DKIM-selectordetectie uitgelegd — je DKIM-record vinden

Het DKIM-selectorprobleem waar iedereen op vastloopt#

Je hebt net e-mailauthenticatie ingesteld voor je domein. Je hebt SPF geconfigureerd (eenvoudig). Je hebt DMARC geconfigureerd (kostte een uur, maar je hebt het). Nu moet je nog DKIM toevoegen.

Je e-mailprovider zegt: "Voeg DKIM-records toe voor selector [iets]." Maar ze vertellen je niet expliciet wat die selector is. Je moet:

1. Door hun documentatie spitten (die mogelijk niet bestaat)
2. Je adminpaneel checken (waar het misschien niet wordt getoond)
3. Googlen op "Wat is mijn DKIM-selector?"
4. Handmatig veelvoorkomende selectors proberen: default, google, selector1, s1, k1, mandrill...
5. DNS controleren voor elk: default._domainkey.jouwdomein.com, google._domainkey.jouwdomein.com, enz.
6. Hopen dat je de juiste raadt voordat je opgeeft

Dit proces kost sommige gebruikers 3-8 uur. Anderen komen er nooit uit en hun DKIM blijft ongeconfigureerd.

Drie uur om één enkel DNS-record te vinden. Dit zou niet zo moeilijk moeten zijn.

Deze gids legt uit wat DKIM-selectors zijn, waarom e-mailproviders dit verwarrend maken, en hoe moderne tools zoals de DKIM-scanner van Nova Uptime je records in seconden vinden.

---

Wat is een DKIM-selector en waarom bestaat het?#

DKIM-selectors simpel uitgelegd#

Een DKIM-selector is een label dat aangeeft welke DKIM-ondertekeningssleutel gebruikt moet worden.

Zie het zo: een domein kan meerdere e-mailservices hebben, elk met een eigen ondertekeningssleutel. Met DKIM-selectors kun je meerdere sleutels tegelijk actief hebben:

default._domainkey.jouwdomein.com  → Sleutel A (jouw mailserver)
google._domainkey.jouwdomein.com   → Sleutel B (Google Workspace)
sendgrid._domainkey.jouwdomein.com → Sleutel C (SendGrid)
mailgun._domainkey.jouwdomein.com  → Sleutel D (Mailgun)

Elke service ondertekent e-mails met zijn eigen private sleutel. Ontvangende servers verifiëren elke handtekening tegen de bijbehorende publieke sleutel in DNS.

Waarom meerdere selectors?

Stel dat je van SendGrid naar Mailgun wilt migreren. Als je de SendGrid DKIM-selector meteen verwijdert, falen e-mails die onderweg zijn en met SendGrid's sleutel zijn ondertekend bij verificatie. Door beide selectors actief te houden tijdens de migratie, authenticeren zowel oude als nieuwe e-mails correct.

Hoe DKIM-selectors werken: de complete flow#

1. Je e-mailprovider genereert een sleutelpaar:

   • Private sleutel (geheim gehouden op hun server)
   • Publieke sleutel (jij publiceert in DNS)

2. Ze vertellen je de selectornaam (hopelijk duidelijk — vaak doen ze dat niet)

3. Je publiceert de publieke sleutel in DNS op selector._domainkey.jouwdomein.com

4. Wanneer je een e-mail verstuurt:

   • De server van de provider ondertekent de e-mail met de private sleutel
   • De handtekening wordt toegevoegd aan de e-mailheaders: DKIM-Signature: v=1; a=rsa-sha256; s=google; d=jouwdomein.com; bh=...
   • De e-mail wordt verzonden

5. Wanneer de ontvangende server de e-mail krijgt:

   • Haalt de selector uit de signature-header: s=google
   • Zoekt de publieke sleutel op: google._domainkey.jouwdomein.com
   • Verifieert de handtekening met die publieke sleutel
   • Als de handtekening geldig is, slaagt DKIM

Het cruciale deel: De selector in de e-mailheader (s=google) MOET overeenkomen met de selector in DNS (google._domainkey.jouwdomein.com). Zelfs één teken verschil zorgt ervoor dat de authenticatie faalt.

