DKIM-Selektor finden: 4 Methoden Schritt für Schritt erklärt
Von CaptainDNS
Veröffentlicht am 18. Februar 2026
- Der DKIM-Selektor ist ein Textbezeichner (z.B.
google,selector1,k1), der den öffentlichen Schlüssel im DNS lokalisiert - Methode 1: Die Header einer empfangenen E-Mail öffnen und
s=in der ZeileDKIM-Signaturesuchen - Methode 2: Die Admin-Konsole deines E-Mail-Anbieters aufrufen (Google, Microsoft usw.)
- Methode 3: Manuell mit
digodernslookuptesten, wenn du den Anbieter kennst - Methode 4: Ein automatisches Erkennungstool verwenden, um 100+ bekannte Selektoren per DNS-Brute-Force zu scannen
Du möchtest deine DKIM-Konfiguration überprüfen, aber das Tool, das du verwendest, verlangt einen "Selektor" und du hast keine Ahnung, was das ist. Damit bist du nicht allein. Das ist die erste Hürde, auf die die meisten Administratoren stoßen, wenn sie sich mit E-Mail-Authentifizierung befassen.
Der DKIM-Selektor ist ein Textbezeichner, der den öffentlichen DKIM-Schlüssel im DNS einer Domain lokalisiert. Ohne ihn ist es unmöglich, eine DKIM-Signatur zu verifizieren. Die gute Nachricht: Es gibt mehrere Wege, ihn zu finden, auch wenn dir niemand den Wert mitgeteilt hat.
Dieser Leitfaden stellt 4 konkrete Methoden vor, von der einfachsten bis zur technischsten. Ob du Systemadministrator, Marketing-Verantwortlicher oder Entwickler bist, eine davon wird für deine Situation funktionieren.
Erinnerung: Was ist ein DKIM-Selektor?
Wenn ein E-Mail-Server eine Nachricht mit DKIM signiert, fügt er einen DKIM-Signature-Header hinzu, der unter anderem zwei wichtige Informationen enthält:
d=: die signierende Domain (z.B.captaindns.com)s=: der Selektor (z.B.google,selector1,s1)
Der Empfänger kombiniert diese beiden Werte, um den öffentlichen Schlüssel im DNS zu suchen:
<selektor>._domainkey.<domain>
Zum Beispiel für die Domain captaindns.com mit dem Selektor google:
google._domainkey.captaindns.com TXT "v=DKIM1; k=rsa; p=MIIBIj..."
Jeder E-Mail-Anbieter verwendet seinen eigenen Selektor. Eine Domain kann mehrere haben (einen pro Versanddienst). Deshalb gibt es keinen universellen "Standardwert".
Methode 1: Den Selektor aus den E-Mail-Headern extrahieren
Das ist die zuverlässigste Methode. Jede mit DKIM signierte E-Mail enthält den Selektor im Klartext in ihren Headern.
Schritt 1: Die vollständigen Header öffnen
| E-Mail-Client | Zugriff auf die Header |
|---|---|
| Gmail (Web) | Nachricht öffnen > Menü ⋮ > "Original anzeigen" |
| Outlook (Web) | Nachricht öffnen > Menü ⋯ > "Nachrichtenquelle anzeigen" |
| Apple Mail | Darstellung > E-Mail > Alle Header |
| Thunderbird | Ansicht > Header > Alle |
Schritt 2: DKIM-Signature suchen
Suche in den Headern die Zeile, die mit DKIM-Signature: beginnt:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=captaindns.com; s=google; t=1739800000;
h=from:to:subject:date:message-id;
bh=abcdef123456...;
b=ABCDEF789012...
Schritt 3: Den Wert von s= ablesen
Der Selektor ist der Wert nach s=. Im obigen Beispiel: google.
Achtung: Eine E-Mail kann mehrere DKIM-Signaturen enthalten (eine pro durchlaufenem Dienst). Suche diejenige, deren d= mit deiner Domain übereinstimmt.
