Zum Hauptinhalt springen
CaptainDNS
NEU·Überwachung von E-Mail-Sicherheit und -Zustellbarkeit. Werden Sie benachrichtigt, sobald eine Bewertungs- oder DNS-Änderung Ihre Domain gefährdet.Mehr erfahren

DKIM Selector Finder

Entdecken Sie die aktiven DKIM-Selektoren einer Domain, ohne sie zu kennen

Sie kennen Ihre DKIM-Selektoren nicht? Geben Sie einfach Ihre Domain ein. Dieses Tool sondiert das DNS nach bekannten DKIM-Selektornamen, ohne dass Sie einen eingeben müssen. Die Entdeckung ist nie vollständig: ein nicht gefundener Selektor beweist nicht das Fehlen von DKIM.

Automatische Entdeckung

Sondiert einen umfangreichen Katalog bekannter DKIM-Selektornamen direkt im DNS. Erkennt Selektoren von Google, Microsoft, SendGrid, Mailchimp und Dutzenden weiteren Anbietern, ohne dass eine E-Mail versendet wird.

MX-Heuristiken

Das Tool erkennt Ihre E-Mail-Anbieter über die MX-Einträge und testet vorrangig deren Selektoren. Schnellere und relevantere Ergebnisse als ein blinder Scan.

Umfassende Analyse

Jeder gefundene Selektor wird tiefgehend analysiert: Schlüsseltyp (RSA/Ed25519), Länge, Gültigkeit, Sicherheitswarnungen und DMARC-Kompatibilität.

Anbieter-Identifikation

Erkennt automatisch, welcher E-Mail-Anbieter mit jedem gefundenen DKIM-Selektor verknüpft ist: Google Workspace, Microsoft 365, SendGrid usw.

Umsetzbare Empfehlungen

Erhalten Sie präzise Empfehlungen: RSA-Schlüssel auf 2048 Bit upgraden, ungültige Selektoren korrigieren, MX-Anbieter ohne DKIM-Signatur identifizieren.

Das Problem: DKIM überprüfen, ohne den Selektor zu kennen

Klassische DKIM-Tools verlangen eine Domain und einen Selektor. Aber die meisten Nutzer kennen ihren DKIM-Selektor nicht. Das Ergebnis: Sie können ihre Konfiguration nicht überprüfen.

Der DKIM Selector Finder löst dieses Problem. Geben Sie eine Domain ein, und das Tool sondiert das DNS, um die aktiven DKIM-Selektoren unter den bekannten Namen aufzudecken, ohne dass Sie einen eingeben müssen.

Wie funktioniert die Entdeckung?

1. Anbieter-Erkennung über die MX-Einträge

Das Tool fragt die MX-Einträge Ihrer Domain ab, um Ihre E-Mail-Anbieter zu identifizieren, und testet dann vorrangig deren bekannte Selektoren:

  • *.google.com → Google Workspace → Selektor google
  • *.outlook.com → Microsoft 365 → Selektoren selector1, selector2
  • *.mcsv.net → Mailchimp → Selektoren k1, k2, k3

2. Sondierung des Katalogs bekannter Namen

Das Tool testet parallel die bekannten Selektornamen, indem es folgende Adresse abfragt:

selektor._domainkey.ihre-domain

Für jeden Namen wird eine DNS-TXT-Anfrage gesendet. Wenn ein DKIM-Eintrag antwortet, wird er analysiert. Der Scan sondiert stets den vollständigen Katalog bekannter Namen (generische und anbieterspezifische, insgesamt nahezu hundert): die Anbietererkennung über die MX-Einträge ordnet lediglich die interne Priorität neu, sie ändert nicht die Anzahl der sondierten Namen. Der Scan garantiert nicht, einen benutzerdefinierten Selektor zu finden, denn die Entdeckung ist nie vollständig (siehe weiter unten).