---

Waarom e-mailproviders dit zo verwarrend maken#

Je zou denken dat providers je gewoon duidelijk vertellen: "Je DKIM-selector is sendgrid." Meestal doen ze dat niet. Dit is waarom:

Reden 1: Verschillende selectors voor verschillende situaties#

Sommige providers gebruiken verschillende selectors afhankelijk van de configuratie:

SendGrid:

• Standaard selector: sendgrid
• Maar als je een branded sender-domein gebruikt: een willekeurig gegenereerde selector zoals s1234567890
• Gebruikers stellen één selector in, voegen later een ander verzenddomein toe en weten niet dat dat een andere selector heeft

Google Workspace:

• Selector is hardcoded: google
• Maar sommige gebruikers zien s0, s1, s2 afhankelijk van de setup-methode

Zoho Mail:

• Selector hangt af van de setup: zl1234567 (waarbij de cijfers uniek zijn per domein)
• Niet op een voor de hand liggende plek gedocumenteerd

Mailgun:

• Je kiest de selector zelf bij het aanmaken van het DKIM-record
• Standaard is k1, maar je kunt het noemen wat je wilt: mail, bounce, mijn-custom-key
• Gebruikers vergeten wat ze hebben gekozen

Reden 2: Documentatie is verborgen of verouderd#

Zoek op "SendGrid DKIM selector" en je krijgt:

• Een documentatiepagina uit 2015 (verouderde UI-screenshots)
• Een help-artikel over "branded links" in plaats van DKIM-selectors
• Forumposts uit 2018 met verschillende antwoorden
• Officiële docs die zeggen "ga naar Settings > API Keys > DKIM" (maar dat is niet waar het staat)

Reden 3: Adminpanelen tonen het niet duidelijk#

Wanneer je inlogt op het Gmail-adminpaneel en zoekt naar DKIM, zie je:

Status: Niet ingesteld
[DKIM instellen]

Klik op "DKIM instellen" en je krijgt:

DKIM is ingeschakeld voor je domein.
[DNS-records tonen]

De selector zit verstopt in het DNS-record dat ze tonen — je moet het er zelf uithalen. De meeste gebruikers doen dat niet.

Reden 4: Meerdere selectors maken het nog verwarrender#

Als je in de loop van de tijd meerdere e-mailproviders hebt gebruikt:

• Oude SendGrid-selector: sendgrid (in DNS, maar nu ongebruikt)
• Huidige Mailgun-selector: k1 (actief)
• Backup-mailbox-selector: mail (in DNS voor disaster recovery)

Gebruikers herinneren zich niet meer welke welke is. Wanneer ze een DKIM-check doen, zien ze drie selectors en denken ze dat er iets mis is.

---

Het traditionele DKIM-selectorontdekkingsproces (uren ellende)#

De handmatige methode: gokken en checken#

De meeste mensen vinden DKIM-selectors zo:

Stap 1: Lees de documentatie

• Zoek in de docs van je provider: "DKIM selector"
• Besteed 30 minuten aan lezen
• Vind één zin: "DKIM-records worden opgeslagen op s._domainkey.domein.com"
• Geen duidelijkheid over wat s eigenlijk is

Stap 2: Check je adminpaneel

• Ga naar de instellingen van je e-mailprovider
• Zoek naar "DKIM" of "DNS-records"
• Als je DNS-records vindt, maak er een screenshot van
• Probeer er de selector uit te halen

Stap 3: Probeer handmatig veelvoorkomende selectors

• Check DNS voor default._domainkey.jouwdomein.com
• Check DNS voor selector1._domainkey.jouwdomein.com
• Check DNS voor google._domainkey.jouwdomein.com
• Check DNS voor s1._domainkey.jouwdomein.com
• Check DNS voor mail._domainkey.jouwdomein.com

Stap 4: Vraag op fora

• Zoek op StackOverflow: "Hoe vind ik mijn DKIM-selector?"
• Vind tegenstrijdige antwoorden
• Besteed nog 2 uur aan elk uitproberen

Totale tijd: 3-8 uur voor wat 30 seconden zou moeten kosten.

