DKIM-Selector-Erkennung erklärt — So findest du deinen DKIM-Record

Das DKIM-Selector-Problem, an dem alle scheitern#

Du hast gerade die E-Mail-Authentifizierung für deine Domain eingerichtet. Du hast SPF konfiguriert (unkompliziert). Du hast DMARC konfiguriert (hat eine Stunde gedauert, aber es läuft). Jetzt musst du DKIM hinzufügen.

Dein E-Mail-Provider sagt: "Füge DKIM-Records für den Selector [irgendwas] hinzu." Aber er sagt dir nicht explizit, welcher Selector das ist. Du musst:

1. Seine Dokumentation durchforsten (die vielleicht gar nicht existiert)
2. Dein Admin-Panel checken (das ihn vielleicht nicht anzeigt)
3. Bei Google nach "Was ist mein DKIM-Selector?" suchen
4. Übliche Kandidaten manuell durchprobieren: default, google, selector1, s1, k1, mandrill...
5. DNS für jeden einzelnen prüfen: default._domainkey.deinedomain.com, google._domainkey.deinedomain.com usw.
6. Hoffen, dass du richtig rätst, bevor du aufgibst

Dieser Prozess dauert bei manchen Nutzern 3–8 Stunden. Andere kommen nie ans Ziel, und ihr DKIM bleibt unkonfiguriert.

Drei Stunden für einen einzigen DNS-Record. Das sollte nicht so schwer sein.

Dieser Guide erklärt, was DKIM-Selectors sind, warum E-Mail-Provider das so verwirrend machen, und wie moderne Tools wie der DKIM-Scanner von Nova Uptime deine Records in Sekunden finden.

---

Was ist ein DKIM-Selector und warum gibt es ihn?#

DKIM-Selectors einfach erklärt#

Ein DKIM-Selector ist ein Label, das angibt, welcher DKIM-Signaturschlüssel verwendet werden soll.

Stell dir das so vor: Eine Domain kann mehrere E-Mail-Services nutzen, jeder mit seinem eigenen Signaturschlüssel. DKIM-Selectors erlauben dir, mehrere Schlüssel gleichzeitig aktiv zu haben:

default._domainkey.deinedomain.com  → Schlüssel A (dein Mailserver)
google._domainkey.deinedomain.com   → Schlüssel B (Google Workspace)
sendgrid._domainkey.deinedomain.com → Schlüssel C (SendGrid)
mailgun._domainkey.deinedomain.com  → Schlüssel D (Mailgun)

Jeder Service signiert E-Mails mit seinem eigenen Private Key. Empfangende Server prüfen jede Signatur gegen den entsprechenden Public Key im DNS.

Warum mehrere Selectors?

Stell dir vor, du willst von SendGrid zu Mailgun migrieren. Wenn du den SendGrid-DKIM-Selector sofort löschst, schlagen E-Mails, die noch unterwegs sind und mit dem SendGrid-Schlüssel signiert wurden, bei der Verifikation fehl. Indem du beide Selectors während der Migration aktiv lässt, authentifizieren sowohl alte als auch neue E-Mails korrekt.

Wie DKIM-Selectors funktionieren: Der komplette Ablauf#

1. Dein E-Mail-Provider erzeugt ein Schlüsselpaar:

   • Private Key (bleibt geheim auf seinem Server)
   • Public Key (den veröffentlichst du im DNS)

2. Er nennt dir den Selector-Namen (hoffentlich klar — oft tut er das nicht)

3. Du veröffentlichst den Public Key im DNS unter selector._domainkey.deinedomain.com

4. Wenn du eine E-Mail sendest:

   • Der Server des Providers signiert die E-Mail mit dem Private Key
   • Die Signatur wird zu den E-Mail-Headern hinzugefügt: DKIM-Signature: v=1; a=rsa-sha256; s=google; d=deinedomain.com; bh=...
   • Die E-Mail wird gesendet

5. Wenn der empfangende Server die E-Mail erhält:

   • Er extrahiert den Selector aus dem Signatur-Header: s=google
   • Er sucht den Public Key: google._domainkey.deinedomain.com
   • Er verifiziert die Signatur mit diesem Public Key
   • Wenn die Signatur gültig ist, besteht DKIM

Der entscheidende Punkt: Der Selector im E-Mail-Header (s=google) MUSS mit dem Selector im DNS (google._domainkey.deinedomain.com) übereinstimmen. Selbst eine einzige falsche Stelle führt zum Authentifizierungs-Fehler.