3. Analyse jedes gefundenen Selektors

Jeder gefundene Selektor wird mit derselben Engine analysiert wie unser DKIM Checker:

  • Schlüsseltyp: RSA oder Ed25519
  • Schlüssellänge in Bit, aus dem öffentlichen Schlüssel dekodiert
  • Gültigkeit des Eintrags
  • Sicherheitswarnungen (schwacher Schlüssel, widerrufener Schlüssel, Test-Modus, ungültiges Format)
  • CNAME-Erkennung (Delegation an den Anbieter)

Warum "kein Selektor gefunden" nichts beweist

Das ist der wichtigste Punkt zum Verständnis. Das DNS erlaubt keine Auflistung der Selektoren einer Zone: es gibt weder eine Wildcard auf *._domainkey noch ein zentrales Register der Selektoren (RFC 6376). Der Wert eines Selektors wird vom Betreiber der signierenden Domain frei gewählt und ist daher unvorhersehbar.

Konkret kann dieses Tool nur eine Liste bekannter Namen testen. Ein leeres Ergebnis bedeutet nur, dass keiner dieser Namen antwortet, niemals, dass die Domain kein DKIM hat. Ein benutzerdefinierter Selektor (kampagne-2024-q3), ein zufälliges Token (Amazon SES) oder ein dynamisch generierter Bezeichner (Hash, UUID) entgehen konstruktionsbedingt dem Katalog.

Wenn der Katalog nichts findet, besteht die zuverlässige Methode darin, den Selektor direkt in einer empfangenen E-Mail abzulesen (siehe den eigenen Abschnitt weiter unten). Das ist die einzige Möglichkeit, den echten Selektor zu erhalten, ohne ihn zu erraten.

Wann sollten Sie dieses Tool verwenden?

SituationDieses Tool ist das Richtige für Sie
Sie kennen Ihren DKIM-Selektor nichtAutomatische Entdeckung
Sicherheits-Audit einer fremden DomainVollständiger Überblick über die DKIM-Konfiguration
E-Mail-Anbieter-MigrationPrüfen, welche Selektoren noch aktiv sind
DMARC-Deployment im Reject-ModusSicherstellen, dass alle E-Mail-Flüsse DKIM-signiert sind
Zustellbarkeits-DebuggingUngültige Selektoren oder schwache Schlüssel identifizieren

DKIM-Selektoren der wichtigsten Anbieter

Diese Werte sind gängig oder beobachtet, keine Garantien: ein Anbieter kann die Konvention ändern, einen benutzerdefinierten Selektor zulassen oder seinen Schlüssel über ein zufälliges CNAME-Token veröffentlichen. Kein Eintrag unten ist "der" garantiert offizielle Selektor eines Anbieters.

AnbieterGängige SelektorenHinweis
Google WorkspacegoogleDokumentierter Standard; Präfix anpassbar
Microsoft 365selector1, selector2Rotationspaar; als CNAME veröffentlicht
SendGrids1, s2Standard Automated Security (CNAME)
Mailchimpk1, k2, k3-
Mandrill (Mailchimp Transactional)mte1, mte2mandrill als Legacy
Amazon SESzufällige Tokens (CNAME)Easy DKIM veröffentlicht 3 Tokens auf *.dkim.amazonses.com, kein fester Selektor
PostmarkSuffix pmDatierter Selektor, z. B. 20260128pm
Brevo (ehem. Sendinblue)brevo1, brevo2mail als Legacy (alte Sendinblue-Ära)
Mailgunpdk1, pdk2, smtppdk1/pdk2 = moderner Standard (CNAME)
HubSpoths1, hs2-
Klaviyokm1, km2Varianten je Domain
Zoho Mailzoho, zmail-
ProtonMailprotonmail, protonmail2, protonmail3-
Apple iCloud (eigene Domain)sig1Als CNAME auf *.at.icloudmailadmin.com veröffentlicht

Diese Tabelle deckt die gängigsten Anbieter ab. Das Tool sondiert insgesamt nahezu hundert Selektornamen, ohne Garantie auf Vollständigkeit.

Warum selector1 und selector2 (die Schlüsselrotation)

Viele Domains exponieren zwei Selektoren (selector1/selector2 bei Microsoft, s1/s2 bei SendGrid, brevo1/brevo2 bei Brevo). Das ist kein Duplikat: es ist der Mechanismus der Schlüsselrotation.

