DKIM-Checker
Prüfe DKIM-Einträge, um die Echtheit von E-Mails zu bestätigen und dich vor Spoofing zu schützen.
Gib eine Domain an und wähle einen DKIM-Selektor aus.
Alle Netzwerk-Tools, die du je brauchen wirst.
Speziell entwickelte Tools für Ports, IPs, DNS und E-Mail. Komplett kostenlos, alle laufen über externe Probes.
Port-Checker
Beliebigen TCP-Port auf einem beliebigen Host prüfen
DNS-Lookup
IP-Adressen hinter einer Domain nachschlagen
rDNS-Check
Reverse-DNS: IPs Hostnamen zuordnen (PTR)
Ping-Tool
Host-Erreichbarkeit per ICMP prüfen
Speedtest
Download, Upload und Latenz messen
Proxy-Check
VPN- oder Proxy-Nutzung erkennen
Link-Checker
Prüfen, ob URLs erreichbar sind
HTTP-Header-Checker
Antwort-Header untersuchen
Was ist meine IP?
Deine aktuelle öffentliche IP-Adresse anzeigen
IP-Subnetzrechner
Masken, Bereiche und CIDR-Berechnungen durchführen
IP-Konverter
Zwischen IPv4 und IPv6 konvertieren (in beide Richtungen)
ASN-Lookup
Organisation, ISP und IP-Bereiche per ASN nachschlagen
IP-Blacklist-Checker
Prüfen, ob eine IP auf einer Spamliste steht
IPv6-Website-Test
Testen, ob eine Website IPv6 unterstützt (AAAA + Erreichbarkeit)
SPF-Record-Checker
E-Mail-Absenderrichtlinie überprüfen
DMARC-Validator
Richtlinie, Ausrichtung und Berichtskonfiguration lesen
DKIM-Checker
DKIM-Signaturen prüfen
E-Mail-Header-Analyzer
E-Mail-Ursprung und -Routing nachverfolgen
Kostenloser DKIM-Checker: DKIM-Eintrag eines Domainnamens nachschlagen und prüfen
DKIM (DomainKeys Identified Mail) ist ein DNS-TXT-Eintrag, der unter
<selector>._domainkey.<domain>
veröffentlicht wird. Er enthält einen öffentlichen Schlüssel, den empfangende Mailserver verwenden, um die kryptografische Signatur ausgehender E-Mails zu überprüfen. Stimmt die Signatur mit dem öffentlichen Schlüssel im DNS überein, weiß der Empfänger, dass die Nachricht während der Übertragung nicht verändert wurde und tatsächlich von einem autorisierten Absender stammt.
Dieses Tool ruft den DNS-Eintrag ab, analysiert seine Tags und meldet, ob die Konfiguration gültig ist. Du erhältst den rohen Eintrag, die geparsten Schlüssel-Wert-Paare, den Schlüsseltyp, die Länge des öffentlichen Schlüssels sowie alle Warnungen oder Fehler, alles aus einer einzigen Abfrage.
So prüfst du einen DKIM-Eintrag
Die Abfrage fragt
<selector>._domainkey.<domain>
über DNS ab und gibt den dort gespeicherten TXT-Eintrag zurück. So führst du sie durch:
- Öffne den DKIM-Checker über das Tool-Menü.
-
Gib die Domain ein, die du prüfen möchtest (zum Beispiel
example.com). - Optional kannst du einen Selektor eingeben. Lässt du das Feld leer, probiert das Tool automatisch gängige Selektoren durch.
- Klicke auf Prüfen . Das Tool fragt DNS ab und validiert den Eintrag.
- Sieh dir die Ergebnisse an: verwendeter Selektor, roher DKIM-Eintrag, Gültigkeitsstatus, geparste Tags, Schlüsseltyp, Länge des öffentlichen Schlüssels sowie etwaige Fehler oder Warnungen.
Es ist kein Konto erforderlich. Die Abfrage erfolgt serverseitig gegen das aktive DNS, sodass die Ergebnisse den aktuell veröffentlichten Stand des Eintrags widerspiegeln.
