DKIM-Key-Tester — Selektor-Validierung und Schlüssellängenschätzung
Geben Sie Domain und Selektor ein. Der Browser fragt DNS over HTTPS den TXT-Record unter selektor._domainkey.ihredomain.de ab, parst jeden Tag im veröffentlichten Schlüssel (v, k, p, t, h, s, n), schätzt die Public-Key-Größe in Bit und kennzeichnet die häufigsten Probleme — schwache 1024-Bit-Schlüssel, in Produktion belassene Testmodus-Flags, fehlende Schlüsseldaten, widerrufene Schlüssel mit leerem p-Tag, Syntaxfehler und abgeschnittene Records, die das 255-Zeichen-TXT-String-Limit überschreiten. Kein Konto erforderlich; die Abfrage läuft komplett in Ihrem Browser.
DKIM-Selektor prüfen
Geben Sie Domain und Selektor ein. Häufige Selektoren: google (Google Workspace), selector1 / selector2 (Microsoft 365), k1 (Mailchimp), s1 / s2 (die meisten ESPs). Bei Unsicherheit senden Sie sich eine Testnachricht und prüfen den s=-Wert im DKIM-Signature-Header.
DNS over HTTPS via cloudflare-dns.com · Keine Daten an unsere Server
DKIM ist die kryptografische Signatur über die Nachricht — der Nachweis, dass Header und Body seit dem Signieren durch die sendende MTA mit ihrem privaten Schlüssel nicht verändert wurden
Wenn eine Nachricht einen korrekt konfigurierten Versender verlässt, berechnet die ausgehende MTA einen Hash über ausgewählte Header (From, To, Subject, Date, plus einige weitere) und den Nachrichtenkörper, signiert diesen Hash mit einem privaten Schlüssel und fügt einen DKIM-Signature-Header mit der Signatur, der Signing-Domain, dem Selektor, dem Kanonisierungsmodus und einigen weiteren Feldern hinzu. Wenn die Nachricht beim Empfänger ankommt, liest der Receiver Selektor und Signing-Domain aus dem DKIM-Signature-Header, fragt DNS unter selektor._domainkey.signingdomain.de ab, um den öffentlichen Schlüssel abzurufen, berechnet den Hash neu und verifiziert die Signatur gegen den öffentlichen Schlüssel. Gelingt die Verifikation, besteht DKIM; hat etwas auf dem Weg die signierten Header oder den Body manipuliert, stimmt der Hash nicht mehr und DKIM scheitert.
Der DKIM-TXT-Record selbst ist kurz. Die erforderlichen Tags sind v=DKIM1 (Version, immer DKIM1) und p=BASE64_PUBLIC_KEY (der öffentliche Schlüssel in base64-codiertem DER-Format). Häufige optionale Tags sind k=rsa oder k=ed25519 (Schlüsseltyp, Default rsa nach RFC 6376), t=y (Testmodus — Receiver behandeln Fehler so, als gäbe es kein DKIM), t=s (strikte Alignment — Signing-Domain muss exakt mit der i=-Identität übereinstimmen, kein Subdomain-Matching), h=sha256 (zulässige Hash-Algorithmen, Default erlaubt alle aktuellen), s=email (beschränkt das Signieren auf E-Mail-Nutzung) und n=text (Notizen für menschliche Leser, von Receivern ignoriert).
Die Schlüssellänge ist der Punkt, an dem die 2026er Standards von den Defaults abweichen, die in älterer Anbieter-Dokumentation noch versendet werden. NIST hat 1024-Bit-RSA-Schlüssel für neue Anwendungen 2013 formal depreziert und für Bundes-Nutzung bis 2019 vollständig untersagt. RFC 8301 vom Januar 2018 hob das DKIM-Minimum auf 1024 Bit an und empfahl 2048; Verifier müssen Signaturen aus Schlüsseln unter 1024 Bit ablehnen. Googles Bulk-Sender-Guidance vom Februar 2024 empfiehlt 2048 Bit, Microsoft Outlooks Mai-2025-Enforcement tut dasselbe, und Amazon SES rotiert seine gemanagten Schlüssel bei 2048 Bit. Ein 1024-Bit-DKIM-Schlüssel bricht 2026 die Authentifizierung nicht direkt — die Signatur validiert weiterhin, wenn die Mathematik funktioniert — aber für Receiver liest er sich als Domain-Konfiguration, die seit vor 2018 nicht angefasst wurde, was zum breiteren Trust-Scoring beiträgt, das marginale Inbox-Platzierung entscheidet.
