Zum Hauptinhalt springen

Neu

Testen Sie die Zustellbarkeit Ihrer E-Mails

Senden Sie eine Test-E-Mail und erhalten Sie in wenigen Sekunden eine vollständige Diagnose Ihrer SPF-, DKIM- und DMARC-Authentifizierung.

  • Echter Versandtest
  • Sofortige Diagnose
  • Ohne Registrierung
Test starten

DKIM Validator

Validate DKIM syntax before publishing - Fehler in Sekunden beheben

Wie beheben Sie DKIM-Syntaxfehler? Fügen Sie Ihren DKIM-Eintrag unten ein und validieren Sie die Syntax sofort. Erkennen Sie fehlende Tags, gekürzte Schlüssel und Formatfehler, bevor sie Ihre E-Mail-Authentifizierung beeinträchtigen.

Sofortige Validierung

Fügen Sie Ihren DKIM-Wert ein und erhalten Sie in weniger als einer Sekunde eine vollständige Diagnose. Keine Wartezeit, keine DNS-Abfragen.

Fehlererkennung

Identifizieren Sie fehlende Tags, gekürzte Schlüssel, restliche Anführungszeichen und falsche Trennzeichen vor der Veröffentlichung.

Umfassende Analyse

Überprüfung von Pflicht-Tags (v, k, p), Base64-Format, RSA-Schlüssellänge und Trennzeichen-Syntax.

Schlüsselverifizierung

Erkennt RSA-Schlüssel, die zu kurz sind (weniger als 2048 Bits) und unterstützt Ed25519-Schlüssel für erhöhte Sicherheit.

Lokale Analyse

Keine Daten an einen Server gesendet. Die Analyse erfolgt vollständig in Ihrem Browser für vollständige Privatsphäre.

Warum DKIM-Syntax vor der Veröffentlichung validieren?

Sie haben gerade ein neues DKIM-Schlüsselpaar generiert oder einen Eintrag von Ihrem E-Mail-Anbieter kopiert. Vor der Veröffentlichung in Ihrer DNS-Zone kann ein Syntaxfehler alles zerstören: fehlendes Tag, gekürzter Schlüssel, falsch platzierte Anführungszeichen.

Der DKIM-Syntaxprüfer analysiert Ihren Wert lokal - ohne DNS-Abfragen - um diese Probleme zu erkennen, bevor sie Ihre Zustellbarkeit beeinträchtigen.

Drei Hauptanwendungsfälle:

  • Neue DKIM-Einrichtung: Validieren Sie den vom Server oder ESP generierten öffentlichen Schlüssel vor dem Hinzufügen zum DNS
  • Anbietermigration: Überprüfen Sie, ob der kopierte Wert vollständig und korrekt formatiert ist
  • Schlüsselrotation: Stellen Sie sicher, dass der neue Selektor bereit ist, bevor Sie den alten ersetzen

So verwenden Sie den Prüfer in 3 Schritten

Schritt 1: DKIM-Wert abrufen

Kopieren Sie den DKIM-Eintragswert von:

  • Ihrem Mailserver (Postfix, Exchange, etc.)
  • Ihrem ESP (Google Workspace, Microsoft 365, Mailchimp, SendGrid...)
  • Einem Online-DKIM-Schlüsselgenerator

Erwartetes Format:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Schritt 2: In den Prüfer einfügen

Fügen Sie den vollständigen Wert in das Feld oben ein. Das Tool analysiert sofort:

  • ✅ Vorhandensein der Pflicht-Tags (v, k, p)
  • ✅ Format des öffentlichen Schlüssels (gültiges Base64)
  • ✅ Trennzeichen- und Wertsyntax
  • ✅ Schlüssellänge und -typ (RSA 2048+ Bits empfohlen)

Schritt 3: Korrigieren und veröffentlichen

Der Bericht zeigt:

  • Fehler (rot): Eintrag ist unbrauchbar - vor Veröffentlichung korrigieren
  • Warnungen (orange): Technisch gültig aber riskant - bewerten
  • Erfolg (grün): Bereit zur Veröffentlichung in Ihrer DNS-Zone

Was ist ein DKIM-Eintrag?

Ein DKIM-Eintrag (DomainKeys Identified Mail) ist ein TXT-Eintrag, der in Ihrer DNS-Zone veröffentlicht wird. Er enthält den öffentlichen Schlüssel, der es empfangenden Servern ermöglicht, die kryptografische Signatur Ihrer E-Mails zu verifizieren.

Anatomie eines DKIM-Eintrags:

TagErforderlichBeschreibungBeispiel
vJaProtokollversionv=DKIM1
kJaSchlüsseltypk=rsa oder k=ed25519
pJaBase64-öffentlicher Schlüsselp=MIIBIjAN...
hNeinHash-Algorithmenh=sha256
tNeinFlags (Test, Strikt)t=y oder t=s
sNeinAutorisierte Dienstes=email

Vollständiges Beispiel:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAu5oI...

Häufige Syntaxfehler

Der Prüfer erkennt automatisch diese häufigen Probleme:

1. Gekürzter öffentlicher Schlüssel

Symptom: Fehler invalid_p_base64 oder public_key_parse_error

Ursache: Der Schlüssel wurde beim Kopieren/Einfügen abgeschnitten (Zeichenlimit, falsch behandelter Zeilenumbruch).

Lösung: Rufen Sie den vollständigen Schlüssel von der Quelle ab. Ein 2048-Bit-RSA-Schlüssel hat etwa 400 Base64-Zeichen.