Automatische Erkennung: Was passiert, wenn du den Selektor weglässt
DKIM-Selektoren sind nirgendwo im Standard-DNS aufgeführt. Es gibt keinen DNS-Eintragstyp, der angibt, welche Selektoren eine Domain verwendet. Deshalb ist die einzige Möglichkeit, einen aktiven Selektor ohne Vorkenntnisse zu finden, bekannte Werte nacheinander auszuprobieren.
Wenn du das Selektor-Feld leer lässt, versucht das Tool diese Werte der Reihe nach:
-
default -
google -
mail -
selector1 -
selector2 -
dkim -
email -
Datumsbasierte Gmail-Selektoren:
20221208,20230601
Wenn keiner dieser Werte einen Eintrag zurückgibt, meldet das Tool, dass kein DKIM gefunden wurde. Schau in diesem Fall in der Dokumentation deines E-Mail-Anbieters nach dem richtigen Selektor und gib ihn manuell ein.
Was dir die Ergebnisse sagen
Jeder DKIM-Eintrag ist eine Zeichenkette aus Tag-Wert-Paaren. Der Checker analysiert diese und markiert alles, was Aufmerksamkeit verdient. Das bedeutet jedes Ausgabefeld:
- Selektor: Die Bezeichnung, die für die erfolgreiche Abfrage verwendet wurde. Nützlich, wenn die automatische Erkennung den Eintrag gefunden hat.
- Roher DKIM-Eintrag: Die genaue TXT-Zeichenkette, die vom DNS zurückgegeben wurde.
- Gültigkeitsstatus: Ob der Eintrag alle erforderlichen Prüfungen besteht.
-
Schlüsseltyp (k):
Entweder
rsa(am häufigsten) odered25519(neuer, noch nicht von allen Empfängern unterstützt). - Länge des öffentlichen Schlüssels: Die Bitlänge des RSA-Schlüssels. Kurze Schlüssel lösen eine Warnung aus, da sie als schwach gelten.
-
Versions-Tag:
v=DKIM1wird empfohlen, ist aber laut Spezifikation nicht zwingend erforderlich. -
Fehler und Warnungen:
Konkrete Probleme wie ein fehlender öffentlicher Schlüssel, ein widerrufener Schlüssel (
p=mit leerem Wert), aktiver Testmodus (t=y) oder ein schwacher Hash-Algorithmus (nurh=sha1).
Ein leeres
p
-Tag ist kein Konfigurationsfehler. Es ist der Standardmechanismus zum Widerrufen eines DKIM-Schlüssels. Der Checker meldet es als widerrufenen Schlüssel, damit du es von einer Fehlkonfiguration unterscheiden kannst.
Wann du eine DKIM-Prüfung durchführen solltest
Die DKIM-Überprüfung ist in verschiedenen Situationen relevant, nicht nur bei der Ersteinrichtung. Verwende dieses Tool, wenn:
- du DKIM bei deinem E-Mail-Anbieter gerade eingerichtet hast und bestätigen möchtest, dass der Eintrag im DNS aktiv ist.
- E-Mails DMARC-Prüfungen nicht bestehen und du herausfinden möchtest, ob die DKIM-Signatur die Ursache ist.
- du zu einem neuen E-Mail-Anbieter wechselst und sowohl alte als auch neue Selektoren überprüfen musst.
- ein Sicherheitsaudit erfordert, dass du Schlüsseltypen und -längen für alle sendenden Domains dokumentierst.
-
du vermutest, dass ein Schlüssel widerrufen wurde, und den Status des
p-Tags bestätigen möchtest. - du einen Drittanbieter-Absender prüfst (Newsletter-Plattform, CRM), der E-Mails im Namen deiner Domain signiert.
Es lohnt sich außerdem, DKIM-Tests regelmäßig nach DNS-Migrationen durchzuführen, da TTL-bedingte Propagierungsprobleme das Signieren vorübergehend unterbrechen können, auch wenn der Eintrag im Dashboard deines DNS-Anbieters korrekt aussieht.
