwechsel in Betracht ziehen oder eine CNAME-basierte DKIM-Konfiguration verwenden, bei der der ESP den TXT-Eintrag hostet.
Typkonflikt beim Schlüssel	DKIM-Ergebnis: `fail`	Das `k=`-Tag im DNS-Eintrag gibt einen anderen Algorithmus an als den, den der Signaturserver verwendet hat. Beispielsweise `k=rsa` im DNS, die E-Mail wurde jedoch mit Ed25519 signiert	Stellen Sie sicher, dass das `k=`-Tag mit dem Signaturalgorithmus übereinstimmt. Wenn Sie sowohl RSA als auch Ed25519 verwenden, benötigt jeder Algorithmus einen eigenen Selektor und einen entsprechenden DNS-Eintrag.
Syntaxfehler im TXT-Eintrag	DKIM-Ergebnis: `permerror`	Fehlende Semikolons, überflüssige Leerzeichen innerhalb von Tag-Werten oder falsche Tag-Namen im DNS-TXT-Eintrag	Vergleichen Sie Ihren Datensatz mit der Spezifikation. Jedes Tag-Wert-Paar muss durch ein Semikolon getrennt sein. Der Wert nach „p=“ darf nur gültige Base64-Zeichen enthalten und darf keine Leerzeichen oder Zeilenumbrüche innerhalb der kodierten Zeichenfolge enthalten.
Falsche Domänenausrichtung	DKIM wird bestanden, DMARC jedoch nicht	Die `d=`-Domäne in der DKIM-Signatur stimmt nicht mit der `From:`-Domäne überein. Der Selektor und der Schlüssel sind korrekt, aber die signierende Domäne ist für DMARC-Zwecke falsch.
CNAME wird nicht aufgelöst	DKIM-Ergebnis: `temperror` oder `none`	Einige ESPs verwenden CNAME-Einträge, um den Selektorpfad auf die eigene DNS-Infrastruktur des ESPs zu verweisen. Wenn der CNAME-Eintrag fehlerhaft ist oder der Ziel-Eintrag fehlt, schlägt die Abfrage fehl	Verify the CNAME resolves correctly: `dig CNAME {selector}._domainkey.{domain}`. Then verify the destination TXT record exists and contains the public key

Das 2048-Bit-Trunkierungsproblem im Detail

Wenn Unternehmen ihre DKIM-Schlüssel von 1024 Bit auf 2048 Bit aktualisieren (da 1024-Bit-RSA für DKIM-Zwecke als zu schwach gilt), verdoppelt sich die Länge des Base64-kodierten öffentlichen Schlüssels in etwa. Die resultierende Zeichenfolge ist in der Regel länger als 400 Zeichen.

DNS-TXT-Einträge sind auf 255 Zeichen pro Zeichenfolge innerhalb des Eintrags begrenzt. Die in RFC 6376 definierte Lösung besteht darin, den Wert auf mehrere Zeichenfolgen innerhalb eines einzelnen TXT-Eintrags aufzuteilen. Empfangende Mailserver fügen diese Zeichenfolgen automatisch wieder zusammen.

Die meisten gängigen DNS-Verwaltungsschnittstellen bewältigen dies nicht effizient:

Manche Schnittstellen kürzen den Wert stillschweigend auf 255 Zeichen, ohne eine Warnung auszugeben.
Manche Schnittstellen lehnen die Eingabe komplett ab und geben dabei nur eine vage Fehlermeldung aus.
Bei einigen Schnittstellen muss der Administrator die Zeichenfolge manuell aufteilen und jedes Segment in Anführungszeichen setzen.

Wenn Sie einen 2048-Bit-Schlüssel veröffentlichen und DKIM sofort Fehler meldet, überprüfen Sie die tatsächliche DNS-Antwort mit `dig` oder `nslookup`. Vergleichen Sie den zurückgegebenen `p=`-Wert mit dem vollständigen öffentlichen Schlüssel aus Ihrem Schlüsselpaar. Ist der zurückgegebene Wert kürzer, hat Ihr DNS-Anbieter ihn gekürzt.

Um dies zu vermeiden:

Verwenden Sie einen DNS-Anbieter, der lange TXT-Einträge nativ unterstützt (Cloudflare, AWS Route 53 und die meisten DNS-Plattformen für Unternehmen handhaben dies korrekt).
Verwenden Sie CNAME-basiertes DKIM, bei dem der DNS-Pfad des Selektors auf einen vom E-Mail-Dienstanbieter gehosteten CNAME verweist. Der E-Mail-Dienstanbieter verwaltet den TXT-Eintrag in seiner Infrastruktur, wodurch das Problem vollständig umgangen wird.
Falls Sie einen Anbieter nutzen müssen, der eine manuelle Aufteilung erfordert, teilen Sie den Schlüssel innerhalb eines einzelnen TXT-Eintrags in Zeichenfolgen von maximal 250 Zeichen auf, die jeweils in Anführungszeichen gesetzt sind.