Wann diese Methode verwenden?
- Du hast Zugriff auf eine E-Mail, die von der zu prüfenden Domain gesendet wurde
- Du willst den exakten Selektor, der in der Produktion verwendet wird
- Du vermutest, dass der Selektor kürzlich geändert wurde
Methode 2: Die Admin-Konsole des Anbieters aufrufen
Jeder E-Mail-Anbieter zeigt den DKIM-Selektor in seiner Administrationskonsole an.
Google Workspace
- Die Google Admin-Konsole öffnen
- Menü > Apps > Google Workspace > Gmail
- "E-Mail-Authentifizierung" > auf die Domain klicken
- Der Selektor wird angezeigt (Standard:
google)
Microsoft 365
- Das Exchange Admin Center öffnen
- E-Mail-Fluss > Regeln > DKIM
- Die Domain auswählen
- Die Selektoren werden angezeigt (Standard:
selector1undselector2)
Andere Anbieter
| Anbieter | Ort | Standard-Selektor |
|---|---|---|
| SendGrid | Settings > Sender Authentication > Domain | s1, s2 |
| Mailchimp | Website > Domains > Authentication | k1, k2, k3 |
| Postmark | Sender Signatures > DNS Settings | pm |
| HubSpot | Settings > Domain & URLs > Email Sending | hs1, hs2 |
| Brevo | Einstellungen > Absender > Domains | mail, sendinblue |
Wann diese Methode verwenden?
- Du bist Administrator des E-Mail-Dienstes
- Du konfigurierst DKIM zum ersten Mal
- Du suchst den Selektor, bevor du eine erste E-Mail sendest
Methode 3: Das DNS manuell abfragen
Wenn du den E-Mail-Anbieter kennst, kannst du die bekannten Selektoren direkt über eine DNS-Abfrage testen.
Mit dig (Linux/macOS)
dig TXT google._domainkey.captaindns.com +short
Ergebnis, wenn der Selektor existiert:
"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOC..."
Ergebnis, wenn der Selektor nicht existiert: keine Ausgabe (NXDOMAIN).
Mit nslookup (Windows)
nslookup -type=TXT google._domainkey.captaindns.com
Mit PowerShell
Resolve-DnsName -Name "google._domainkey.captaindns.com" -Type TXT
Welche Selektoren testen?
Wenn du nicht weißt, welcher Anbieter verwendet wird, teste zuerst die gängigsten:
dig TXT google._domainkey.captaindns.com +short
dig TXT selector1._domainkey.captaindns.com +short
dig TXT selector2._domainkey.captaindns.com +short
dig TXT s1._domainkey.captaindns.com +short
dig TXT k1._domainkey.captaindns.com +short
dig TXT default._domainkey.captaindns.com +short
Wann diese Methode verwenden?
- Du hast Terminal-/CLI-Zugang
- Du kennst den wahrscheinlichen Anbieter
- Du willst prüfen, ob ein bestimmter Selektor im DNS existiert
Methode 4: Automatisches Erkennungstool
Wenn du nicht weißt, welcher Anbieter verwendet wird, oder wenn du eine vollständige Bestandsaufnahme willst, ist ein automatisiertes DNS-Brute-Force-Tool die effizienteste Lösung.
Das Prinzip: Das Tool testet automatisch Dutzende bekannter Selektoren über DNS-Abfragen. Es ist genau Methode 3, aber automatisiert für 50 bis 120 Selektoren.
Wie funktioniert es?