Zu einem gegebenen Zeitpunkt trägt ein Selektor den aktiven Schlüssel (jenen, der ausgehende E-Mails signiert); der andere trägt einen Reserve-Schlüssel, bereits im DNS veröffentlicht. Um den Schlüssel ohne Unterbrechung zu rotieren, schaltet der Betreiber die Signatur auf den Reserveschlüssel um, der bereits propagiert ist, und ersetzt dann den alten. Keine E-Mail bleibt während des Übergangs ohne gültige Signatur.

Das M3AAWG empfiehlt eine jährliche oder halbjährliche Rotation (beobachtete Frequenz, keine universelle oder "verpflichtende" Regel); ein kurzer oder alter Schlüssel rechtfertigt eine häufigere Rotation. Wenn die Entdeckung nur einen einzigen Selektor liefert, ist die Rotation ohne Unterbrechung unmöglich: einen zweiten Selektor vorzusehen ist eine gute Hygienepraxis.

Den echten Selektor aus einer empfangenen E-Mail finden

Das ist die zuverlässigste Methode, ohne jeden falschen Negativbefund: der Selektor steht im DKIM-Signature-Header, den der absendende Server jeder signierten Nachricht hinzufügt. Öffnen Sie eine vom Domain erhaltene E-Mail und suchen Sie das Tag s=:

DKIM-Signature: v=1; a=rsa-sha256; d=beispiel.com; s=selector1; ...

Hier ist der Selektor selector1 und die signierende Domain (d=) ist beispiel.com: der Schlüssel liegt also unter selector1._domainkey.beispiel.com.

Wo Sie den rohen Header je nach Webmail anzeigen:

  • Gmail: öffnen Sie die Nachricht, Menü (drei Punkte) oben rechts, dann Original anzeigen. Suchen Sie die Zeile DKIM-Signature und lesen Sie s=.
  • Outlook / Microsoft 365: öffnen Sie die Nachricht, Datei → Eigenschaften (Desktop-Client) oder Menü Anzeigen → Nachrichtenquelltext anzeigen (Web). Finden Sie DKIM-Signature.
  • Apple Mail: Menü Darstellung → E-Mail → Alle Header.

Sobald Sie den Selektor haben, fügen Sie ihn in den DKIM Checker ein, um den Schlüssel tiefgehend zu prüfen.

Manuelle Methode: dig / nslookup

Wenn Sie einen Selektor kennen (oder vermuten), können Sie das DNS direkt abfragen, ohne dieses Tool:

dig TXT selektor._domainkey.beispiel.com +short

Unter Windows lautet die Entsprechung:

nslookup -type=TXT selektor._domainkey.beispiel.com

Eine Antwort, die v=DKIM1; ...; p=... enthält, bestätigt, dass der Selektor existiert und den öffentlichen Schlüssel offenlegt. Eine fehlende Antwort bedeutet nur, dass dieser genaue Name nicht aufgelöst wird, nicht, dass die Domain kein DKIM hat.

Grenzen der Entdeckung per Katalog

Das DNS erlaubt es nicht, die Subdomains einer Zone aufzulisten (keine Wildcard-Enumeration auf *._domainkey). Die Entdeckung beruht auf einem Katalog bekannter Selektoren.

Was gefunden wird:

  • Gängige Selektoren der Anbieter im Katalog
  • Generische Selektoren (default, dkim, mail, s1, selector1 usw.)
  • Gängige numerische Selektoren (dkim1, dkim2, k1, k2)

Was nicht gefunden wird:

  • Benutzerdefinierte oder zufällige Selektoren (z. B. kampagne-2024-q3)
  • Dynamisch generierte Selektoren (Hash, UUID, Amazon-SES-Tokens)
  • Selektoren, die auf einer Versand- oder Bounce-Subdomain veröffentlicht sind (z. B. bounce.ihredomain.com, mail.ihredomain.com). Starten Sie für diese die Entdeckung auf der betroffenen Subdomain erneut, oder lesen Sie d= und s= im Header einer E-Mail, die von diesem Fluss ausging.