DKIM-Selektoren und DMARC-Abgleich

DKIM und DMARC sind zwar separate Protokolle, doch ihre Wechselwirkung überrascht viele Administratoren. Es kann vorkommen, dass DKIM die Überprüfung besteht, während DMARC weiterhin fehlschlägt. In solchen Fällen liegt die Ursache fast immer in einer Diskrepanz bei der Domänenzuordnung, die damit zusammenhängt, wie die Signaturdomäne des Selektors mit der Domäne im `From:`-Header in Beziehung steht.

So funktioniert die DMARC-Anpassung mit DKIM

DMARC verlangt, dass mindestens ein Authentifizierungsmechanismus (SPF oder DKIM) die Überprüfung besteht und mit der Domain im `From:`-Header übereinstimmt.

Für DKIM-Abgleich muss die `d=`-Domäne im DKIM-Signature-Header mit der Domäne im `From:`-Header übereinstimmen. Der Selektor selbst wird bei der Übereinstimmung nicht berücksichtigt. Die Übereinstimmung basiert ausschließlich auf der `d=`-Domäne.

DMARC unterstützt zwei Abgleichmodi:

Modus	Anforderung	Beispiel
Entspannt (Standard)	Die `d=`-Domäne muss mit der `From:`-Domäne identisch sein oder eine Subdomäne davon darstellen (oder umgekehrt)	`d=mail.example.com` stimmt mit `From: [email protected]` überein
Streng	Die `d=`-Domäne muss genau mit der `From:`-Domäne übereinstimmen. \|	`d=mail.example.com` stimmt nicht mit `From: [email protected]` überein

Die beiden Fälle, in denen DKIM erfolgreich ist, DMARC jedoch fehlschlägt

Eines der verwirrendsten Ergebnisse bei der E-Mail-Authentifizierung ist es, wenn DKIM erfolgreich ist, DMARC jedoch weiterhin fehlschlägt. Dies tritt in der Regel auf, wenn die Signatur selbst gültig ist, die signierende Domain jedoch nicht korrekt mit der in der Nachricht verwendeten sichtbaren „Von:“-Domain übereinstimmt.

Szenario 1: Ein externer E-Mail-Dienstleister nutzt seine eigene Domain

Einige E-Mail-Anbieter signieren ausgehende Nachrichten mit ihrer eigenen Domain im Feld `d=`, wenn DKIM für Ihre Domain nicht ausdrücklich konfiguriert ist. So könnte beispielsweise eine E-Mail, die im Namen von `[email protected]` versendet wird, eine DKIM-Signatur mit `d=esp-provider.com` enthalten.

Die DKIM-Überprüfung ist erfolgreich (die Signatur ist gültig), aber DMARC schlägt fehl, da `esp-provider.com` nicht mit `example.com` übereinstimmt.

Konfigurieren Sie die DKIM-Signatur im E-Mail-Dienst so, dass Ihre eigene Domain im `d=`-Tag verwendet wird. Dazu müssen Sie in der Regel den DKIM-Selektor des E-Mail-Dienstes als DNS-Eintrag unter Ihrer Domain hinzufügen und die benutzerdefinierte DKIM-Signatur in den Einstellungen des E-Mail-Dienstes aktivieren.

Szenario 2: Signierung von Subdomains mit strikter DMARC-Ausrichtung

Wenn Ihre DMARC-Richtlinie eine strenge Übereinstimmung (`adkim=s`) vorsieht und Ihr E-Mail-Dienstanbieter mit `d=sub.example.com` signiert, während die `From:`-Adresse `example.com` verwendet, schlägt DMARC fehl, obwohl DKIM erfolgreich ist.

Wechseln Sie entweder zur lockeren Zuordnung (`adkim=r`, dies ist die Standardeinstellung) oder stellen Sie sicher, dass die `d=`-Domäne in der DKIM-Signatur genau mit der `From:`-Domäne übereinstimmt.

Überprüfung der Abstimmung zwischen mehreren ESPs

In Umgebungen mit mehreren ESPs kann jede sendende Plattform mit unterschiedlichen `d=`-Domänen signieren. Ein ESP signiert möglicherweise mit Ihrer Root-Domäne, ein anderer mit einer Subdomain, und ein dritter verwendet standardmäßig seine eigene Domäne, bis Sie eine benutzerdefinierte Signatur konfigurieren.