- Das Tool erkennt deine E-Mail-Anbieter über die MX-Einträge
- Es priorisiert die bekannten Selektoren dieser Anbieter
- Es testet jeden Selektor parallel über DNS-TXT-Abfragen
- Es analysiert jeden gefundenen DKIM-Eintrag (Schlüsseltyp, Länge, Gültigkeit)
Vorteile
| Vorteil | Detail |
|---|---|
| Keine E-Mail nötig | Funktioniert ausschließlich über DNS |
| Kein Admin-Zugang nötig | Überprüfung von außen |
| Entdeckt vergessene Selektoren | Alte Anbieter, die noch konfiguriert sind |
| Automatische Analyse | Warnung bei schwachen Schlüsseln (1024 Bit) |
Einschränkungen
DNS erlaubt es nicht, alle Subdomains einer Zone aufzulisten. Benutzerdefinierte Selektoren (z.B. campaign-2024-q3) oder dynamisch generierte (Hash, UUID) werden durch Brute-Force nicht erkannt.
Wann diese Methode verwenden?
- Du kennst den E-Mail-Anbieter nicht
- Du prüfst eine fremde Domain
- Du willst eine vollständige Bestandsaufnahme vor einer DMARC-Bereitstellung mit
p=reject
Standard-DKIM-Selektoren: die Kurzreferenz
| Anbieter | DKIM-Selektoren | Typ |
|---|---|---|
| Google Workspace | google | |
| Microsoft 365 | selector1, selector2 | |
| SendGrid | s1, s2, smtpapi | Transaktional |
| Mailchimp | k1, k2, k3 | Marketing |
| Amazon SES | amazonses | Transaktional |
| Postmark | pm | Transaktional |
| HubSpot | hs1, hs2 | Marketing |
| Brevo (Sendinblue) | mail, sendinblue | Marketing |
| Zoho Mail | zoho, zmail | |
| Mailgun | smtp, pic, k1 | Transaktional |
Eine aktive Domain verwendet oft 2 bis 4 Selektoren: einen für die Hauptmailbox, ein oder zwei für Marketing-Tools und manchmal einen für den Transaktionsversand.
Vergleich der 4 Methoden
| Kriterium | E-Mail-Header | Admin-Konsole | Manuelles DNS | Automatisches Tool |
|---|---|---|---|---|
| Zuverlässigkeit | Sehr hoch | Hoch | Hoch | Hoch |
| Zugriff erforderlich | Empfangene E-Mail | Admin-Konto | Terminal | Keiner |
| Entdeckt alle Selektoren | Nein (1 pro E-Mail) | Nein (1 Anbieter) | Nein (1 pro Abfrage) | Ja (50-120 getestet) |
| Technisches Niveau | Niedrig | Niedrig | Mittel | Niedrig |
| Zeitaufwand | 2 Min. | 5 Min. | 10 Min. | 30 Sek. |
| Exakter Selektor in Produktion | Ja | Nicht immer | Falls erraten | Ja |
Empfehlung: Beginne mit Methode 1, wenn du eine E-Mail zur Hand hast. Verwende Methode 4 für ein vollständiges Audit.
Empfohlener Aktionsplan
- Schnellprüfung: Öffne eine empfangene E-Mail, suche
s=inDKIM-Signature(Methode 1) - Vollständige Bestandsaufnahme: Starte einen automatischen Scan, um alle aktiven Selektoren zu entdecken (Methode 4)
- Validierung: Überprüfe jeden gefundenen Selektor mit einem DKIM Checker, um die Gültigkeit des öffentlichen Schlüssels zu bestätigen
- Dokumentation: Notiere deine aktiven Selektoren und den zugehörigen Anbieter als Referenz
- Bereinigung: Lösche die DNS-Einträge der DKIM-Selektoren von Anbietern, die du nicht mehr verwendest
FAQ
Was ist ein DKIM-Selektor?
Ein DKIM-Selektor ist ein Textbezeichner, der den öffentlichen DKIM-Schlüssel im DNS lokalisiert. Er wird unter der Adresse selektor._domainkey.domain.com veröffentlicht. Jeder E-Mail-Anbieter verwendet seinen eigenen Selektor: Google verwendet google, Microsoft verwendet selector1 und selector2, SendGrid verwendet s1 und s2.