---

Warum E-Mail-Provider das so verwirrend machen#

Man würde meinen, Provider sagen einem klar: "Dein DKIM-Selector ist sendgrid." Tun sie meistens nicht. Hier ist der Grund:

Grund 1: Unterschiedliche Selectors für unterschiedliche Situationen#

Manche Provider nutzen je nach Konfiguration unterschiedliche Selectors:

SendGrid:

• Standard-Selector: sendgrid
• Aber bei branded Sender-Domain: ein zufällig generierter Selector wie s1234567890
• Nutzer richten einen Selector ein, fügen später eine weitere Sender-Domain hinzu, und wissen nicht, dass die einen anderen Selector hat

Google Workspace:

• Selector ist fest: google
• Aber manche Nutzer sehen je nach Setup-Methode s0, s1, s2

Zoho Mail:

• Selector hängt vom Setup ab: zl1234567 (wobei die Zahlen pro Domain einzigartig sind)
• Nicht an offensichtlicher Stelle dokumentiert

Mailgun:

• Du wählst den Selector beim Erstellen des DKIM-Records selbst
• Standard ist k1, aber du kannst ihn beliebig benennen: mail, bounce, my-custom-key
• Nutzer vergessen, was sie gewählt haben

Grund 2: Dokumentation ist versteckt oder veraltet#

Suche "SendGrid DKIM selector", und du findest:

• Eine Doku-Seite von 2015 (mit veralteten UI-Screenshots)
• Einen Hilfe-Artikel über "branded links" statt DKIM-Selectors
• Forum-Posts von 2018 mit unterschiedlichen Antworten
• Offizielle Docs, die sagen "Gehe zu Einstellungen > API Keys > DKIM" (aber dort ist es nicht)

Grund 3: Admin-Panels zeigen es nicht klar an#

Wenn du dich ins Gmail-Admin-Panel einloggst und nach DKIM suchst, siehst du:

Status: Nicht eingerichtet
[DKIM einrichten]

Klicke auf "DKIM einrichten", und du bekommst:

DKIM ist für deine Domain aktiviert.
[DNS-Records anzeigen]

Der Selector ist im DNS-Record vergraben, den dir das Panel zeigt — du musst ihn selbst herausparsen. Die meisten Nutzer tun das nicht.

Grund 4: Mehrere Selectors machen es noch verwirrender#

Wenn du im Lauf der Zeit mehrere E-Mail-Provider genutzt hast:

• Alter SendGrid-Selector: sendgrid (im DNS, aber nicht mehr genutzt)
• Aktueller Mailgun-Selector: k1 (aktiv)
• Backup-Mailbox-Selector: mail (im DNS für Disaster Recovery)

Nutzer erinnern sich nicht, was was ist. Wenn sie einen DKIM-Check laufen lassen, sehen sie drei Selectors und denken, irgendwas sei kaputt.

---

Der traditionelle DKIM-Selector-Findungsprozess (stundenlange Qual)#

Die manuelle Methode: Raten und Prüfen#

Die meisten finden DKIM-Selectors so:

Schritt 1: Dokumentation lesen

• Durchsuche die Docs deines Providers nach "DKIM selector"
• Verbringe 30 Minuten mit Lesen
• Finde einen Satz: "DKIM-Records werden unter s._domainkey.domain.com gespeichert"
• Keine Klarheit darüber, was s eigentlich ist

Schritt 2: Admin-Panel checken

• Gehe in die Einstellungen des E-Mail-Providers
• Suche nach "DKIM" oder "DNS records"
• Wenn du DNS-Records findest, mache einen Screenshot
• Versuche, den Selector darin zu finden

Schritt 3: Übliche Selectors manuell durchprobieren

• DNS prüfen für default._domainkey.deinedomain.com
• DNS prüfen für selector1._domainkey.deinedomain.com
• DNS prüfen für google._domainkey.deinedomain.com
• DNS prüfen für s1._domainkey.deinedomain.com
• DNS prüfen für mail._domainkey.deinedomain.com

Schritt 4: In Foren fragen

• Suche auf StackOverflow: "How do I find my DKIM selector?"
• Finde widersprüchliche Antworten
• Verbringe weitere 2 Stunden damit, alle durchzuprobieren

Gesamtzeit: 3–8 Stunden für etwas, das 30 Sekunden dauern sollte.