DKIM und das größere Bild der E-Mail-Authentifizierung
DKIM kümmert sich um die Nachrichtenintegrität und Absenderauthentifizierung auf Signaturebene. Es arbeitet zusammen mit SPF, das steuert, welche IP-Adressen für eine Domain senden dürfen, und DMARC, das festlegt, was Empfänger tun sollen, wenn SPF- oder DKIM-Prüfungen fehlschlagen.
Wenn du ein Zustellbarkeitsproblem analysierst, ist die Prüfung des DKIM-Eintrags ein Schritt. Du solltest auch deine DMARC-Richtlinie mit dem DMARC-Checker überprüfen, um zu sehen, wie die beiden Einträge zusammenwirken. Beide Tools sind im Pingie-Tool-Verzeichnis verfügbar.
Häufige Fragen
Ein DKIM-Eintrag ist ein DNS-TXT-Eintrag, der unter
<selector>._domainkey.<domain>
veröffentlicht wird. Er enthält einen öffentlichen Schlüssel, den empfangende Mailserver abrufen, um die kryptografische Signatur im E-Mail-Header zu überprüfen. Der sendende Server signiert ausgehende E-Mails mit dem entsprechenden privaten Schlüssel. Stimmt die Signatur mit dem öffentlichen Schlüssel im DNS überein, gilt die Nachricht als authentisch und während der Übertragung unverändert.
Ein Selektor ist eine Bezeichnung, die Teil des DNS-Abfragepfads bildet. Da eine Domain mehrere DKIM-Schlüssel veröffentlichen kann (für verschiedene Sendedienste oder zur Schlüsselrotation), teilt der Selektor den Empfängern mit, welchen konkreten Schlüssel sie abrufen sollen. Er erscheint in den Feldern
d=
und
s=
des DKIM-Signature-Headers jeder signierten E-Mail. Selektoren sind in keinem Standard-DNS-Eintrag aufgeführt und müssen daher im Voraus bekannt sein oder aus gängigen Werten erraten werden.
Wenn kein Selektor angegeben wird, sendet das Tool DNS-TXT-Abfragen für eine vordefinierte Liste gängiger Selektornamen der Reihe nach:
default
,
google
,
mail
,
selector1
,
selector2
,
dkim
,
email
sowie eine Reihe datumsbasierter Gmail-Selektoren. Es hält beim ersten an, der einen gültigen TXT-Eintrag zurückgibt. Wenn keiner übereinstimmt, meldet das Tool, dass kein DKIM-Eintrag gefunden wurde, und fordert dich auf, den Selektor manuell einzugeben.
Ein widerrufener Schlüssel bedeutet, dass der DNS-Eintrag zwar existiert, das Tag für den öffentlichen Schlüssel aber leer ist (
p=
). Dies ist der standardmäßige DKIM-Mechanismus, um einen Schlüssel außer Betrieb zu nehmen, ohne den Eintrag vollständig zu entfernen. Empfangende Mailserver, die ein leeres
p
-Tag vorfinden, behandeln jede Signatur mit diesem Selektor als ungültig. Der Checker unterscheidet dies von einem fehlenden oder fehlerhaften Eintrag und meldet es gezielt als Widerruf und nicht als Fehler.
Drei Warnungen solltest du unbedingt beachten. Erstens gilt ein kurzer RSA-Schlüssel (unter 1024 Bit, je nach Richtlinie manchmal unter 2048 Bit) als kryptografisch schwach und kann gebrochen werden. Zweitens bedeutet
t=y
, dass sich die Domain im Testmodus befindet, sodass Empfänger DKIM-Fehler möglicherweise nicht durchsetzen. Drittens weist nur
h=sha1
auf die Verwendung eines veralteten Hash-Algorithmus hin. Jede dieser Warnungen stellt ein echtes Zustellbarkeits- oder Sicherheitsrisiko dar und ist kein rein kosmetisches Problem.