Im DACH-Kontext verstärkt der regulatorische Rahmen die Bedeutung. Der BfDI und die Datenschutzkonferenz (DSK) haben in ihren Hinweisen 2024-2025 Domain-Authentifizierung als angemessene technische Maßnahme nach Art. 32 DSGVO und §22 BDSG-neu eingeordnet, und ein veralteter 1024-Bit-DKIM-Schlüssel ist genau die Art von Konfiguration, die ein B2B-Auditor markieren wird. Für deutsche Mittelständler unter B2B-Audit, eine Schweizer Bank unter dem revidierten DSG und FINMA-Aufsicht, oder einen österreichischen Anbieter unter der DSB, ist eine 2048-Bit-Schlüssel mit regelmäßiger Rotation Teil des angemessenen Mindeststandards, den ein Sicherheits-Auditor sehen will. Hinzu kommt, dass die BSI-C5-Registrierungsfrist am 6. März 2026 lief — C5-Compliance bewertet E-Mail-Authentifizierung als Teil des Sicherheitsprofils, und 1024-Bit-Schlüssel sind ein offensichtlicher Mangel im Audit.
Der andere Hebel ist Rotation. RFC 6376 empfiehlt explizit, DKIM-Schlüssel periodisch zu rotieren; die operative Guidance großer Receiver und DKIM-Tooling-Anbieter konvergiert auf 6 bis 12 Monate. Rotation zählt, weil ein privater Schlüssel, der durchsickert (durch eine Hosting-Anbieter-Verletzung, ein falsch konfiguriertes Backup, einen ehemaligen Mitarbeiter mit Admin-Zugriff), einem Angreifer erlaubt, Nachrichten zu signieren, die DKIM für Ihre Domain bestehen, bis Sie den Schlüssel widerrufen. Rotation begrenzt das Expositionsfenster. Das Tool oben zeigt Ihnen, was aktuell veröffentlicht ist; Rotation ist, was Sie tun, wenn der Schlüssel älter als 12 Monate ist oder Sie irgendeinen Grund haben, Kompromittierung zu vermuten.
Jedes Tag, das der Tester parst, was es bedeutet und welchen Wert Sie typischerweise verwenden sollten
Beispiel-Record mit RSA 2048-Bit
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA[…+392 Zeichen base64…]QIDAQAB
v=DKIM1 Versionsbezeichner. Immer DKIM1. Falls vorhanden, muss das erste Tag sein. Receiver, die dieses Tag mit einem anderen Wert als DKIM1 finden, ignorieren den Record vollständig.
k=rsa | ed25519 Schlüsseltyp. Default rsa nach RFC 6376. ed25519 nach RFC 8463 erzeugt kleinere Schlüssel und Signaturen, aber Receiver-Support ist 2026 uneinheitlich — RSA als sicherer Default beibehalten.
p=BASE64_PUBLIC_KEY Der öffentliche Schlüssel, base64-codiertes DER-Format. Ein leeres p=-Tag signalisiert einen widerrufenen Schlüssel — Receiver behandeln jede Signatur, die diesen Selektor reklamiert, als ungültig. RSA-1024-Bit-Schlüssel sind ~216 Base64-Zeichen; 2048-Bit sind ~392; 4096-Bit sind ~736.
t=y · t=s · t=y:s Flags. y = Testmodus (Receiver wenden DKIM-Fehlerkonsequenzen nicht an — ein im Deployment vergessenes Flag ist häufig). s = strikte Ausrichtung zwischen Signing-Domain und i=-Identität. y entfernen, sobald in Produktion.
h=sha256 Zulässige Hash-Algorithmen. RFC 8301 deprezierte sha1; sha256 ist erforderlich. h wegzulassen bedeutet „beliebiger unterstützter Algorithmus", was in aktuellen Implementierungen effektiv sha256 ist.
s=email | * Diensttyp. Default * erlaubt jeden Dienst. email beschränkt den Schlüssel auf E-Mail-Nutzung. In der Praxis selten gesetzt — der Default passt für fast alle Versender.
n=notizen Menschenlesbare Notizen. Von Receivern ignoriert. Manche Teams notieren hier das Rotationsdatum oder das verantwortliche Team — nützlich für Ops, für den Mailfluss unsichtbar.
g=identität Granularität, beschränkt den Schlüssel auf das Signieren für einen bestimmten Local-Part. Von RFC 6376 depreziert und von modernen Receivern ignoriert — nicht verwenden.