Warum dieser manuelle Prozess scheitert#

1. Tippfehler: Du verpasst einen Selector, weil du ihn falsch geschrieben hast
2. DNS-Cache: Du siehst keine Ergebnisse, weil die TTL noch nicht abgelaufen ist
3. Mehrere Selectors: Du findest Selector 1 und nimmst an, das war's, übersiehst Selector 2
4. Falsche Domain-Ebene: Du prüfst _domainkey.deinedomain.com statt selector._domainkey.deinedomain.com
5. Provider hat den Selector geändert: Du findest alte Doku, die einen veralteten Selector referenziert

---

Die moderne Lösung: Automatische DKIM-Selector-Erkennung#

Der Email Health Checker von Nova Uptime löst das mit automatischer DKIM-Selector-Erkennung:

Wie Nova Uptime DKIM-Selectors erkennt#

Statt 50 Selectors einzeln zu raten, macht Nova Uptime Folgendes:

1. Scannt 50 verbreitete Selectors parallel

   • Üblich bei großen Providern: default, google, selector1, s1, k1, mandrill, dkim, mail, sendgrid, mailgun usw.
   • Ergebnisse kommen in 2–3 Sekunden zurück (parallele DNS-Abfragen sind viel schneller als sequenzielle)

2. Validiert RFC-6376-Konformität

   • Prüft sowohl v=DKIM1 (empfohlen, aber optional) als auch das Vorhandensein von p= (Public Key vorhanden)
   • Grund: Manche Provider (Zoho) generieren Selectors automatisch ohne v=DKIM1, die trotzdem funktionieren

3. Meldet, ob DKIM konfiguriert ist

   • Zeigt "Configured" an, wenn mindestens ein gültiger Selector gefunden wird
   • Zeigt "Not Found" an, wenn keiner der 50 verbreiteten Selectors passt

4. Vermeidet False Positives

   • Prüft DNS-Formatierung
   • Validiert Schlüsselvorhandensein
   • Meldet nur Selectors mit tatsächlichen Public Keys

Ergebnis: Was du siehst#

Wenn du den Email Health Checker von Nova Uptime ausführst:

Wenn DKIM gefunden wird:

DKIM Status: Configured
Status: Valid

Wenn nichts gefunden wird:

DKIM Status: Not Configured

Scanned 50 common selectors. No DKIM records found.

Next Steps:
1. Check your email provider's documentation for the exact selector
2. Have your provider generate DKIM records
3. Add records to your DNS provider
4. Re-run this check in 24 hours (DNS takes time to propagate)

---

Die 50 Selectors, die Nova Uptime scannt#

Selectors großer E-Mail-Provider#

Das sind die am häufigsten genutzten Selectors:

Google Workspace

• Selector: google
• Grund: Google nutzt durchgängig dieselbe Benennung über alle Kunden hinweg

SendGrid

• Selectors: sendgrid, s1234567890 (bei branded Domain)
• Grund: Standard ist sendgrid, aber benutzerdefinierte Sender-Domains bekommen automatisch generierte Selectors

Mailgun

• Selectors: k1, k2 oder benutzerdefiniert (du wählst)
• Grund: Du konfigurierst den Selector selbst; Standard sind k1 und k2

Klaviyo

• Selector: mailgun-key
• Grund: Klaviyo nutzt Mailgun als Backend

HubSpot

• Selector: hubspot
• Grund: Konsistent wie bei Google

Zendesk

• Selector: zendesk1, zendesk2
• Grund: Zendesk erlaubt mehrere Sender-Domains

Amazon SES

• Selector: variiert (abhängig von Region und Setup)
• Üblich: amazonses oder zufällig generiert

Postmark

• Selector: postmark
• Grund: Feste Benennung

Mandrill

• Selector: mandrill
• Grund: Feste Benennung

Zoho Mail

• Selector: zl1234567 (pro Domain einzigartig)
• Grund: Automatisch generierter Identifier

Microsoft 365 / Outlook

• Selector: selector1, selector2
• Grund: Zwei Standard-Selectors für Key-Rotation

Brevo (früher Sendinblue)

• Selector: brevo, brevo1
• Grund: Mehrere für Key-Rotation

Dein eigener Mailserver#

Wenn du E-Mail selbst hostest:

• Selector: Was immer du konfiguriert hast
• Üblich: default, mail, dkim, main oder benutzerdefinierte Namen

Die vollständige Liste der 50 Selectors#

Nova Uptime scannt diese 50 Selectors:

default, google, selector1, selector2, s1, s2, k1, k2, k3, mandrill, dkim, mail, email, smtp, sendgrid, s, sig1, selector, key1, key2, zoho, protonmail, protonmail2, protonmail3, cm, turbo-smtp, amazonses, ses, mailjet, mxvault, fm1, fm2, fm3, smtpcom, postmark, mailgun, resend, brevo, hubspot, hs1, hs2, zendesk1, zendesk2, freshdesk, smtp2go, mesmtp, krs, everlytickey1, everlytickey2, mailo, mimecast, pp1, sparkpost, barracuda

Wenn dein Selector nicht in dieser Liste ist, kannst du ihn trotzdem überprüfen, indem du DNS direkt abfragst.

