Wenn eine E-Mail Ihren Posteingang erreicht, findet im Hintergrund ein kryptografischer Prüfprozess statt. Der empfangende Mailserver sucht im DNS nach einem öffentlichen Schlüssel, um die DKIM-Signatur der Nachricht zu verifizieren. Den richtigen Schlüssel findet er über den sogenannten DKIM-Selektor. Ohne den Selektor wäre eine korrekte Schlüsselsuche schlicht nicht möglich. Wer DKIM wirklich verstehen und zuverlässig verwalten will, kommt an diesem Mechanismus nicht vorbei.

Was ist ein DKIM-Selektor?

Ein DKIM-Selektor ist ein kurzer, frei wählbarer Name, der – zusammen mit der Domain – den DNS-TXT-Record identifiziert, unter dem der öffentliche DKIM-Schlüssel veröffentlicht ist. Der vollständige DNS-Name für einen DKIM-Record folgt immer dem Schema:

selektor._domainkey.example.com

Wenn Ihr Selektor also google lautet und Ihre Domain example.com ist, wird der öffentliche Schlüssel unter google._domainkey.example.com veröffentlicht. Der Selektor ermöglicht es, mehrere DKIM-Schlüssel gleichzeitig unter derselben Domain zu betreiben – jeder unter einem eigenen, eindeutigen Namen.

Ein typischer DKIM-TXT-Record sieht so aus:

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...

Dabei steht v=DKIM1 für die Version, k=rsa für den Algorithmus und p= für den Base64-kodierten öffentlichen Schlüssel. Der Selektor selbst erscheint nur im DNS-Namen des Records – nicht im Record-Inhalt selbst.

Wie DKIM-Selektoren funktionieren

Beim Versand einer E-Mail erzeugt der sendende Mailserver eine kryptografische Signatur über bestimmte Header und den Nachrichteninhalt. Diese Signatur wird im DKIM-Signature-Header der E-Mail übertragen. Dieser Header enthält unter anderem zwei entscheidende Felder:

  • s= — den Selektor, z. B. s=google
  • d= — die signierende Domain, z. B. d=example.com

Der empfangende Mailserver liest diese beiden Werte aus dem DKIM-Signature-Header und konstruiert daraus den vollständigen DNS-Namen für die Schlüsselabfrage: google._domainkey.example.com. Mit dem dort gefundenen öffentlichen Schlüssel verifiziert er die Signatur. Stimmt die Signatur überein, gilt DKIM als bestanden.

Ohne den Selektor wäre nicht eindeutig definiert, welcher Schlüssel zur Prüfung herangezogen werden soll – insbesondere wenn mehrere Schlüssel gleichzeitig aktiv sind. Der Selektor macht den gesamten DKIM-Mechanismus flexibel und mehrschlüsselfähig.

Typische Selektornamen

Selektornamen sind technisch frei wählbar – sie müssen lediglich DNS-konform sein. In der Praxis hat sich jedoch bei den großen E-Mail-Anbietern eine Reihe von Standardnamen etabliert. Die folgende Tabelle gibt einen Überblick:

Anbieter / Dienst Typischer Selektor
Google Workspace google
Microsoft 365 selector1, selector2
Mailchimp / Mandrill k1, k2
SendGrid s1, s2
Amazon SES amazonses
Postmark pm
Generisch / benutzerdefiniert default, mail, dkim

Manche Anbieter wie Microsoft 365 rotieren ihre Schlüssel automatisch zwischen zwei Selektoren (selector1 und selector2). Andere vergeben pro Kunde einen individuellen Selektor. Kennen Sie die typischen Selektornamen Ihrer E-Mail-Anbieter, können Sie DKIM-Konfigurationen schneller überprüfen und Fehler leichter eingrenzen.

