Was ist ein DKIM-Selector?

Ein DKIM-Selector ist ein Label, das den Pfad zum Public-Key im DNS angibt — z. B. selector1._domainkey.example.com. Jeder Mail-Provider nutzt einen eigenen Selector.

Wann darf ich einen alten Selector löschen?

Erst entfernen, wenn alle DMARC-Reports zeigen, dass niemand mehr darüber signiert. Faustregel: 7-14 Tage Parallelbetrieb.

DKIM-Check

DKIM prüfen — Selectoren der großen Provider live testen.

Wir testen die gängigsten DKIM-Selektoren (Google, Microsoft, Sendgrid, Mailchimp, Postmark …) gegen Ihre Domain und zeigen, ob und welcher Public-Key aktiv ist.

Live DKIM-Selector-Check

Wir testen rund ein Dutzend bekannter Selector-Namen unter selector._domainkey.IHRE-DOMAIN. Eigene Selectoren erkennen wir nicht automatisch — wofür dann das DMARC-Aggregate-Reporting da ist.

Was ist DKIM?

DKIM (DomainKeys Identified Mail, RFC 6376) signiert ausgehende Mails kryptografisch. Der signierte Server hängt eine DKIM-Signatur in den Header. Empfänger holen den Public-Key unter selector._domainkey.domain und prüfen die Signatur.

Der große Vorteil gegenüber SPF: DKIM überlebt Weiterleitungen, solange der Empfänger den Body nicht verändert. Daher ist DKIM-Alignment das Rückgrat eines belastbaren DMARC-Setups.

Welche Selectoren wir testen

DKIM-Selectoren sind frei wählbar und nicht im DNS aufzählbar. Wir testen daher die häufigsten Namens-Konventionen der großen Mail-Provider:

Google Workspace: google, google1, google2
Microsoft 365: selector1, selector2
Sendgrid: s1, s2, s1.domainkey, s2.domainkey
Mailchimp: k1, k2, k3
Postmark: 20150623, 20240306
Amazon SES: *._domainkey über AWS-Console-Setup
HubSpot: hs1-…, hs2-…
Mailgun: mailo, smtp, k1

Wenn unser Tool nichts findet, heisst das nicht, dass kein DKIM existiert — es kann auch ein eigener Selector-Name sein. Selector7 erkennt diese über die DMARC-Aggregate-Reports automatisch.

Vier Fehler, die wir ständig sehen

Selector veröffentlicht, aber Private-Key beim Anbieter nie eingerichtet

Klassischer Halbschritt: TXT-Record steht im DNS, aber der Mailprovider signiert nichts. Empfänger sehen DKIM=neutral statt =pass — DMARC bricht.

Public-Key kürzer als 1024 Bit

Empfohlen sind 2048 Bit (RSA). 1024 ist Mindeststandard, 512 weisen viele Empfänger ab. Wer noch 512er-Selectoren hat, sollte rotieren.

Selector-Rotation vergessen

Alte Selectoren mit deaktivierten Keys bleiben oft im DNS stehen. Saubere Hygiene: alten Selector erst entfernen, wenn alle Reports zeigen, dass niemand mehr darüber signiert.

CNAME-Selectoren, die ins Leere zeigen

Provider wie Sendgrid setzen oft CNAMEs zu eigenen DNS-Zonen. Wenn die Quell-Zone wegen Provider-Wechsel weg ist, bricht DKIM stumm.

Weitere Tools

Eine Domain hat sieben Auth-Layer — prüfen Sie auch die anderen.

DMARC-Check

SPF-Check

BIMI-Check

MTA-STS-Check

Bereit für sichere E-Mail-Kommunikation?

14 Tage kostenlos testen. Keine Kreditkarte. Volle Funktionalität. Daten bleiben in Frankfurt, AVV nach deutschem Recht inklusive.

14 Tage kostenlos testen Demo buchen