---

Schritt für Schritt: Automatische DKIM-Erkennung nutzen#

Schritt 1: Zum Email Health Checker gehen#

Besuche den Nova Uptime Email Health Checker

Schritt 2: Deine Domain eingeben#

Gib deine Domain ein (z. B. deinedomain.com) ohne Protokoll oder Subdomains.

Schritt 3: Die DKIM-Ergebnisse prüfen#

In Sekunden siehst du, ob DKIM für deine Domain konfiguriert ist.

Schritt 4: Nächste Schritte je nach Ergebnis#

Wenn gefunden: Nichts zu tun. Dein DKIM ist korrekt konfiguriert. Geh weiter zur Prüfung der DMARC-Alignment.

Wenn nicht gefunden:

1. Prüfe die Doku deines E-Mail-Providers nach dem genauen Selector-Namen
2. Kontaktiere den Provider-Support: "Was ist der DKIM-Selector für meine Domain?"
3. Sobald du den Selector-Namen hast, lass dir den DNS-Record bereitstellen
4. Trage ihn bei deinem DNS-Anbieter ein
5. Führe den Check nach 24 Stunden erneut aus (DNS-Propagation)

---

Häufige DKIM-Selector-Fehler#

Fehler 1: Falsche Domain-Ebene prüfen#

Falsch:

Geprüft: dkim._domainkey.com (deine Domain fehlt!)
Sollte sein: dkim._domainkey.deinedomain.com

DKIM-Records sind spezifisch für jede Domain. Eine Prüfung von .com oder .org findet deine nicht.

Fehler 2: Tippfehler im Selector-Namen#

Provider sagt: selector Du prüfst: selectors (extra 's') Ergebnis: Nicht gefunden, du nimmst an, DKIM existiere nicht

Nova Uptime prüft die korrekten Schreibweisen für große Provider und vermeidet so dieses Problem.

Fehler 3: Das ._domainkey-Suffix vergessen

Falsch:

DNS prüfen für: sendgrid.deinedomain.com
Sollte sein: sendgrid._domainkey.deinedomain.com

DKIM-Records MÜSSEN ._domainkey im Namen haben. Ohne das liefern DNS-Lookups nichts zurück.

Fehler 4: Nicht auf DNS-Propagation warten#

Du fügst einen DKIM-Record ins DNS ein, prüfst sofort und siehst "not found".

DNS-Änderungen brauchen Zeit, um zu propagieren (üblicherweise 1–2 Stunden, maximal 24–48 Stunden). Prüfe später erneut.

Fehler 5: Falsches DNS-Tool nutzen#

Manche DNS-Tools (etwa einfache MX-Checker) unterstützen keine TXT-Record-Lookups. Nutze Nova Uptime, das gezielt nach DKIM-TXT-Records sucht.

---

Warum die DKIM-Erkennung von Nova Uptime besser ist als manuelles Prüfen#

Faktor	Manuelle Prüfung	Automatische Erkennung von Nova Uptime
Zeitaufwand	3–8 Stunden	2–3 Sekunden
Genauigkeit	Anfällig für Tippfehler und Missverständnisse	Prüft 50 verbreitete Selectors zuverlässig
Abdeckung	Du übersiehst womöglich seltenere Selectors	Alle großen Provider abgedeckt
False Positives	Ergebnisse leicht falsch interpretierbar	Klares Pass/Fail mit Erklärung
Laufendes Monitoring	Manuell, wann immer du willst	Quartalsweise auf Änderungen prüfen
Dokumentation	Erfordert Lesen der Provider-Docs	Klare Erklärungen in einfacher Sprache

---

Was, wenn dein DKIM-Selector nicht unter den 50 gescannten ist?#

Wenn du einen Nischen-E-Mail-Provider nutzt oder selbstgehostete E-Mail mit benutzerdefiniertem Selector hast:

1. Du kennst den Selector-Namen → Nova Uptime kann verifizieren, dass er funktioniert (nutze den Haupt-Health-Checker mit den Ergebnissen)
2. Du kennst den Selector-Namen nicht → Kontaktiere deinen Provider oder prüfe die Docs

Wenn es ein völlig unbekannter Provider ist, sollten die 50 verbreiteten Selectors ihn trotzdem erfassen (die meisten Provider nutzen einen dieser Standards).

