DKIM X-ray

Sofortige Transparenz über jeden DKIM-Selektor Ihrer Domain — prüfen Sie die Schlüsselstärke, erkennen Sie fehlende oder widerrufene Einträge und räumen Sie ungenutzte Schlüssel sicher auf.

DKIM-Schlüssel analysieren

Echte E-Mail-Signatur-Analyse

DKIM X-ray geht über eine einmalige DNS-Abfrage hinaus. Es korreliert Ihre DKIM-Selektoren mit der tatsächlichen Signaturaktivität aus aggregierten DMARC-Berichten und zeigt Ihnen genau, welche Schlüssel verwendet werden, welche veraltet sind und welche im DNS fehlen.

90-Tage-Aktivitäts-Heatmap

Jeder Selektor wird gegen 90 Tage realer Signaturdaten aus DMARC-Berichten abgeglichen. Eine visuelle Heatmap zeigt das tägliche E-Mail-Volumen pro Selektor, sodass Sie auf einen Blick sehen, was aktiv und was veraltet ist.

Vollständiges Selektor-Inventar

DKIM X-ray kombiniert Selektoren aus DMARC-Berichten mit Selektoren aus Ihrer DNS-Historie — für Ihre Domain und alle Subdomains in einer einzigen Ansicht, inklusive per CNAME delegierter Schlüssel.

Datenbasierte Empfehlungen

Auf Basis realer Signaturmuster und der Schlüsselqualität erhält jeder Selektor eine konkrete Empfehlung: behalten, überprüfen, rotieren, widerrufen oder entfernen. Gestützt auf echte Daten, nicht auf Vermutungen.

Der echte Nutzen für Sie

DKIM X-ray ist mehr als Diagnose — es schützt Ihre Markenreputation, hält Signaturen überprüfbar und gibt Ihrem Team Kontrolle und Zeit zurück.

Zustellbarkeit, der Sie vertrauen können

Verifizierte DKIM-Signaturen halten Ihre legitimen E-Mails im Posteingang Ihrer Kunden — ohne stille Signaturfehler.

Zeit zurück für Ihr Team

Schluss mit der Suche nach Selektoren über Anbieter und DNS-Zonen hinweg. Sofort umsetzbare Erkenntnisse, datengestützt.

Mehr Domain-Sicherheit

Schwache, widerrufene oder vergessene Schlüssel werden markiert, bevor Angreifer oder Auditoren sie finden.

Gemacht für Schlüsselrotation

Sehen Sie genau, wann alte Selektoren aufhören zu signieren, um ausgemusterte Schlüssel sicher zu widerrufen.

Jetzt DKIM verbessern

Tiefgehende DKIM-Analyse

Umfassende Selektor-Analyse, die über eine einzelne Datensatzprüfung hinausgeht

Erkennen Sie schwache Schlüssel, Testmodus, widerrufene Schlüssel und DNS-Probleme

Alle Selektoren Ihrer Domain und ihrer Subdomains in einer Ansicht

Wir kombinieren Selektoren aus Ihren aggregierten DMARC-Berichten mit Selektoren aus Ihrer DNS-Historie. Das Ergebnis ist ein vollständiges Inventar pro Domain und Subdomain — inklusive der Selektoren, die Ihre E-Mail-Anbieter für Sie eingerichtet haben.

Jeder Selektor wird live im DNS aufgelöst, CNAME-Ketten werden verfolgt und der öffentliche Schlüssel wird auf Schwachstellen analysiert.

  • Schlüssellänge und -typ (RSA 1024/2048 Bit, Ed25519)
  • Widerrufene Schlüssel, Testmodus (t=y) und mehrere Einträge an einem Selektor
  • CNAME-Ziele und Selektoren, die ohne veröffentlichten DNS-Eintrag signieren

Jedes Ergebnis verlinkt auf die betroffenen E-Mails in Ihren DMARC-Berichten, damit Sie die tatsächliche Auswirkung vor Änderungen beurteilen können.

DKIM X-ray macht aus Ergebnissen klare nächste Schritte: fehlende Einträge veröffentlichen, doppelte TXT-Einträge entfernen, den Testmodus verlassen und schwache RSA-Schlüssel auf 2048 Bit aufrüsten. Jede Empfehlung basiert auf dem tatsächlichen Signaturverkehr Ihrer Domain.

Wir korrelieren aggregierte DMARC-Berichte mit Ihren DKIM-Selektoren. Wenn ein veröffentlichter Schlüssel 90 Tage lang keine E-Mail signiert hat, markieren wir ihn als ungenutzt und empfehlen, ihn zu widerrufen.

Das Ergebnis: ein schlankes, auditierbares DKIM-Setup mit starken Schlüsseln, ohne vergessene Selektoren und mit nachvollziehbarer Rotation.

Registrieren Sie sich mit Ihrer Domain, um DMARC-Berichte zu sammeln und Ihre DKIM-Schlüssel zu durchleuchten.

Erhalten Sie erste Ergebnisse zur Qualität Ihrer DKIM-Schlüssel & beheben Sie schwache oder defekte Selektoren

Nutzen Sie unsere Überwachung und wir sagen Ihnen, welche Schlüssel ungenutzt sind und sicher widerrufen werden können

Registrieren

Warum DKIM-Schlüsselhygiene wichtig ist

DKIM schützt Ihre Domain nur, wenn Schlüssel stark sind, korrekt veröffentlicht werden und ausgemustert werden, sobald sie ungenutzt sind. Die meisten Domains sammeln über die Jahre vergessene Selektoren an — jeder davon ein Risiko.

