Zum Inhalt springen
D1
DE

E-Mail-Authentifizierung

DKIM-Eintrag prüfen und validieren

Frage den TXT-Eintrag selector._domainkey einer beliebigen Domain ab und validiere DKIM-Tags, Schlüsseltyp und Schlüssellänge.

Dieses Formular ruft den relativen Endpunkt auf: /site-api/tools/dkim

Was prüft der DKIM Validator?

  1. Gib den DKIM-Selector (zum Beispiel google, default oder k1) und die Domain ein. Das Tool fragt den TXT-Eintrag {selector}._domainkey.{domain} über öffentliches DNS ab.
  2. Der Eintrag wird Tag für Tag geparst: Version v=DKIM1, Schlüsseltyp k=, öffentlicher Schlüssel p=, Hash-Algorithmen h=, Diensttypen s= und Flags t=, plus die dekodierte Schlüssellänge.
  3. Lies das Ergebnis und die Warnungen: fehlender Eintrag, leeres p=-Tag (widerrufener Schlüssel), schwacher 1024-Bit-Schlüssel oder t=y-Flag werden jeweils klar erklärt.

Wichtige DKIM-Tags

Der Validator prüft die DNS-Hälfte von DKIM: den veröffentlichten Public-Key-Eintrag. Er bestätigt, dass der Eintrag existiert, parst jedes Tag und markiert schwache oder widerrufene Schlüssel — er signiert oder empfängt keine E-Mails für dich.

TagWarum es wichtig istBeispiel
v=DKIM1Versions-Tag, mit dem jeder gültige DKIM-Eintrag beginnen mussv=DKIM1
k / pSchlüsseltyp und Base64-kodierter öffentlicher Schlüssel zur Signaturprüfungk=rsa; p=MIIBIjANBg…
SchlüssellängeGröße des RSA-Modulus — 1024-Bit-Schlüssel gelten heute als schwach2048 Bit
t=yTest-Flag: Empfänger behandeln Signaturen, als würde die Domain nicht signierent=y

Wann sollte man einen DKIM-Eintrag prüfen?

Prüfe direkt nach dem Anlegen oder Ändern des DNS-Eintrags eines Mail-Anbieters. Google Workspace nutzt meist den Selector google, Microsoft 365 nutzt selector1 und selector2, Amazon SES vergibt drei zufällige CNAME-Selectors, Mailchimp nutzt k1 (und k2/k3), SendGrid üblicherweise s1 und s2.

Prüfe DKIM, wenn Nachrichten im Spam landen oder DMARC-Reports dkim=fail zeigen. Ein fehlender oder fehlerhafter Eintrag ist eine der häufigsten Ursachen.

Verifiziere bei der Schlüsselrotation beide Selectors: Anbieter veröffentlichen den neuen Schlüssel auf einem zweiten Selector, bevor der alte abgeschaltet wird — beide müssen auflösbar sein, solange alte Signaturen noch unterwegs sind.

Fehlende oder ungültige DKIM-Einträge beheben

Wird kein Eintrag gefunden, prüfe die exakte Schreibweise des Selectors und dass der TXT- (oder CNAME-)Eintrag unter selector._domainkey.deinedomain.com liegt — ein klassischer Fehler ist die Veröffentlichung auf der Apex-Domain oder die doppelte Domain im Host-Feld.

Ist der Eintrag vorhanden, aber ungültig, sieh dir die geparsten Tags an: ein fehlendes v=DKIM1, ein abgeschnittener p=-Wert (DNS-Panels teilen lange Schlüssel oft in mehrere Strings in Anführungszeichen) oder überflüssige Leerzeichen brechen die Verifikation.

Ein leeres p=-Tag bedeutet, dass der Schlüssel bewusst widerrufen wurde. Das t=y-Flag heißt Testmodus: Empfänger prüfen die Signatur, setzen sie aber nicht strikt durch — entferne das Flag, sobald der Rollout bestätigt ist.

DKIM-Selectors, Schlüssel und Rotation

Mit DKIM signiert der sendende Server jede Nachricht mit einem privaten Schlüssel; Empfänger holen den passenden öffentlichen Schlüssel per DNS über den Selector aus dem DKIM-Signature-Header (s=-Tag). Selectors erlauben einer Domain, mehrere Schlüssel gleichzeitig zu veröffentlichen.

Die Schlüssellänge zählt: 1024-Bit-RSA-Schlüssel werden noch akzeptiert, gelten aber als schwach; die meisten Anbieter vergeben inzwischen 2048-Bit-Schlüssel. Manche DNS-Panels verlangen, den langen Base64-String in zwei Teilstrings zu splitten.