Falls nicht:

1. DNS-Tool direkt nutzen: dig selector._domainkey.deinedomain.com TXT
2. Provider-Support kontaktieren: "Was ist mein DKIM-Selector?"
3. Sobald du es weißt, den Nova-Uptime-Health-Check erneut laufen lassen, um zu verifizieren

---

Der Business-Impact automatischer DKIM-Erkennung#

Vorher (manuelle Prüfung):

• 3 Stunden: DKIM-Selectors recherchieren und raten
• 30 Minuten: Jeden Versuch per DNS-Lookup verifizieren
• Email Health bleibt kaputt, weil das Setup zu mühsam ist
• Ergebnis: E-Mails landen wochenlang im Spam

Nachher (automatische Erkennung mit Nova Uptime):

• 2 Minuten: Health-Check mit Nova Uptime laufen lassen
• 30 Sekunden: Ergebnisse lesen und genau verstehen, was konfiguriert ist
• 5 Minuten: Provider kontaktieren oder fehlende Records anhand klarer Anleitung ergänzen
• Ergebnis: E-Mail-Probleme heute identifiziert und behoben

Auswirkung auf die Organisation:

• Schnelleres Setup der E-Mail-Authentifizierung für neue Domains
• Weniger Support-Tickets nach dem Motto "Warum bekommen wir keine E-Mails"
• Sicherheit, dass die E-Mail-Authentifizierung korrekt ist
• Quartalsweise Audits, um DNS-Änderungen oder Provider-Migrationen zu erkennen

---

DKIM pflegen: Laufende Best Practices#

Monatlich#

Nichts erforderlich. DKIM ist stabil, sobald es korrekt konfiguriert ist.

Quartalsweise#

Lass den Nova Uptime Email Health Checker laufen, um zu verifizieren:

• DKIM-Selectors weiterhin aktiv
• Keine unerwarteten neuen Selectors (Hinweis auf Fehlkonfiguration oder Angriff)

Nach Wechseln beim E-Mail-Provider#

Wenn du:

• Von SendGrid zu Mailgun wechselst
• Einen zweiten E-Mail-Service hinzufügst
• Mailserver migrierst

Lass sofort den Health-Checker laufen:

• Verifiziere, dass alte Selectors noch funktionieren (falls für den Übergang nötig)
• Bestätige, dass der neue Selector aktiv ist
• Lösche alte Selectors, sobald der Übergang abgeschlossen ist

Warnsignale, auf die du achten solltest#

Wenn ein Quartals-Check Folgendes zeigt:

• Selector verschwunden: Mögliche DNS-Fehlkonfiguration oder Provider-Problem
• Neuer unbekannter Selector: Möglicher Account-Kompromiss (jemand anderes hat einen DKIM-Schlüssel hinzugefügt)
• Mehrere unerwartete Selectors: Mögliche Reste von einem alten Provider (aufräumen)

---

Zusammenfassung: DKIM-Selectors entmystifiziert#

DKIM-Selectors sind einfach Labels für unterschiedliche Signaturschlüssel. Die Verwirrung kommt daher, dass:

• E-Mail-Provider nicht klar dokumentieren, welcher Selector zu nutzen ist
• Nutzer manuell aus 50+ Möglichkeiten raten müssen
• Selectors je nach Provider und Konfiguration variieren

Die automatische DKIM-Erkennung von Nova Uptime löst das, indem sie:

• 50 verbreitete Selectors parallel scannt
• Ergebnisse in 2–3 Sekunden liefert
• RFC-Konformität validiert
• Klare nächste Schritte aufzeigt

Statt 3–8 Stunden mit manueller Prüfung zu verbringen, bekommst du sofortige Klarheit:

• "DKIM ist konfiguriert, alles läuft" → Nichts zu tun
• "DKIM nicht gefunden" → So geht's weiter

---

Weiterführende Lektüre#

• Vollständiger Leitfaden zum Email Health Checker — Prüfe dein gesamtes E-Mail-Authentifizierungs-Setup (SPF, DKIM, DMARC und Blacklists) in einem Scan.
• DKIM erklärt: Vollständiger Leitfaden — Tiefer Einblick, wie DKIM funktioniert, Key-Rotation und Troubleshooting.
• SPF-Records einrichten — Konfiguriere SPF parallel zu DKIM für vollständige E-Mail-Autorisierung.
• DMARC-Policy-Setup-Guide — Verbinde SPF und DKIM mit DMARC-Enforcement.
• Email-Deliverability-Checkliste — Stell sicher, dass dein gesamter E-Mail-Stack auf maximale Zustellbarkeit konfiguriert ist.

---

Jetzt loslegen: Prüfe deine DKIM-Konfiguration kostenlos →