Leitfaden
Dieser kostenlose DKIM-Prüfer ruft den Eintrag des öffentlichen Schlüssels unter <Selektor>._domainkey.<Domain> ab, liest Schlüsseltyp und -stärke aus und weist auf Probleme wie widerrufene Schlüssel, schwaches 1024-Bit-RSA oder Testmodus-Flags hin. Falls Sie Ihren Selektor nicht kennen, durchsucht er die von den großen Anbietern verwendeten Selektoren.
So prüfen Sie einen DKIM-Eintrag
- Geben Sie eine Domain ein (z. B.
example.com). - Geben Sie den Selektor ein, falls Sie ihn kennen, oder lassen Sie ihn leer, um die gängigen zu durchsuchen — gefundene Selektoren erscheinen als Schaltflächen, die Sie anklicken können, um die vollständige Prüfung auszuführen.
- Lesen Sie das Ergebnis: den Roheintrag des Schlüssels, den Schlüsseltyp und die Bitlänge, jeden erklärten Tag sowie eine Liste von Fehlern und Warnungen.
Gängige Selektoren nach Anbieter
| Anbieter | Selektor(en) |
|---|---|
| Google Workspace | google |
| Microsoft 365 | selector1, selector2 |
| SendGrid | s1, s2 |
| Mailchimp / Mandrill | k1, k2, k3 |
| Fastmail | fm1, fm2 |
| Andere | default, dkim, mail, smtp sind gängige Ausweichoptionen |
Wenn keiner davon passt, prüfen Sie die DNS-Einrichtungsanleitung Ihres Anbieters oder öffnen Sie eine von Ihnen gesendete Nachricht und lesen Sie den s=-Tag in ihrem DKIM-Signature-Header.
Was der Prüfer validiert
| Prüfung | Warum sie wichtig ist |
|---|---|
| Der Eintrag existiert am Selektor | Ohne ihn können Empfänger Ihre Signaturen nicht überprüfen |
p öffentlicher Schlüssel vorhanden und gültiges base64 | Ein leeres p bedeutet, dass der Schlüssel widerrufen wurde; unbrauchbare Werte scheitern bei der Verifizierung |
| RSA-Schlüsselgröße (aus dem Schlüssel ermittelt) | Unter 1024 Bit wird abgelehnt; 1024 Bit ist schwach — 2048 ist der Standard |
t=y Testmodus | Manche Empfänger ignorieren DKIM-Fehler bei Testschlüsseln |
h Hash-Algorithmen | Ein Schlüssel, der sha256 verbietet, macht moderne rsa-sha256-Signaturen unbrauchbar |
| Tag-Syntax | Unbekannte Tags und ungültige Versionen werden gemeldet |
Beispiel
Die Prüfung von example.com mit dem Selektor google fragt google._domainkey.example.com ab und könnte v=DKIM1; k=rsa; p=MIIBIjANBgkq… zurückgeben. Das Tool analysiert den Schlüssel und meldet „RSA 2048 Bit" ohne Probleme — eine intakte DKIM-Konfiguration.
Prüfen Sie auch SPF und DMARC
DKIM belegt, dass eine Nachricht nicht verändert wurde, sagt Empfängern aber allein nicht, was sie mit gefälschter, unsignierter Post tun sollen. Kombinieren Sie es mit dem SPF-Prüfer und dem DMARC-Prüfer.
Einschränkungen
- Die Selektor-Suche deckt nur gängige Anbieter-Selektoren ab; benutzerdefinierte Selektoren müssen manuell eingegeben werden.
- Das Tool prüft den veröffentlichten Schlüsseleintrag, nicht, ob Ihre ausgehende Post tatsächlich damit signiert ist.