Die acht Probleme, die wir am häufigsten beim Ausführen dieses Checks gegen Kunden-Domains sehen
Kein Record am Selektor-Pfad
Die häufigste Ursache eines fehlgeschlagenen DKIM-Checks. Entweder stimmt der Selektor-Name nicht mit dem überein, was die sendende MTA verwendet, der Record wurde nie veröffentlicht, oder die DNS-Propagation ist nicht abgeschlossen. Verifizieren Sie den Selektor durch Prüfen des s=-Werts in einem echten DKIM-Signature-Header Ihrer Domain. Wurde der Record gerade hinzugefügt, lassen Sie bis zu 48 Stunden für die vollständige Propagation.
Leeres p=-Tag (widerrufener Schlüssel)
Ein Record mit p= und nichts dahinter ist die DKIM-definierte Art, einen Schlüssel zu widerrufen, ohne den Record zu löschen. Receiver behandeln jede Signatur, die diesen Selektor reklamiert, als ungültig. Das ist richtig für einen kompromittierten oder zurückgezogenen Schlüssel — aber nur, nachdem Sie das Signieren damit gestoppt haben. Ist der Record leer und Sie signieren noch mit diesem Selektor, scheitert jede Nachricht an DKIM.
1024-Bit-RSA-Schlüssel
2026 noch funktional, liest sich aber als veraltet. NIST deprezierte 1024-Bit-RSA für neue Anwendungen 2013 und untersagte es für Bundesnutzung bis 2019. Googles Bulk-Sender-Guidance 2024 und Microsoft Outlooks Mai-2025-Enforcement empfehlen beide 2048-Bit. Rotieren Sie auf 2048: neuen Schlüssel erzeugen, unter neuem Selektor veröffentlichen, Versand auf Signieren mit neuem Selektor umstellen, alten Record 3-5 Tage aktiv lassen für Nachrichten in Flight, dann alten Record als widerrufen markieren (leeres p=) und schließlich entfernen.
Testflag t=y in Produktion belassen
Häufig nach hastigem Deployment. Mit t=y behandeln Receiver DKIM-Fehler so, als gäbe es kein DKIM — gut zum Testen, gefährlich in Produktion, weil es die Fehlerkonsequenzen abschaltet, auf die sich DMARC für Alignment stützt. t=y entfernen, sobald Ihr Monitoring bestätigt, dass Signaturen korrekt validieren.
Abgeschnittener oder geteilter Schlüssel
Ein einzelner TXT-String ist nach DNS-Protokoll auf 255 Zeichen begrenzt. Ein öffentlicher RSA-2048-Bit-Schlüssel hat etwa 392 Base64-Zeichen plus umgebende Tags, der vollständige Record läuft also auf ~440-470 Zeichen. Der Record muss als mehrere zitierte Strings innerhalb eines einzigen TXT-Records veröffentlicht werden (die meisten DNS-Anbieter handhaben das transparent; manche erfordern manuelles Splitten exakt an 255-Zeichen-Grenzen). Endet der Schlüssel scheinbar bei 255 Zeichen ohne schließendes Tag, ist das das Symptom.
Veralteter Schlüssel über das Rotationsfenster hinaus
Schlüssel über 12 Monate werden als Rotationskandidaten markiert. Der Tester kann das Schlüsselalter allein aus dem Record nicht erkennen — aber wenn Sie wissen, wann Sie ihn erzeugt haben, und es über ein Jahr her ist, rotieren Sie. Neuen Schlüssel unter neuem Selektor erzeugen, während einer Übergangsperiode dual-signen, dann alten Selektor ausmustern.
Syntaxfehler im Record
Fehlende Semikolons zwischen Tags, ungültige Zeichen im Base64 (Whitespace aus einer Generator-Ausgabe), fehlerhafte Flag-Werte. Receiver parsen strikt; ein Syntaxfehler führt dazu, dass der Record ignoriert wird. Der häufigste Fehler: einen Schlüssel aus einer Web-UI einzufügen, die das Base64 über mehrere Zeilen umgebrochen hat, und dann ohne Entfernen der Zeilenumbrüche zu veröffentlichen.
Kein DKIM-Record für irgendeinen Selektor
Manche Domains haben nie einen DKIM-Schlüssel veröffentlicht — sie verlassen sich auf SPF allein. Seit den Februar-2024-Bulk-Sender-Anforderungen von Gmail/Yahoo ist das für skalierte Versender nicht mehr tragfähig; beide Receiver verlangen DKIM-Signierung für Massen-Mail. Microsoft Outlook folgte im Mai 2025. Zeigen Ihre DMARC-Aggregate-Reports flächendeckend DKIM-Fehler, ist die Antwort, Signierung einzurichten — nicht diesen einen Record zu reparieren.