Schwache Schlüssel werden geknackt

RSA-Schlüssel unter 1024 Bit können gebrochen werden, und 1024-Bit-Schlüssel gelten als veraltet. Moderne Setups signieren mit 2048-Bit-Schlüsseln.

Vergessene Selektoren

Alte Anbieter-Schlüssel bleiben veröffentlicht, lange nachdem ein Tool abgeschafft wurde — wer den privaten Schlüssel noch besitzt, kann im Namen Ihrer Domain signieren.

Best Practice: Rotation

Rotieren Sie Schlüssel regelmäßig und widerrufen Sie ausgemusterte Selektoren durch Veröffentlichung eines leeren öffentlichen Schlüssels, damit alte Signaturen nicht wiederverwendet werden können.

Fazit: DKIM X-ray zeigt, welche Schlüssel tatsächlich signieren — damit Sie auf Basis von Daten rotieren und widerrufen, nicht auf gut Glück.

DKIM Fragen & Antworten

DKIM (DomainKeys Identified Mail) versieht Ihre ausgehenden E-Mails mit einer kryptografischen Signatur. Empfangende Server prüfen die Signatur gegen einen in Ihrem DNS veröffentlichten öffentlichen Schlüssel und stellen so sicher, dass die Nachricht wirklich von Ihrer Domain stammt und unterwegs nicht verändert wurde. Ohne gültiges DKIM scheitern Ihre E-Mails häufiger an DMARC-Prüfungen und landen im Spam.

Ein Selektor ist das Label, das empfangenden Servern sagt, wo Ihr öffentlicher Schlüssel im DNS zu finden ist: Der Schlüssel liegt unter einem Namen wie google._domainkey.ihredomain.de. Jeder Versanddienst nutzt in der Regel einen eigenen Selektor (z. B. google oder selector1), sodass eine Domain mehrere DKIM-Schlüssel parallel veröffentlichen kann.

Selektoren lassen sich nicht allein aus dem DNS auslesen — deshalb sind vergessene Schlüssel so verbreitet. DKIM X-ray löst das, indem es zwei Quellen kombiniert: Selektoren, die in aggregierten DMARC-Berichten beim Signieren Ihrer E-Mails beobachtet wurden, und Selektoren aus Ihrer DNS-Historie. Das Ergebnis ist ein vollständiges Inventar über Ihre Domain und alle Subdomains.

Verwenden Sie 2048-Bit-RSA-Schlüssel. Schlüssel unter 1024 Bit sind kritisch unsicher und können geknackt werden, 1024-Bit-Schlüssel gelten als veraltet und schwach. DKIM X-ray prüft die Bitlänge jedes veröffentlichten Schlüssels und markiert jeden Selektor, der ein Upgrade benötigt.

Best Practice ist, DKIM-Schlüssel regelmäßig zu rotieren — mindestens ein- bis zweimal pro Jahr und sofort, wenn ein Schlüssel kompromittiert sein könnte. Die Schwierigkeit ist zu wissen, wann ein alter Selektor sicher ausgemustert werden kann. DKIM X-ray verfolgt die reale Signaturaktivität pro Selektor, sodass Sie sehen, wann ein Schlüssel nicht mehr signiert, und ihn mit gutem Gewissen widerrufen können.

Es bedeutet, dass Ihre DMARC-Berichte E-Mails zeigen, die mit diesem Selektor signiert wurden, aber an der zugehörigen DNS-Position kein DKIM-Eintrag veröffentlicht ist. Diese Signaturen können nicht überprüft werden, die E-Mails scheitern an DKIM und werden möglicherweise abgewiesen oder in Quarantäne verschoben. Übliche Ursachen sind ein gelöschter DNS-Eintrag oder ein nicht vollständig eingerichteter Versanddienst.

Stellen Sie zuerst sicher, dass der Selektor wirklich nicht mehr signiert — DKIM X-ray zeigt das Zuletzt-gesehen-Datum und die 90-Tage-Aktivität für jeden Selektor. Veröffentlichen Sie dann den Eintrag mit einem leeren öffentlichen Schlüssel (p=), statt ihn einfach zu löschen. Das teilt Empfängern explizit mit, dass der Schlüssel widerrufen wurde, und verhindert, dass alte Signaturen wiederverwendet werden.

Einfache DKIM-Checker prüfen einen einzelnen Selektor, den Sie bereits kennen. DKIM X-ray entdeckt alle Selektoren aus DMARC-Berichten und DNS-Historie, prüft Schlüssellänge, CNAME-Ketten, Testmodus sowie widerrufene oder fehlende Einträge, bildet 90 Tage Signaturaktivität pro Selektor ab und gibt Empfehlungen zum Behalten, Überprüfen, Rotieren oder Widerrufen — basierend auf echtem Verkehr, nicht nur auf der Syntax.

Prüfen Sie Ihr DMARC-Setup

DKIM ist ein zentraler Bestandteil des DMARC-Frameworks, das sicherstellt, dass niemand E-Mails in Ihrem Namen versenden kann und Ihre E-Mails den Posteingang Ihrer Kunden erreichen