DKIM-Checker

DKIM-Einträge validieren, Schlüssellänge prüfen und über 128 Selektoren nachschlagen.

Das Knacken eines 1024-Bit-DKIM-Schlüssels ist für staatliche Angreifer durchaus machbar.

NIST hat 1024-Bit-RSA-Schlüssel seit 2019 nicht mehr zugelassen, dennoch verwenden viele große Domains sie weiterhin. Vollständige Analyse lesen →

So verwenden Sie den DKIM-Checker

DmarcDkim.com prüft die DKIM-Einträge Ihrer Domain über 128 gängige Selektoren und validiert Schlüsselstärke, Konfiguration und DNS-Einrichtung.

Geben Sie Ihren Domainnamen ein und klicken Sie auf „Check DKIM", um nach DKIM-Einträgen zu suchen. Sie können auch einen bestimmten Selektor im Format selektor._domainkey.domain.com eingeben.

Überprüfen Sie die Ergebnisse, die für jeden Selektor Schlüsseltyp, Bitlänge und Validierungsstatus anzeigen. Warnungen weisen auf schwache Schlüssel oder Konfigurationsprobleme hin.

Beheben Sie gefundene Probleme und führen Sie einen DMARC-Check durch, um sicherzustellen, dass Ihr gesamtes E-Mail-Authentifizierungssetup (SPF, DKIM, DMARC) aufeinander abgestimmt ist.

DKIM-Spickzettel

Wie DKIM funktioniert
1. Signieren
Der Absender hasht den Body, signiert dann ausgewählte Header (einschließlich des Body-Hashes) mit dem privaten Schlüssel und fügt einen DKIM-Signature-Header hinzu.
2. Veröffentlichen
Der öffentliche Schlüssel wird als DNS-TXT-Eintrag unter selektor._domainkey.domain.com veröffentlicht.
3. Verifizieren
Der Empfänger ruft den öffentlichen Schlüssel über DNS anhand des Selektors ab, berechnet die Hashes neu und verifiziert die Signatur.
Eintrags-Tags
v
Version. Empfohlen, muss „DKIM1" sein. Muss als erstes erscheinen, falls vorhanden.
p
Öffentliche Schlüsseldaten (base64). Erforderlich. Ein leerer Wert widerruft den Schlüssel.
k
Schlüsseltyp. Optional, Standard „rsa". Auch „ed25519" gemäß RFC 8463.
h
Hash-Algorithmen. Optional, Standard erlaubt alle. Nur „sha256", „sha1" veraltet gemäß RFC 8301.
t
Flags. Optional, Standard keine. „y" = Testmodus, „s" = exakte Domain-Übereinstimmung.
s
Diensttyp. Optional, Standard „*" (alle). Auch „email" zur Beschränkung auf E-Mail.
n
Notizen. Optional. Menschenlesbarer Text für Administratoren, keine programmatische Verwendung.
Best Practices
1. 2048-Bit+-RSA-Schlüssel
Schlüssel unter 2048 Bit wurden von NIST nicht zugelassen seit 2014.
2. Alle 6-12 Monate rotieren
Begrenzt die Gefährdung durch kompromittierte Schlüssel.
3. Eindeutiger Selektor pro Dienst
Separate Schlüssel für Google, Microsoft 365, SendGrid usw.
4. Mit DMARC abstimmen
Die signierende Domain muss mit der From-Header-Domain übereinstimmen.
5. Über DMARC-Berichte überwachen
DKIM-Erfolg/-Fehler über den gesamten E-Mail-Verkehr verfolgen.

Häufig gestellte Fragen

Ein DKIM-Check überprüft, ob Ihre Domain gültige DKIM-Einträge (DomainKeys Identified Mail) im DNS veröffentlicht hat. Er validiert die Selektor-Konfiguration, das Format des öffentlichen Schlüssels, die Schlüsselstärke (Bitlänge) und Flags. Ein DKIM-Check hilft sicherzustellen, dass Ihre E-Mails korrekt authentifiziert werden, und verbessert die Zustellbarkeit.