Die DMARC-Gesamtberichte zeigen für jede DKIM-signierte Nachricht die `d=`-Domäne und das Übereinstimmungsergebnis an. Überprüfen Sie diese Berichte, um alle ESPs zu identifizieren, die mit einer nicht übereinstimmenden Domäne signieren. Die DMARC-Berichte von PowerDMARC heben Übereinstimmungsfehler nach Absenderquelle hervor, sodass sich leicht feststellen lässt, welcher ESP neu konfiguriert werden muss.

Schlussfolgerung

Die Unternehmen, die das Selektor-Management als kontinuierlichen Betriebsablauf und nicht als einmalige Einrichtungsaufgabe betrachten, sind diejenigen, die eine gleichbleibende Zustellbarkeit gewährleisten, Audits problemlos bestehen und schnell auf Vorfälle reagieren.

Wenn Sie mehr als nur eine Handvoll Domains verwalten oder mit mehreren E-Mail-Dienstanbietern zusammenarbeiten, lohnt sich die Investition in eine zentralisierte Übersicht über Ihre DKIM-Selektoren.

PowerDMARC bietet diese zentrale Übersicht und vereint die Analyse von DMARC-Gesamtberichten, DNS-Überwachung und gehostetes DKIM-Management in einer einzigen Benutzeroberfläche, die genau für diese Art von betrieblicher Komplexität konzipiert ist.

Verwalten Sie DKIM-Selektoren mühelos über mehrere E-Mail-Anbieter hinweg. Melden Sie sich für eine Testversion an , um DKIM-Einträge zu überwachen, die DMARC-Konformität zu verbessern und die Zustellbarkeit von E-Mails zu sichern.

FAQs

Wie finde ich meinen DKIM-Selektor?

Sie können Ihren DKIM-Selektor ermitteln, indem Sie die vollständigen Kopfzeilen einer E-Mail anzeigen und den Feld „DKIM-Signature“ . Der Wert nach s= ist der Selektor. Zum Beispiel in s=googlelautet der Selektor google.

Wie viele DKIM-Selektoren kann eine Domain haben?

Es gibt keine technische Begrenzung hinsichtlich der Anzahl der DKIM-Selektoren, die eine Domain haben kann. Unternehmen verwenden üblicherweise mehrere Selektoren gleichzeitig für verschiedene E-Mail-Anbieter, Abteilungen oder Schlüsselrotationszeiträume.

Können mehrere E-Mail-Anbieter unterschiedliche DKIM-Selektoren für dieselbe Domain verwenden?

Ja. Jeder E-Mail-Dienstleister verwendet in der Regel einen eigenen DKIM-Selektor. So können beispielsweise Google Workspace, SendGrid und Mailchimp unter derselben Domain separate Selektoren verwenden, ohne dass es zu Konflikten kommt.

Was ist der Unterschied zwischen einem DKIM-Selektor und einem DKIM-Schlüssel?

Der Selektor ist die Bezeichnung, anhand derer der DKIM-Eintrag im DNS gefunden wird, während der DKIM-Schlüssel das eigentliche kryptografische Schlüsselpaar aus öffentlichem und privatem Schlüssel ist, das zum Signieren und Überprüfen von E-Mails verwendet wird.

Warum wird DKIM akzeptiert, DMARC aber immer noch abgelehnt?

Dies geschieht in der Regel aufgrund eines fehlgeschlagenen DMARC-Abgleichs. Die DKIM-Signatur wird zwar möglicherweise erfolgreich validiert, aber der d= Domäne in der DKIM-Signatur stimmt nicht mit dem From: Domäne, die in der E-Mail verwendet wird.

Wie oft sollten DKIM-Selektoren und -Schlüssel gewechselt werden?

Gemäß den bewährten Sicherheitsverfahren wird empfohlen, DKIM-Schlüssel alle 6 bis 12 Monate zu aktualisieren. Während der Aktualisierung sollten sowohl der alte als auch der neue Selektor vorübergehend aktiv bleiben, um Validierungsfehler während der DNS-Propagierung zu vermeiden.

Über
Neueste Beiträge

Melika

Neueste Beiträge von Melika (alle anzeigen)

Was ist ein DKIM-Selektor und wie verwaltet man ihn über mehrere E-Mail-Anbieter hinweg? – 26. Mai 2026
SPF-Prüfung in Exchange: So überprüfen, veröffentlichen und korrigieren Sie SPF-Einträge in Exchange – 20. Mai 2026
So richten Sie einen SPF-Eintrag für Gmail ein – 17. Februar 2026

Was ist ein DKIM-Selektor und wie verwaltet man ihn über mehrere E-Mail-Anbieter hinweg?