Für diese Fälle bleibt der sichere Weg der DKIM-Signature-Header einer empfangenen E-Mail (siehe oben).

Fallstricke hinter einem "nicht gefundenen" Eintrag

Ein bekannter Selektor kann existieren, ohne sauber zu antworten. Bevor Sie auf ein Fehlen von DKIM schließen, prüfen Sie diese häufigen Ursachen:

  • CNAME noch nicht propagiert: viele Anbieter (Microsoft 365, SendGrid, Brevo, Amazon SES) veröffentlichen den Schlüssel über einen CNAME, der auf ihre Infrastruktur zeigt. Solange die Delegation nicht propagiert ist, oder wenn sie entfernt wurde, schlägt die Auflösung fehl.
  • Widerrufener Schlüssel: ein vorhandener Eintrag, aber mit einem leeren p=-Wert, bedeutet, dass der Schlüssel widerrufen wurde (RFC 6376). Der Selektor existiert, aber der Schlüssel ist tot. Das ist während einer Rotation normal, verdächtig, wenn es sich hinzieht.
  • Gesplitteter oder abgeschnittener Eintrag: ein 2048-Bit-Schlüssel überschreitet die Grenze von 255 Oktetten einer TXT-Kette und muss in mehrere verkettete Segmente aufgeteilt werden. Eine fehlerhafte Aufteilung macht den Schlüssel ungültig.
  • Selektor auf einer anderen Domain: das d=-Tag der Signatur kann auf eine Subdomain oder eine eigene Versanddomain zielen. Der Schlüssel liegt dann nicht unter Ihrem Apex.

Die Schlüsselstärke eines Selektors verstehen

Den Selektor zu finden ist nur die halbe Arbeit: der Schlüssel muss auch solide sein. Für jeden entdeckten Selektor dekodiert das Tool den öffentlichen Schlüssel und leitet daraus Typ und Länge ab.

SchlüsselBewertungZum Merken
RSA 1024 BitSchwach, zu rotierenHeute akzeptiert, aber am Lebensende; planen Sie den Wechsel auf 2048
RSA 2048 BitEmpfohlenDer praktische Standard in der Produktion
RSA 4096 BitStarkRobust; prüfen Sie den Mehrsegment-Eintrag
Ed25519 (256 Bit)Stark, eingeschränkte InteropSiehe den Hinweis unten

Sehr kurze RSA-Schlüssel sind eine andere Geschichte: 512 Bit lässt sich in wenigen Stunden faktorisieren und 768 Bit wurde bereits 2009 öffentlich gebrochen (Red Sift). Hier spricht man von gebrochenen Schlüsseln, niemals zu verwechseln mit 1024 Bit, das schlicht schwach und zu rotieren ist.

Ed25519 erzeugt einen festen Schlüssel von 256 Bit, kryptografisch stark, aber seine Interoperabilität ist eingeschränkt: laut den Tests von Red Sift validieren Gmail, Microsoft 365 und Yahoo Ed25519-Signaturen nicht (oder lehnen sie ab). In der Praxis veröffentlichen Sie Ed25519 parallel zu einem RSA-2048-Schlüssel, niemals allein.

Das Tool meldet außerdem zwei zu beobachtende Zustände: einen widerrufenen Schlüssel (p= leer), der im DNS belassen wurde, und einen Selektor im Test-Modus (t=y), der nach der Inbetriebnahme oft vergessen wird und die Nachricht als nicht signiert behandeln lässt.

Welches Tool wofür?

Die Selektor-Entdeckung ist der erste Schritt, wenn Sie weder den Begriff "Selektor" noch den einzugebenden Wert kennen. Sie liefert Ihnen die Liste der aktiven Selektoren. Um weiterzugehen:

  1. Sie kennen keinen Selektor → beginnen Sie hier, mit der Entdeckung. Das Tool erstellt das Inventar der aktiven Selektoren und Anbieter.
  2. Sie haben einen genauen Selektor zu prüfen → wechseln Sie zum DKIM Checker, um dessen Schlüssel, Gültigkeit und Konfiguration im Detail zu analysieren.
  3. Sie haben eine E-Mail zur Hand → die E-Mail-Header-Analyse extrahiert direkt das s= und das d= der Signatur, ohne zu raten.
  4. Sie bereiten einen neuen Schlüssel vor → der DKIM-Generator erzeugt ein RSA- oder Ed25519-Paar, das zur Veröffentlichung bereit ist.

