DKIM-Selector
Das Label im DNS, das den Pfad zum öffentlichen DKIM-Schlüssel angibt und Schlüsselrotation ermöglicht.
Ein Selector ist das Label, mit dem DKIM den richtigen öffentlichen Schlüssel im DNS findet. Der vollständige Pfad lautet <selector>._domainkey.<domain>, zum Beispiel selector1._domainkey.ihre-domain.de.
Jeder Mail-Provider nutzt eigene Selector-Namen: Google Workspace verwendet google, Microsoft 365 selector1 und selector2, andere Dienste eigene Konventionen. Eine Domain kann beliebig viele Selektoren parallel halten — einen pro Versanddienst.
Selektoren sind außerdem der Schlüssel zur Rotation: Will man einen DKIM-Schlüssel erneuern, ohne Zustellung zu unterbrechen, legt man einen neuen Selector mit neuem Schlüssel an, stellt den Mailserver darauf um und entfernt den alten Selector erst, wenn keine in Versand befindliche Mail mehr damit signiert ist — typischerweise nach sieben bis vierzehn Tagen Parallelbetrieb.
Verwaiste Selektoren mit deaktivierten Schlüsseln sollte man aus Hygienegründen entfernen.