Waarom dit handmatige proces faalt#

1. Typefouten: Je mist een selector omdat je hem verkeerd hebt gespeld
2. DNS-cache: Je ziet geen resultaten omdat de TTL niet is verlopen
3. Meerdere selectors: Je vindt selector 1 en denkt dat dat het is, en mist selector 2
4. Verkeerd domeinniveau: Je checkt _domainkey.jouwdomein.com in plaats van selector._domainkey.jouwdomein.com
5. Provider veranderde de selector: Je vindt oude documentatie die verwijst naar een verouderde selector

---

De moderne oplossing: geautomatiseerde DKIM-selectordetectie#

De Email Health Checker van Nova Uptime lost dit op met automatische DKIM-selectordetectie:

Hoe Nova Uptime DKIM-selectors detecteert#

In plaats van 50 selectors één voor één te raden, doet Nova Uptime:

1. Scant 50 veelvoorkomende selectors parallel

   • Veelvoorkomend voor grote providers: default, google, selector1, s1, k1, mandrill, dkim, mail, sendgrid, mailgun, enz.
   • Resultaten komen terug in 2-3 seconden (parallelle DNS-queries zijn veel sneller dan sequentiële)

2. Valideert RFC 6376-naleving

   • Controleert op zowel v=DKIM1 (aanbevolen maar optioneel) ALS de aanwezigheid van p= (publieke sleutel aanwezig)
   • Reden: Sommige providers (Zoho) genereren automatisch selectors zonder v=DKIM1, die nog steeds werken

3. Rapporteert of DKIM is geconfigureerd

   • Toont "Configured" als ten minste één geldige selector wordt gevonden
   • Toont "Not Found" als geen van de 50 veelvoorkomende selectors matcht

4. Voorkomt false positives

   • Controleert DNS-formattering
   • Valideert de aanwezigheid van een sleutel
   • Rapporteert alleen selectors met daadwerkelijke publieke sleutels

Resultaten: wat je ziet#

Wanneer je de Email Health Checker van Nova Uptime gebruikt:

Als DKIM wordt gevonden:

DKIM Status: Configured
Status: Valid

Als het niet wordt gevonden:

DKIM Status: Not Configured

50 veelvoorkomende selectors gescand. Geen DKIM-records gevonden.

Volgende stappen:
1. Controleer de documentatie van je e-mailprovider voor de exacte selector
2. Laat je provider DKIM-records genereren
3. Voeg records toe aan je DNS-provider
4. Voer deze check over 24 uur opnieuw uit (DNS heeft tijd nodig om te propageren)

---

De 50 selectors die Nova Uptime scant begrijpen#

Selectors van grote e-mailproviders#

Dit zijn de meest gebruikte selectors:

Google Workspace

• Selector: google
• Reden: Google gebruikt consistente naamgeving voor alle klanten

SendGrid

• Selectors: sendgrid, s1234567890 (bij branded domein)
• Reden: Standaard is sendgrid, maar custom verzenddomeinen krijgen automatisch gegenereerde selectors

Mailgun

• Selectors: k1, k2, of custom (jij kiest)
• Reden: Je configureert de selector zelf; standaarden zijn k1 en k2

Klaviyo

• Selector: mailgun-key
• Reden: Klaviyo gebruikt een Mailgun-backend

HubSpot

• Selector: hubspot
• Reden: Consistent zoals Google

Zendesk

• Selector: zendesk1, zendesk2
• Reden: Zendesk staat meerdere verzenddomeinen toe

Amazon SES

• Selector: varieert (afhankelijk van regio en setup)
• Veelvoorkomend: amazonses, of willekeurig gegenereerd

Postmark

• Selector: postmark
• Reden: Vaste naamgeving

Mandrill

• Selector: mandrill
• Reden: Vaste naamgeving

Zoho Mail

• Selector: zl1234567 (uniek per domein)
• Reden: Automatisch gegenereerde identifier

Microsoft 365 / Outlook

• Selector: selector1, selector2
• Reden: Twee standaard selectors voor sleutelrotatie

Brevo (voorheen Sendinblue)

• Selector: brevo, brevo1
• Reden: Meerdere voor sleutelrotatie

Je eigen mailserver#

Als je e-mail zelf host:

• Selector: Wat je ook hebt geconfigureerd
• Veelvoorkomend: default, mail, dkim, main, of custom namen

De volledige lijst van 50 selectors#

Nova Uptime scant deze 50 selectors:

default, google, selector1, selector2, s1, s2, k1, k2, k3, mandrill, dkim, mail, email, smtp, sendgrid, s, sig1, selector, key1, key2, zoho, protonmail, protonmail2, protonmail3, cm, turbo-smtp, amazonses, ses, mailjet, mxvault, fm1, fm2, fm3, smtpcom, postmark, mailgun, resend, brevo, hubspot, hs1, hs2, zendesk1, zendesk2, freshdesk, smtp2go, mesmtp, krs, everlytickey1, everlytickey2, mailo, mimecast, pp1, sparkpost, barracuda

Als jouw selector niet in deze lijst staat, kun je hem nog steeds verifiëren door DNS direct te checken.

---

Stap voor stap: geautomatiseerde DKIM-detectie gebruiken#

Stap 1: Ga naar de Email Health Checker#

Bezoek de Nova Uptime Email Health Checker

Stap 2: Voer je domein in#

Typ je domein in (bijv. jouwdomein.com) zonder protocol of subdomeinen.

Stap 3: Bekijk de DKIM-resultaten#

Binnen seconden zie je of DKIM is geconfigureerd voor je domein.

Stap 4: Volgende stappen op basis van resultaten#

Als gevonden: Niets nodig. Je DKIM is correct geconfigureerd. Ga door met het controleren van DMARC-alignment.

Als niet gevonden:

1. Check de documentatie van je e-mailprovider voor de exacte selectornaam
2. Neem contact op met provider-support: "Wat is de DKIM-selector voor mijn domein?"
3. Zodra je de selectornaam hebt, laat ze het DNS-record leveren
4. Voeg toe aan je DNS-provider
5. Voer de check na 24 uur opnieuw uit (DNS-propagatie)

---

Veelgemaakte DKIM-selectorfouten#

Fout 1: Het verkeerde domeinniveau controleren#

Fout:

Check: dkim._domainkey.com (jouw domein ontbreekt!)
Moet zijn: dkim._domainkey.jouwdomein.com

DKIM-records zijn specifiek voor elk domein. .com of .org checken vindt het jouwe niet.

Fout 2: Typefouten in de selectornaam#

Provider zegt: selector Jij checkt: selectors (extra 's') Resultaat: Niet gevonden, je gaat ervan uit dat DKIM niet bestaat

Nova Uptime checkt de juiste spellingen voor grote providers, waardoor dit probleem wordt vermeden.

Fout 3: Het ._domainkey-suffix vergeten

Fout:

Check DNS voor: sendgrid.jouwdomein.com
Moet zijn: sendgrid._domainkey.jouwdomein.com

DKIM-records MOETEN ._domainkey in de naam hebben. Zonder dat geven DNS-lookups niets terug.

Fout 4: Niet wachten op DNS-propagatie#

Je voegt een DKIM-record toe aan DNS, checkt het meteen en ziet "niet gevonden".

DNS-wijzigingen hebben tijd nodig om te propageren (meestal 1-2 uur, max 24-48 uur). Check later.

Fout 5: De verkeerde DNS-tool gebruiken#

Sommige DNS-tools (zoals basic MX-checkers) ondersteunen geen TXT-record-lookups. Gebruik Nova Uptime, dat specifiek controleert op DKIM TXT-records.

---

Waarom Nova Uptime's DKIM-detectie beter is dan handmatig checken#

Factor	Handmatig checken	Nova Uptime geautomatiseerde detectie
Benodigde tijd	3-8 uur	2-3 seconden
Nauwkeurigheid	Vatbaar voor typefouten en misverstanden	Checkt 50 veelvoorkomende selectors nauwkeurig
Dekking	Je zou minder bekende selectors kunnen missen	Alle grote providers gedekt
False positives	Resultaten makkelijk verkeerd te interpreteren	Heldere pass/fail met uitleg
Doorlopende monitoring	Handmatig draaien wanneer je wilt	Per kwartaal checken op wijzigingen
Documentatie	Vereist het lezen van provider-docs	Heldere, eenvoudige uitleg

---

Wat als je DKIM-selector niet bij de 50 gescande zit?#

Als je een nichae e-mailprovider of zelf-gehoste e-mail met een custom selector gebruikt:

1. Je weet de selectornaam → Nova Uptime kan verifiëren of hij werkt (gebruik de hoofd-health-checker met resultaten)
2. Je weet de selectornaam niet → Neem contact op met je provider of check hun docs

Als het een volledig onbekende provider is, zouden de 50 veelvoorkomende selectors hem nog steeds moeten oppikken (de meeste providers gebruiken een van deze standaarden).