2. Restliche Anführungszeichen

Symptom: Fehler record_trailing_quote oder invalid_tag_syntax

Ursache: Der kopierte Wert enthält Anführungszeichen (") oder typografische Anführungszeichen ("").

Lösung: Entfernen Sie alle Anführungszeichen vor dem Einfügen des Werts.

3. Fehlendes Versions-Tag

Symptom: Fehler missing_version_tag

Ursache: Der Eintrag beginnt nicht mit v=DKIM1.

Lösung: Fügen Sie v=DKIM1; am Anfang des Eintrags hinzu.

4. RSA-Schlüssel zu kurz

Symptom: Warnung weak_key_length

Ursache: RSA-Schlüssel kürzer als 2048 Bits (oft 1024 Bits).

Lösung: Generieren Sie ein neues Schlüsselpaar mit mindestens 2048 Bits.

5. Falsche Trennzeichen

Symptom: Fehler invalid_tag_syntax

Ursache: Mehrfache Semikolons (;;), falsch platzierte Leerzeichen oder Sonderzeichen.

Lösung: Verwenden Sie ein einzelnes ; zwischen jedem Tag, ohne Leerzeichen vor dem Trennzeichen.

Unterschied zwischen Syntaxprüfung und DNS-Inspektion

AspektSyntaxprüferEintragsinspektor
MethodeLokale WertanalyseEchte DNS-Abfrage
Wann verwendenVor VeröffentlichungNach Veröffentlichung
Was wird geprüftFormat, Tags, StrukturPropagation, Auflösung, DMARC-Alignment
EingabeKopierter DKIM-WertDomain + Selektor

Empfohlener Workflow:

  1. Syntax: Validieren Sie den Wert mit diesem Prüfer
  2. Veröffentlichung: Fügen Sie den TXT-Eintrag Ihrer DNS-Zone hinzu
  3. Inspektion: Verwenden Sie den DKIM-Inspektor, um die Propagation zu bestätigen

DKIM Best Practices

Schlüsselgenerierung

  • Verwenden Sie mindestens RSA 2048 Bits (4096 Bits für maximale Sicherheit)
  • Ed25519 ist aufkommend, wird aber von Empfängern noch schlecht unterstützt
  • Speichern Sie den privaten Schlüssel sicher (niemals im DNS!)

Selektor-Benennung

  • Wählen Sie einen kurzen und einzigartigen Namen: google, mailchimp, s1, 2024
  • Der vollständige Selektor lautet: selektor._domainkey.captaindns.com
  • Verwenden Sie verschiedene Namen pro Anbieter, um Rotationen zu erleichtern

Empfohlene TTL

  • 300-600 Sekunden während der Bereitstellung (schnelle Propagation)
  • 3600-86400 Sekunden wenn stabil (weniger DNS-Abfragen)
  • Kurze TTL erleichtert Notfall-Widerrufe

Regelmäßige Rotation

  • Planen Sie mindestens jährliche Rotation
  • Dokumentieren Sie den Verantwortlichen und das letzte Rotationsdatum
  • Behalten Sie den alten Selektor einige Tage nach der Rotation

FAQ - Häufig gestellte Fragen

F: Was ist der Unterschied zwischen diesem Prüfer und dem DKIM-Inspektor?

A: Der Syntaxprüfer analysiert einen Wert, den Sie einfügen, um Formatfehler vor der Veröffentlichung zu erkennen. Der Eintragsinspektor führt eine echte DNS-Abfrage durch, um einen bereits veröffentlichten Eintrag zu überprüfen. Verwenden Sie zuerst die Syntax, dann den Inspektor.

F: Warum ist mein Schlüssel als "zu kurz" markiert?

A: RSA-Schlüssel kürzer als 2048 Bits gelten als schwach. Gmail und andere Anbieter können Signaturen mit 1024-Bit-Schlüsseln ablehnen. Generieren Sie ein neues Schlüsselpaar mit mindestens 2048 Bits.

F: Sollte ich Anführungszeichen im Wert einschließen?

A: Nein. Anführungszeichen werden manchmal von DNS-Verwaltungsoberflächen hinzugefügt, um lange Zeichenketten zu begrenzen, sind aber nicht Teil des DKIM-Werts selbst. Entfernen Sie sie vor der Validierung.

F: Mein ESP sagt, DKIM ist konfiguriert, aber die Syntax schlägt hier fehl. Warum?

A: ESPs validieren oft ihre interne Konfiguration, nicht unbedingt das, was Sie kopiert haben. Überprüfen Sie, ob Sie den vollständigen Wert ohne Kürzung und ohne Kapselungsanführungszeichen kopiert haben.

F: Wird Ed25519 unterstützt?

A: Ja, der Prüfer erkennt Ed25519-Schlüssel (k=ed25519). Allerdings bleibt die Unterstützung auf Empfängerseite begrenzt. RSA 2048 Bits bleibt die kompatibelste Wahl.

F: Wie weiß ich, welchen Selektor ich verwenden soll?

A: Der Selektor wird bei der DKIM-Konfiguration auf Ihrem Server oder ESP gewählt. Konsultieren Sie die Dokumentation Ihres Anbieters. Übliche Selektoren sind: google, selector1, selector2, s1, default, mail.

Ergänzende Tools

ToolZweck
DKIM-InspektorEinen bereits im DNS veröffentlichten DKIM-Eintrag überprüfen
SPF-InspektorIhren SPF-Eintrag validieren
DMARC-InspektorIhre DMARC-Richtlinie konfigurieren und testen
E-Mail-Header-AnalysatorAuthentifizierungsfehler bei empfangenen E-Mails diagnostizieren

Nützliche Ressourcen