DKIM arbeitet auf Nachrichtenebene. Es hängt eine kryptografische Signatur an eine E-Mail und veröffentlicht den entsprechenden öffentlichen Schlüssel im DNS, damit Empfänger die Signatur überprüfen können. DMARC arbeitet auf Richtlinienebene. Es liest die Ergebnisse der DKIM- und SPF-Prüfungen und teilt Empfängern mit, was sie tun sollen, wenn diese Prüfungen fehlschlagen (nichts tun, in Quarantäne verschieben oder ablehnen). DKIM beweist die Integrität, DMARC setzt eine Reaktion durch. Du kannst deine DMARC-Konfiguration mit dem DMARC-Checker überprüfen.
Die häufigsten Ursachen sind DNS-Propagierungsverzögerungen (Einträge können Minuten bis Stunden brauchen, um weltweit sichtbar zu werden), ein falscher Selektor (die automatische Erkennungsliste enthält nicht jeden möglichen Selektor) oder ein Tippfehler im DNS-Eintrag. Versuche, den genauen Selektor einzugeben, den dir dein E-Mail-Anbieter mitgeteilt hat. Wenn der Eintrag immer noch nicht erscheint, prüfe, ob der TXT-Eintrag im Kontrollpanel deines DNS-Anbieters korrekt gespeichert ist, und stelle sicher, dass das Hostnamen-Format genau
<selector>._domainkey.<domain>
entspricht.
Ja. Der Checker liest und meldet das Schlüsseltyp-Tag (
k=
) und verarbeitet sowohl
rsa
- als auch
ed25519
-Einträge. Ed25519 erzeugt kürzere Schlüssel mit starken Sicherheitseigenschaften, aber die Unterstützung durch Empfänger ist noch nicht universal. Einige ältere Mailserver überprüfen Ed25519-Signaturen überhaupt nicht, was bedeutet, dass eine gültige Signatur trotzdem als unsigniert behandelt werden kann. Der Checker meldet den Schlüsseltyp, damit du die Kompatibilität mit deinen Empfängern einschätzen kannst.
Ja. Das Tool stellt einen GET-Endpoint unter
/api/check-dkim?domain=<domain>&selector=<selector>
bereit. Die Antwort ist JSON und enthält Felder für
dkim_found
,
selector
,
dkim_record
,
is_valid
,
errors
,
warnings
,
tags
,
key_type
,
public_key_length
und
has_version
. Das macht es einfach, die DKIM-Validierung in Monitoring-Skripte oder Deployment-Pipelines zu integrieren, die DNS-Einträge nach Konfigurationsänderungen überprüfen.
Nein. Das
v=DKIM1
-Tag wird von der Spezifikation empfohlen, ist aber nicht zwingend erforderlich. Mailempfänger sollen Einträge auch ohne dieses Tag akzeptieren. Der Checker meldet, ob das Versions-Tag vorhanden ist, über das Feld
has_version
, aber sein Fehlen führt nicht zu einem Validierungsfehler. Es gilt als gute Praxis, es einzuschließen, da es den Zweck des Eintrags für jeden, der die rohen DNS-Daten liest, eindeutig macht.
Die Abfrage ist eine reine DNS-Leseanfrage. Das Tool fragt den DNS-Eintrag für die von dir angegebene Domain ab und gibt das Ergebnis zurück. Bei einer DKIM-Prüfung werden keine personenbezogenen Daten übermittelt, da Domainnamen öffentliche DNS-Informationen sind. Alle Details dazu, wie Pingie mit Daten umgeht, findest du in der Datenschutzerklärung .
Führe eine Prüfung nach jeder DNS-Änderung, einem Wechsel des E-Mail-Anbieters oder einer Schlüsselrotation durch. Es lohnt sich auch, nach der Übertragung deiner Domain an einen neuen Registrar zu überprüfen, da beim Import von Zonendateien gelegentlich TXT-Einträge verloren gehen oder beschädigt werden. Wenn du mehrere Sendedienste verwendest (transaktionale E-Mails, Marketing-Plattformen, CRMs), prüfe jeden Selektor separat, da es sich um unabhängige Einträge handelt, die unabhängig voneinander fehlschlagen können.