Rotation heißt während der Transition dual-signen, dann ausmustern — niemals einen aktiven Schlüssel in einer einzigen DNS-Bearbeitung löschen und ersetzen
Das Muster, das ohne Verlust der Zustellbarkeit funktioniert: neues 2048-Bit-RSA-Schlüsselpaar erzeugen, den öffentlichen Schlüssel in DNS unter einem neuen Selektor veröffentlichen (nennen Sie ihn s2, falls der alte s1 hieß), 24-48 Stunden für DNS-Propagation warten, sendende MTA auf Signieren mit dem neuen Schlüssel konfigurieren, einige Stunden Produktion laufen lassen, dann via frischen DKIM-Check (das Tool oben oder durch Lesen des DKIM-Signature-Headers in einer zugestellten Nachricht) bestätigen, dass der neue Selektor auflöst und validiert. An diesem Punkt signieren Sie mit dem neuen Schlüssel, der alte wird nicht mehr verwendet. Lassen Sie den alten Selektor weitere 3-5 Tage live, um Nachrichten in Flight abzudecken, die vor dem Wechsel signiert wurden. Markieren Sie dann den alten Record als widerrufen, indem Sie den Schlüssel durch ein leeres p= ersetzen, und entfernen Sie den Record nach weiteren 7 Tagen vollständig aus dem DNS.
Der zu vermeidende Fehler: den alten DKIM-Record gleichzeitig mit der MTA-Konfigurationsänderung löschen. Nachrichten in Transit zwischen MTAs können stundenlang unterwegs sein; in Spool-Queues während Ausfällen festgehaltene Nachrichten können tagelang unterwegs sein. Jede mit dem alten Schlüssel signierte Nachricht, deren DNS-Lookup nach dem Löschen des Records erfolgt, scheitert an DKIM, scheitert an DMARC-Alignment und landet im Spam — für legitime Post, die Sie selbst gesendet haben. Das Dual-Sign-then-Retire-Muster fügt zwei Wochen Overhead hinzu und beseitigt den Fehlerfall vollständig.
Was Teams beim ersten Ausführen des DKIM-Testers fragen
Ich weiß nicht, welchen Selektor mein Versanddienst nutzt. Wie finde ich ihn?
+
Drei zuverlässige Wege. Erste Möglichkeit: Senden Sie sich eine Testnachricht von der zu prüfenden Domain, dann zeigen Sie den Rohnachrichten-Quelltext an (in Gmail: „Original anzeigen"; in Outlook: „Quelltext anzeigen"). Finden Sie den DKIM-Signature-Header und suchen Sie das s=-Tag — sein Wert ist der Selektor. Zweite Möglichkeit: Prüfen Sie die Admin-Konsole des Versanddienstes: Google Workspace zeigt den Selektor unter Admin → Apps → Google Workspace → Gmail → E-Mail authentifizieren; Microsoft 365 nutzt selector1 und selector2 als Default; die meisten ESPs dokumentieren ihre Selektoren in Setup-Anleitungen. Dritte Möglichkeit: Wenn Sie mehrere Versanddienste haben und alle finden wollen, führen Sie den Tester gegen die häufigen Ihres Stacks aus: Google Workspace nutzt google, Microsoft 365 nutzt selector1 und selector2, Mailchimp nutzt k1 oder k2, SendGrid nutzt s1 und s2.
Sollte ich 2048-Bit- oder 4096-Bit-DKIM nutzen?
+
2048-Bit. Der Fall für 4096-Bit ist auf dem Papier real — mehr Entropie, längerer Zeithorizont gegen Fortschritte in Kryptoanalyse — aber in der operativen Praxis sprechen zwei Dinge dagegen. Zum einen erzeugt ein 4096-Bit-Schlüssel einen Public-Key-Record von etwa 736 Base64-Zeichen; mit den umgebenden Tags und unter Berücksichtigung des 255-Zeichen-TXT-String-Limits liegen Sie zuverlässig über der Schwelle, ab der manche DNS-Anbieter und manche Receiver den Multi-String-TXT-Record inkonsistent behandeln. Zum anderen ist die marginale Sicherheitsverbesserung von 4096 gegenüber 2048 für kein Bedrohungsmodell, das DKIM adressiert, tragend — DKIM signiert an der Grenze des E-Mail-Transits, wo das relevante Angriffsfenster Stunden bis Tage sind, nicht die Jahrzehnt-Überlegungen, die anderswo 4096 motivieren.