Warum mehrere Selektoren wichtig sind

Eine Domain kann beliebig viele DKIM-Schlüssel gleichzeitig im DNS veröffentlichen – jeder unter einem eigenen Selektor. Das ist kein Fehler, sondern ein bewusstes Design. Es gibt drei Hauptgründe, warum Organisationen mehrere Selektoren nutzen:

  • Verschiedene E-Mail-Dienstleister (ESPs). Wenn Sie sowohl Google Workspace für interne E-Mails als auch einen Marketingdienst wie Mailchimp und einen Transaktionsmaildienst wie SendGrid verwenden, hat jeder Dienst seinen eigenen DKIM-Schlüssel unter einem eigenen Selektor. Alle Schlüssel koexistieren problemlos in Ihrer DNS-Zone.
  • Key-Rotation ohne Unterbrechung. Beim Rotieren eines DKIM-Schlüssels veröffentlichen Sie zunächst den neuen Schlüssel unter einem neuen Selektor, während der alte Schlüssel noch aktiv bleibt. Erst wenn sichergestellt ist, dass alle noch in Zustellung befindlichen E-Mails mit dem alten Schlüssel signiert wurden, wird der alte Selektor entfernt. Dieser Dual-Publish-Ansatz verhindert Verifikationsfehler während der Übergangsphase.
  • Parallele Nutzung unterschiedlicher Algorithmen. Einige Organisationen betreiben neben einem klassischen RSA-Schlüssel auch einen Ed25519-Schlüssel für Empfänger, die den neueren Algorithmus unterstützen. Jeder Algorithmus bekommt seinen eigenen Selektor.

DKIM-Selektor nachschlagen

Um einen DKIM-Selektor manuell zu prüfen, können Sie DNS-Abfragewerkzeuge verwenden. Mit dig (Linux/macOS) oder nslookup (Windows) fragen Sie den TXT-Record direkt ab:

dig TXT google._domainkey.example.com

Ersetzen Sie google durch den zu prüfenden Selektor und example.com durch Ihre Domain. Ein gültiger Record liefert eine Antwort mit v=DKIM1 und dem öffentlichen Schlüssel im p=-Feld. Ein leerer Antwortbereich oder ein NXDOMAIN-Fehler bedeutet, dass kein Schlüssel unter diesem Selektor veröffentlicht ist.

Alternativ können Sie den DMARCFlow DKIM-Prüfer nutzen. Geben Sie Ihre Domain und den Selektor ein und erhalten Sie sofort eine Auswertung des Records – inklusive Validierung des Schlüsselformats, des Algorithmus und möglicher Konfigurationsprobleme.

Best Practices für DKIM-Key-Rotation

DKIM-Schlüssel sollten regelmäßig rotiert werden. Ein kompromittierter oder abgelaufener Schlüssel kann das Vertrauen in Ihre E-Mail-Signierung untergraben. Folgende Vorgehensweise hat sich in der Praxis bewährt:

  1. Neuen Schlüssel erzeugen und veröffentlichen. Generieren Sie ein neues Schlüsselpaar und veröffentlichen Sie den öffentlichen Schlüssel im DNS unter einem neuen Selektor – z. B. mail2026, während mail2025 noch aktiv ist.
  2. TTL vorab reduzieren. Senken Sie die TTL des bestehenden DNS-Records einige Tage vor der Rotation auf einen niedrigen Wert (z. B. 300 Sekunden), damit DNS-Caches den alten Eintrag schnell verwerfen.
  3. Sendedienst auf neuen Selektor umstellen. Konfigurieren Sie Ihren Mailserver oder ESP so, dass neue E-Mails mit dem neuen Schlüssel signiert werden. Der alte Selektor bleibt vorerst erhalten.
  4. Übergangszeit abwarten. Warten Sie mindestens 48 bis 72 Stunden, damit alle noch im Zustellungsprozess befindlichen Nachrichten, die mit dem alten Schlüssel signiert wurden, verarbeitet werden können.
  5. Alten Selektor entfernen. Löschen Sie den alten TXT-Record aus dem DNS, sobald Sie sicher sind, dass keine in Zustellung befindlichen E-Mails mehr darauf angewiesen sind.