Wo findet man den DKIM-Selektor in einer E-Mail?
Öffne die vollständigen Header der E-Mail (in Gmail: Menü ⋮ > "Original anzeigen"). Suche die Zeile DKIM-Signature: und lies den Wert nach s=. Das ist dein Selektor. Achtung: Eine E-Mail kann mehrere DKIM-Signaturen enthalten, wenn die Nachricht über mehrere Dienste gelaufen ist.
Wie findet man den DKIM-Selektor ohne eine E-Mail?
Zwei Möglichkeiten: Schau in der Admin-Konsole deines E-Mail-Anbieters nach (Google Admin, Exchange usw.) oder verwende ein automatisches Erkennungstool, das bekannte Selektoren per DNS-Brute-Force testet. Die zweite Option benötigt keinen Kontozugang.
Was sind die Standard-DKIM-Selektoren von Google Workspace?
Google Workspace verwendet standardmäßig den Selektor google. Der DKIM-Eintrag wird unter google._domainkey.captaindns.com veröffentlicht. Bestimmte erweiterte Konfigurationen können einen benutzerdefinierten Selektor verwenden, der in der Google Admin-Konsole festgelegt wird.
Was sind die DKIM-Selektoren von Microsoft 365?
Microsoft 365 verwendet zwei Selektoren: selector1 und selector2. Sie werden über CNAME-Einträge veröffentlicht, die auf die Microsoft-Server verweisen. Die Rotation zwischen den beiden Selektoren wird automatisch von Microsoft verwaltet.
Kann man mehrere DKIM-Selektoren auf derselben Domain haben?
Ja, und das ist sogar üblich. Eine aktive Domain verwendet in der Regel 2 bis 4 Selektoren: einen für die E-Mail (Google/Microsoft), einen für das Marketing (Mailchimp/HubSpot) und einen für den Transaktionsversand (SendGrid/Postmark). Jeder Selektor hat seinen eigenen öffentlichen Schlüssel im DNS.
Ist der DKIM-Selektor vertraulich?
Nein. Der DKIM-Selektor ist eine öffentliche Information. Er ist in den Headern jeder gesendeten E-Mail sichtbar und verweist auf einen öffentlichen DNS-Eintrag. Die Kenntnis des Selektors gefährdet nicht die Sicherheit. Nur der private Schlüssel (auf dem Sendeserver gespeichert) muss vertraulich bleiben.
Glossar
- DKIM-Selektor: Textbezeichner, der den öffentlichen DKIM-Schlüssel im DNS unter der Adresse
selektor._domainkey.domainlokalisiert. - DKIM-Signature: Header, der vom Sendeserver zu einer E-Mail hinzugefügt wird und die kryptografische Signatur sowie Metadaten (Domain, Selektor, Algorithmus) enthält.
- _domainkey: DNS-Namespace, der für DKIM-Schlüssel reserviert ist. Alle DKIM-Einträge werden unter
<selektor>._domainkey.<domain>veröffentlicht. - CNAME: DNS-Eintragstyp, der von einigen Anbietern (Microsoft, SendGrid) verwendet wird, um die Verwaltung des DKIM-Schlüssels an ihre eigenen Server zu delegieren.
- Brute-force DNS: Technik, bei der ein Katalog bekannter Selektoren durch DNS-Abfragen getestet wird, um die konfigurierten Selektoren einer Domain zu entdecken.
Entdecke deine DKIM-Selektoren in wenigen Sekunden: Verwende den DKIM Selector Finder, um automatisch 100+ bekannte Selektoren auf deiner Domain zu scannen.
Verwandte DKIM-Anleitungen
- Was ist ein DKIM-Eintrag? Der vollständige Leitfaden: Funktionsweise, DNS-Tags, RSA vs Ed25519 und Schlüsselrotation.
- DKIM fail: alle Ursachen und wie man sie behebt (demnächst)