Die praktische Antwort: 2048-Bit für alles, außer Sie haben eine konkrete Compliance-Anforderung, die 4096 vorschreibt. Rotieren Sie alle 6-12 Monate, und die Rotationskadenz leistet mehr für die Sicherheit als die zusätzlichen Schlüssel-Bit jemals würden.
Warum schätzt der Tester die Bit-Länge, statt eine exakte Zahl zu liefern?
+
Die exakte RSA-Moduluslänge zu berechnen, erfordert das Decodieren des Base64 zu ASN.1 DER und das Parsen des BIT STRING. Der Tester läuft vollständig im Browser ohne ASN.1-Parser im Bundle, also schätzt er die Schlüsselgröße aus der Base64-String-Länge: RSA-1024-Bit-Schlüssel erzeugen ~216 Base64-Zeichen (plus/minus einige für den ASN.1-Header), 2048-Bit erzeugen ~392, 4096-Bit erzeugen ~736. Das Mapping ist innerhalb der standardisierten RSA-Schlüsselgrößen präzise; die Schätzung sagt Ihnen korrekt, ob Sie bei 1024, 2048 oder 4096 sind, auch wenn sie nicht sagen kann, ob der Modulus exakt 2048 oder 2080 Bit hat. Für praktische Zwecke — die Frage ist „1024 oder 2048?", nicht „ist es exakt 2048?" — ist diese Präzision die nötige.
Ist Ed25519 DKIM 2026 sicher zu deployen?
+
Vorsichtig, mit Dual-Signing als Sicherheitsnetz. RFC 8463 definierte Ed25519 für DKIM 2018, und die Kryptografie ist genuin stark — Ed25519-Schlüssel sind 256 Bit (viel kleiner als RSA), Signaturen sind 64 Byte, und Verifikation ist schneller. Das Problem ist der Receiver-Support: nicht jede MTA, jeder Spamfilter, jedes Legacy-Enterprise-Gateway weltweit hat aufgeholt. Manche Receiver behandeln eine nur mit Ed25519 signierte Nachricht immer noch als DKIM-Fail, weil ihre Software nicht weiß, wie sie zu verifizieren ist. Das funktionierende Deployment-Muster: signieren Sie mit beidem, RSA-SHA256 (unter einem Selektor) und Ed25519 (unter einem anderen). Receiver, die beides verstehen, validieren das stärkere; Receiver, die nur RSA kennen, validieren RSA und ignorieren Ed25519. Sie bekommen die Vorteile neuerer Kryptografie ohne Fehlerfall für ältere Receiver.
DKIM besteht, aber DMARC scheitert weiterhin am Alignment. Warum?
+
DMARC-Alignment verlangt, dass die Signing-Domain (das d=-Tag im DKIM-Signature-Header) zur From-Header-Domain passt — exakt unter strenger Ausrichtung (adkim=s in Ihrem DMARC-Record) oder organisatorisch unter relaxter Ausrichtung (adkim=r, Default, wo mail.beispiel.de mit beispiel.de aligned). DKIM kann kryptografisch bestehen, während DMARC-Alignment scheitert, wenn die Nachricht von einer völlig anderen Domain signiert wird — häufig, wenn ein Drittanbieter (eine Newsletter-Plattform, ein CRM, das in Ihrem Namen sendet) mit seiner eigenen Domain statt Ihrer signiert. Der Fix: diesen Sender Ihre Domain signieren lassen — die meisten modernen transaktionalen ESPs und Marketing-Plattformen unterstützen einen „mit Ihrer Domain signiert"-Modus, oft „Branded Sending" oder „signed-by-customer DKIM" genannt.
Wie oft sollte ich diesen Check ausführen?
+
Wann immer der Schlüssel ohnehin zur Sprache kommt — beim Initial-Setup, vor und nach jeder Schlüsselrotation, beim Onboarding eines neuen Versanddienstes mit eigenem Selektor und vierteljährlich als Wartungscheck, um stille Fehler zu fangen. Der häufigste Grund, warum ein zuvor funktionierender DKIM-Record aufhört zu funktionieren, ist eine DNS-Migration: das Team verschiebt DNS zu einem neuen Anbieter, dessen Oberfläche lange TXT-Records anders als die alte handhabt, und der Record wird beim Import abgeschnitten oder fehlerhaft quotiert. Ein vierteljährlicher DKIM-Check über jeden genutzten Selektor fängt die Regression in Wochen statt nach zwei Monaten DMARC-Spam-Berichten.