Als Faustregel gilt: Rotieren Sie DKIM-Schlüssel mindestens einmal jährlich, bei hohem E-Mail-Volumen oder sicherheitskritischen Domains alle sechs Monate. Schlüssel mit 1024 Bit sollten umgehend auf mindestens 2048 Bit aufgerüstet werden.

Wie DMARCFlow hilft

DKIM-Selektoren manuell im Blick zu behalten ist mühsam – insbesondere wenn mehrere Domains, mehrere ESPs und laufende Key-Rotationen zusammenkommen. DMARCFlow vereinfacht diesen Prozess auf mehreren Ebenen:

  • DKIM-Ergebnis-Tracking in DMARC-Reports. DMARCFlow analysiert jeden Datensatz in Ihren eingehenden DMARC-Aggregate-Reports und zeigt für jede sendende Quelle, ob DKIM bestanden hat – und mit welchem Selektor. So erkennen Sie auf einen Blick, welche Selektoren aktiv genutzt werden und welche unerwartet fehlen oder scheitern.
  • Alignment-Insight. DMARC erfordert nicht nur einen DKIM-Pass, sondern dass die signierende Domain (d=) mit der Header-From-Domain aligniert ist. DMARCFlow bewertet für jeden Report-Datensatz, ob DKIM-Alignment gegeben ist – im konfigurierten relaxed oder strict Modus – und erklärt klar, wenn ein DKIM-Pass für DMARC dennoch nicht zählt.
  • Fehlende Selektoren erkennen. Wenn ein ESP oder ein interner Mailserver E-Mails ohne gültige DKIM-Signatur versendet, taucht dies in den DMARC-Reports als Fehler auf. DMARCFlow gruppiert diese Fälle, zeigt betroffene IP-Adressen und sendende Domains und gibt gezielte Empfehlungen, welcher Selektor eingerichtet werden muss.
  • Selektorkonsistenz über mehrere Domains. Wer mehrere Domains verwaltet, verliert schnell den Überblick darüber, welche Selektoren wo konfiguriert sind. DMARCFlow aggregiert die DKIM-Daten domainübergreifend und macht Lücken und Inkonsistenzen sichtbar.
  • DSGVO-konform, EU-gehostet. Alle Report-Daten werden ausschließlich innerhalb der Europäischen Union verarbeitet und gespeichert. Es werden keine personenbezogenen Daten vorgehalten.
DKIM-Selektoren kostenlos prüfen
Geben Sie Ihre Domain und Ihren Selektor ein und prüfen Sie sofort, ob Ihr DKIM-Record korrekt konfiguriert ist.
DKIM prüfen

Fazit

DKIM-Selektoren sind das Bindeglied zwischen der Signatur in einer E-Mail und dem öffentlichen Schlüssel im DNS. Ohne ein Verständnis dieses Mechanismus lassen sich DKIM-Probleme kaum gezielt diagnostizieren – und eine sichere Key-Rotation ist praktisch nicht möglich.

Die gute Nachricht: Das Konzept ist einfach. Jeder Selektor ist ein eindeutiger Name, unter dem ein Schlüssel im DNS liegt. Mehrere Selektoren ermöglichen die gleichzeitige Nutzung verschiedener ESPs, den unterbrechungsfreien Schlüsselwechsel und die parallele Unterstützung unterschiedlicher Algorithmen. Wer diese Grundlage versteht, kann seine DKIM-Infrastruktur sicher aufbauen und wartbar halten.

DMARCFlow hilft Ihnen dabei, den Überblick zu behalten: Es zeigt Ihnen in Ihren DMARC-Reports genau, welche Selektoren genutzt werden, ob DKIM-Alignment gegeben ist und wo Handlungsbedarf besteht – ohne dass Sie sich durch kryptisches XML oder manuelle DNS-Abfragen kämpfen müssen.