Prüfe DKIM-Schlüssel und Signaturen in Sekunden. Verifiziere Selector, Schlüssellänge und TXT-Records, um Spoofing und Zustellprobleme zu vermeiden.
Gib deine Domain und optional einen Selector ein, um dein DKIM-Setup zu validieren.
Der DKIM Checker von DMARCFlow testet und verifiziert die DKIM-Konfiguration deiner Domain. Er prüft, ob Mails mit deinem privaten Schlüssel signiert werden und die Signatur unterwegs unverändert bleibt – für Authentizität und Integrität.
Stelle sicher, dass unter deinem Selector ein öffentlicher Schlüssel korrekt veröffentlicht ist – und erkenne Probleme, bevor sie Zustellung oder Sicherheit beeinträchtigen.
Ein DKIM-Record ist ein DNS-TXT-Eintrag mit Selector und öffentlichem Schlüssel. Der Selector verweist auf den privaten Schlüssel, der Mails signiert; der öffentliche Schlüssel ermöglicht Empfängern die Verifikation der Signatur und bestätigt die Unversehrtheit.
Domain scannen
Beispiel: mailo ist der Selector, dmarcflow.online die Domain. v=DKIM1 kennzeichnet den Typ, k=rsa den Algorithmus, und p=… enthält den öffentlichen Schlüssel.
DKIM fügt ausgehenden E-Mails eine digitale Signatur hinzu. Dein Server signiert mit dem privaten Schlüssel; Empfänger laden den öffentlichen Schlüssel aus dem DNS und verifizieren die Signatur. Stimmen sie überein, gilt die Nachricht als authentisch – das stärkt Reputation und Inbox-Platzierung.
Schnelle Checkliste für starke Authentifizierung und hohe Zustellraten
Bevorzuge 2048-Bit-Schlüssel für starke Sicherheit und Akzeptanz bei großen Mailbox-Providern.
Eigene Selector je Mail-Stream (Marketing, Transaktionen) erleichtern sichere Rotation.
TXT direkt veröffentlichen – außer dein Anbieter verlangt explizit einen Alias.
Neue Selector einführen, Signierer umstellen, alte Schlüssel nach dem Cutover entfernen.
Was jeder DKIM-Status bedeutet – und was als nächstes zu tun ist.
Die DKIM-Signatur ist gültig. Der öffentliche Schlüssel im DNS stimmt mit dem privaten Schlüssel überein, der die Nachricht signiert hat. Der E-Mail-Inhalt wurde auf dem Transportweg nicht verändert. Ihre DKIM-Konfiguration funktioniert korrekt.
Die Signatur konnte nicht verifiziert werden. Entweder wurde die Nachricht nach dem Signieren verändert, der falsche private Schlüssel wurde verwendet, oder der öffentliche Schlüssel im DNS passt nicht. Mailing-Listen sind eine häufige Ursache.
Unter dem angegebenen Selector und der Domain existiert kein DKIM-TXT-Record. Entweder ist der Selector falsch, der Record wurde nie veröffentlicht oder wurde gelöscht. Prüfen Sie den Selector-Namen bei Ihrem Mail-Provider.
Der öffentliche Schlüssel ist kürzer als 1024 Bit. Moderne Standards erfordern mindestens 2048-Bit-RSA-Schlüssel. Kurze Schlüssel gelten als schwach – einige Provider lehnen damit signierte Nachrichten ab. Sofort auf einen 2048-Bit-Schlüssel wechseln.
Die Signatur ist vorhanden, aber der Body-Hash stimmt nicht überein. Der E-Mail-Inhalt wurde nach dem Signieren verändert – häufig durch Relay oder Mailing-List, die einen Footer anhängen oder Header verändern.
Der DNS-Lookup für den DKIM-Record ist abgelaufen. Meist ein vorübergehender Fehler – wenn er sich wiederholt, prüfen Sie den Status Ihres DNS-Providers und ob der Record mit ausreichend kurzem TTL veröffentlicht ist.
Die häufigsten Ursachen für DKIM-Fehler in DMARC-Berichten – und ihre Lösungen.
Jede DKIM-Signatur verweist auf einen Selector. Wenn Sie Ihren Selector nicht kennen: Prüfen Sie den DKIM-Signature-Header einer gesendeten E-Mail – der s=-Tag enthält den Selector-Namen.
Lösung: Verwenden Sie den Selector aus der Dokumentation Ihres Mail-Servers oder Providers. Häufige Selectors: google, s1, s2, default, mail.
DKIM-Pass allein reicht für DMARC nicht aus. Die Domain im DKIM-d=-Tag muss mit der From:-Header-Domain übereinstimmen (Alignment). Wenn Ihr ESP mit seiner eigenen Domain signiert, schlägt das Alignment fehl.
Lösung: Konfigurieren Sie Ihren ESP so, dass er mit Ihrer Domain signiert. Die meisten großen Plattformen (Mailchimp, HubSpot, SendGrid) unterstützen benutzerdefiniertes DKIM-Signing.
Weitergeleitete Nachrichten werden häufig verändert (Footer hinzugefügt, Encoding geändert), was den DKIM-Body-Hash bricht. Das ist erwartetes Verhalten – kein Konfigurationsfehler Ihrerseits.
Lösung: Verwenden Sie relaxed Canonicalization (c=relaxed/relaxed), die kleinere Whitespace-Änderungen toleriert. Bei Weiterleitungsszenarien greift DMARC auf SPF-Alignment zurück.
Beim Rotieren von DKIM-Schlüsseln wird der alte Selector aus dem DNS entfernt, bevor der Mailserver auf den neuen Schlüssel umgestellt hat – oder der neue DNS-Record ist noch nicht propagiert.
Lösung: Neuen Selector zuerst veröffentlichen, DNS-Propagierung abwarten (bis zu 48 Stunden), dann den Mailserver auf den neuen Schlüssel umstellen. Erst danach den alten Selector aus dem DNS entfernen.
DKIM & DMARCFlow kurz erklärt
Fragen? Wir haben Antworten!selector._domainkey.example.com veröffentlichen.