Rotiere Schlüssel, indem du den neuen Schlüssel unter einem neuen Selector veröffentlichst, das Signieren umstellst und erst dann den alten Eintrag entfernst oder widerrufst. Die Einzelprüfung jedes Selectors bestätigt jeden Schritt.

Workflow für E-Mail-Authentifizierung

  1. MX- und SPF-Einträge mit dem DNS Checker bestätigen.
  2. Jeden DKIM-Selector deiner Anbieter validieren.
  3. Den _dmarc-TXT-Eintrag und seine Policy prüfen.
  4. Nach Anbieter-Migration oder Schlüsselrotation erneut prüfen.

DKIM Validator vs. dig und Mail-Header

Den Eintrag kannst du auch mit dig TXT selector._domainkey.example.com abfragen, musst dann aber Tags und Schlüssellänge selbst auswerten. Der Validator macht das automatisch und erklärt jeden Befund.

Die Authentication-Results-Header einer empfangenen Nachricht zeigen, ob eine konkrete Mail bestanden hat. Der Validator beantwortet die vorgelagerte Frage: Ist der veröffentlichte Eintrag überhaupt vorhanden und gültig?

Komplette Deliverability-Suiten testen Seed-Postfächer und Reputation. Dieses Tool deckt das DNS-Fundament ab, von dem alles andere abhängt — schnell, kostenlos und per API automatisierbar.

Warum der DN01 DKIM Validator

  • Selector-basierte Abfrage, die jedes DKIM-Tag parst und Schlüsseltyp sowie Schlüssellänge meldet — nicht nur rohen TXT-Output.
  • Klare Warnungen bei widerrufenen Schlüsseln (leeres p=), Testmodus (t=y) und schwachen 1024-Bit-Schlüsseln.
  • Fügt sich in den bestehenden DN01-Workflow neben DNS-, SPF/TXT- und Blacklist-Prüfungen ein, mit lokalisierter UI in 8 Sprachen.

FAQ

DKIM Validator FAQ

Selectors, DNS-TXT-Einträge, Schlüssellänge und die Bedeutung von Test- und Widerrufs-Flags.

Was ist ein DKIM-Selector?

Der Selector ist das Label aus dem s=-Tag des DKIM-Signature-Headers einer Nachricht. Empfänger kombinieren ihn mit deiner Domain und fragen den TXT-Eintrag selector._domainkey.deinedomain.com ab — so kann eine Domain mehrere Signaturschlüssel gleichzeitig veröffentlichen.

Wie finde ich meinen DKIM-Selector?

Öffne eine gesendete Nachricht und sieh dir den DKIM-Signature-Header an: das s=-Tag ist der Selector. Übliche Werte: google bei Google Workspace, selector1/selector2 bei Microsoft 365, k1 bei Mailchimp und s1/s2 bei SendGrid. Ob der TXT-Eintrag existiert, bestätigst du im DNS Checker.

Warum ist mein DKIM-Eintrag ungültig?

Häufige Ursachen: fehlendes v=DKIM1-Tag, abgeschnittener p=-Wert nach falschem Aufteilen des langen Schlüssels im DNS-Panel, überflüssige Anführungszeichen oder Leerzeichen, oder der Eintrag liegt auf dem falschen Hostnamen. Der Validator parst jedes Tag und zeigt das genaue Problem.

Was bedeutet t=y im DKIM-Eintrag?

Das ist das Test-Flag: Empfänger prüfen die Signatur, behandeln Fehler aber so, als wäre die Nachricht unsigniert. Während des Rollouts in Ordnung — entferne das Flag, sobald DMARC-Reports DKIM dauerhaft als bestanden zeigen.

1024- oder 2048-Bit-DKIM-Schlüssel?

Nimm 2048 Bit. 1024-Bit-RSA-Schlüssel werden noch verifiziert, gelten aber als schwach, und große Anbieter vergeben inzwischen standardmäßig 2048 Bit. Lehnt dein DNS-Panel den langen Wert ab, teile den Base64-String in zwei Teilstrings in Anführungszeichen.

Kann eine Domain mehrere DKIM-Selectors haben?

Ja, und meistens sollte sie das. Jeder Mail-Anbieter signiert mit einem eigenen Selector, und die Schlüsselrotation beruht darauf, den neuen Schlüssel unter einem frischen Selector zu veröffentlichen, bevor der alte widerrufen wird. Validiere jeden Selector einzeln.

Tool-Wechsler

Nächsten Schritt im Domain- oder Sicherheits-Workflow wählen.

Vollständiger Tool-Katalog

Anleitungen

Praxisnahe Anleitungen für häufige DKIM Validator-Aufgaben — DNS-Einträge, Troubleshooting-Schritte und Links zu unseren kostenlosen Tools.

Zurück zu DKIM Validator