FAQ - Häufig gestellte Fragen

F: Was ist ein DKIM-Selektor?

A: Ein DKIM-Selektor ist ein Bezeichner, mit dem der öffentliche DKIM-Schlüssel im DNS lokalisiert wird. Er wird unter selektor._domainkey.ihredomain.com veröffentlicht. Jeder E-Mail-Anbieter verwendet seinen eigenen Selektor, sodass mehrere DKIM-Signaturen gleichzeitig aktiv sein können.

F: Wie finde ich meine DKIM-Selektoren, ohne eine E-Mail zu senden?

A: Dieses Tool sondiert das DNS: Es testet einen Katalog bekannter Selektornamen direkt in Ihrer Zone, ohne eine E-Mail zu versenden. Es erkennt zuerst Ihre Anbieter über die MX-Einträge, um die richtigen Selektoren zu priorisieren. Wenn nichts auftaucht, bleibt der zuverlässigste Weg, das s=-Tag im DKIM-Signature-Header einer E-Mail abzulesen, die Sie von dieser Domain erhalten haben.

F: Welche Standard-DKIM-Selektoren verwenden die wichtigsten Anbieter?

A: Google Workspace verwendet google. Microsoft 365 verwendet selector1 und selector2. SendGrid verwendet s1 und s2. Mailchimp verwendet k1, k2 und k3. Brevo verwendet brevo1 und brevo2. Amazon SES Easy DKIM veröffentlicht zufällige Tokens als CNAME (kein fester Selektor). Das sind gängige Werte, keine Garantien. Sehen Sie die Anbieter-Tabelle oben.

F: Kann man DKIM überprüfen, ohne den Selektor zu kennen?

A: Ja, genau das macht dieses Tool. Im Gegensatz zu klassischen DKIM-Checkern, die einen Selektor verlangen, testet es automatisch bekannte Namen im DNS, wobei ein benutzerdefinierter Selektor dieser Liste entgehen kann.

F: Was bedeutet "DKIM-Selektor nicht gefunden"?

A: Kein TXT-Eintrag antwortet für die getesteten Namen. Das beweist nicht das Fehlen von DKIM: Das DNS erlaubt es nicht, die Selektoren einer Zone aufzulisten (RFC 6376), das Tool testet nur eine Liste bekannter Namen. Mögliche Ursachen: benutzerdefinierter Selektor nicht im Katalog, CNAME noch nicht propagiert, widerrufener Schlüssel (p= leer) oder DKIM tatsächlich nicht konfiguriert. Um Zweifel auszuräumen, lesen Sie den DKIM-Signature-Header einer empfangenen E-Mail.

F: Kann das Tool alle DKIM-Selektoren finden?

A: Nein, und kein Tool kann das. Benutzerdefinierte oder dynamisch generierte Selektoren (Hash, UUID, zufällige Tokens) werden nicht erkannt. Lesen Sie in diesem Fall den DKIM-Signature-Header einer empfangenen E-Mail (s=-Tag) oder fragen Sie den Selektor direkt mit dig TXT selektor._domainkey.ihredomain.com ab.

Ergänzende Tools

ToolNutzen
DKIM CheckerEinen bestimmten DKIM-Selektor tiefgehend analysieren
DKIM-SyntaxprüferDie Syntax eines DKIM-Eintrags vor der Veröffentlichung validieren
DKIM-GeneratorDKIM-Schlüsselpaare generieren (RSA/Ed25519)
Zustellbarkeits-AuditSPF, DKIM, DMARC und MX einer Domain überprüfen
DMARC-InspektorIhre DMARC-Richtlinie testen
E-Mail-Header-AnalyseDKIM-Selektoren aus einer empfangenen E-Mail extrahieren

Nützliche Ressourcen