Ein DKIM-Selektor ist eine Bezeichnung, die identifiziert, welches DKIM-Schlüsselpaar für Signierung und Verifizierung verwendet wird. Er erscheint im DKIM-Signature-Header Ihrer E-Mails als s=-Tag. Gängige Selektoren sind google, selector1 (Microsoft 365), s1 (Mailchimp) und k1 (Mailgun). DmarcDkim.com prüft automatisch 128 gängige Selektoren, oder Sie geben einen bestimmten ein.

Um DKIM einzurichten, generieren Sie ein Schlüsselpaar über Ihren E-Mail-Anbieter (Google Workspace, Microsoft 365 usw.) und veröffentlichen dann den öffentlichen Schlüssel als TXT-Eintrag im DNS Ihrer Domain unter selektor._domainkey.ihredomain.com. Jeder E-Mail-Anbieter hat seinen eigenen Selektor-Namen und sein eigenes Schlüsselformat. Nach der Veröffentlichung verwenden Sie diesen DKIM-Checker, um den Eintrag zu überprüfen.

Verwenden Sie mindestens 2048-Bit-RSA-Schlüssel gemäß RFC 8301, das von Signierern mindestens 1024-Bit-Schlüssel verlangt und 2048-Bit empfiehlt. Verifizierer müssen Signaturen mit Schlüsseln unter 1024 Bit ablehnen. Der DmarcDkim.com-DKIM-Checker validiert die Schlüsselstärke und kennzeichnet zu kurze Schlüssel.

Häufige Gründe für DKIM-Check-Fehler sind: Der DKIM-Eintrag ist nicht im DNS veröffentlicht, der Selektor-Name ist falsch, der DNS-Eintrag hat Syntaxfehler oder zusätzliche Leerzeichen, der öffentliche Schlüssel wurde widerrufen (leerer p=-Tag), die DNS-Propagierung ist noch nicht abgeschlossen, oder der DKIM-Eintrag überschreitet das 255-Zeichen-TXT-Eintragslimit und ist nicht korrekt verkettet.

DKIM, SPF und DMARC arbeiten zusammen, um E-Mails zu authentifizieren. SPF verifiziert den sendenden Server, DKIM verifiziert die Nachrichtenintegrität und Absenderidentität, und DMARC verbindet sie mit einer Richtlinie. Damit DMARC besteht, muss mindestens SPF oder DKIM bestehen und mit der From-Domain übereinstimmen. Die Einrichtung aller drei bietet die stärkste E-Mail-Authentifizierung.

Prüfen Sie Ihre DKIM-Einträge immer, wenn Sie einen E-Mail-Versanddienst hinzufügen oder ändern, nach DNS-Änderungen und im Rahmen regelmäßiger Sicherheitsaudits (mindestens vierteljährlich). Kontinuierliches Monitoring über ein DMARC-Dashboard bietet Echtzeit-Transparenz über DKIM-Authentifizierungsergebnisse im gesamten E-Mail-Verkehr.

SPF X-ray

Verbinden Sie Ihre Domain und erhalten Sie eine tiefgehende SPF-Analyse basierend auf Ihren DMARC-Daten. Der einzige zuverlässige Weg, das 10-DNS-Lookup-Limit zu beheben und Ihre Zustellbarkeit zu erhöhen.

SPF X-ray ausprobieren Mehr erfahren

DMARC Checker

Verhindern Sie, dass andere gefälschte E-Mails unter Ihrem Domainnamen senden. Überprüfen Sie Ihre DMARC-Konfiguration und folgen Sie der Schritt-für-Schritt-Anleitung für vollständigen Schutz.

DMARC überprüfen

Um uns beim Wachstum zu helfen, stimmen Sie bitte für DmarcDkim.com ab

DmarcDkim.com - Hassle-free DMARC solution | Product Hunt