Zo niet:

1. Check direct met een DNS-tool: dig selector._domainkey.jouwdomein.com TXT
2. Neem contact op met support van de e-mailprovider: "Wat is mijn DKIM-selector?"
3. Zodra je het weet, doe opnieuw een Nova Uptime-health-check om te verifiëren dat het klopt

---

De zakelijke impact van geautomatiseerde DKIM-detectie#

Voorheen (handmatig checken):

• 3 uur: DKIM-selectors onderzoeken en raden
• 30 minuten: Elke gok verifiëren met DNS-lookups
• E-mailgezondheid blijft kapot omdat de setup te omslachtig is
• Resultaat: E-mails gaan wekenlang naar spam

Nu (Nova Uptime geautomatiseerde detectie):

• 2 minuten: Voer een Nova Uptime health-check uit
• 30 seconden: Lees de resultaten en begrijp precies wat er is geconfigureerd
• 5 minuten: Neem contact op met de provider of voeg ontbrekende records toe op basis van heldere begeleiding
• Resultaat: E-mailproblemen vandaag geïdentificeerd en opgelost

Organisatorische impact:

• Snellere e-mailauthenticatie-setup voor nieuwe domeinen
• Minder support-tickets over "waarom krijgen we geen e-mails"
• Vertrouwen dat e-mailauthenticatie correct is
• Kwartaalaudits om DNS-wijzigingen of providermigraties op te vangen

---

DKIM onderhouden: doorlopende best practices#

Maandelijks#

Niets nodig. DKIM is stabiel zodra het correct is geconfigureerd.

Per kwartaal#

Voer de Nova Uptime Email Health Checker uit om te verifiëren:

• DKIM-selectors zijn nog actief
• Geen onverwachte selector-toevoegingen (teken van misconfiguratie of aanval)

Na wijzigingen bij e-mailproviders#

Als je:

• Overstapt van SendGrid naar Mailgun
• Een tweede e-mailservice toevoegt
• Mailservers migreert

Voer de health-checker direct uit:

• Verifieer dat oude selectors nog werken (indien nodig voor de overgang)
• Bevestig dat de nieuwe selector actief is
• Verwijder oude selectors zodra de overgang is voltooid

Rode vlaggen om op te letten#

Als een kwartaalcheck laat zien:

• Selector verdwenen: Mogelijke DNS-misconfiguratie of providerprobleem
• Nieuwe onbekende selector: Mogelijk gecompromitteerd account (iemand anders heeft een DKIM-sleutel toegevoegd)
• Meerdere selectors die niet verwacht waren: Mogelijk overgebleven van een oude provider (opruimen)

---

Samenvatting: DKIM-selectors gedemystificeerd#

DKIM-selectors zijn gewoon labels voor verschillende ondertekeningssleutels. De verwarring komt van:

• E-mailproviders die niet duidelijk documenteren welke selector te gebruiken
• Gebruikers die handmatig moeten gokken uit 50+ mogelijkheden
• Selectors die variëren per provider en configuratie

Nova Uptime's geautomatiseerde DKIM-detectie lost dit op door:

• 50 veelvoorkomende selectors parallel te scannen
• Resultaten te leveren in 2-3 seconden
• RFC-naleving te valideren
• Heldere volgende stappen te geven

In plaats van 3-8 uur handmatig te checken, krijg je directe duidelijkheid:

• "DKIM is geconfigureerd, werkt perfect" → Niets te doen
• "DKIM niet gevonden" → Hier is wat je nu moet doen

---

Verder lezen#

• Complete gids voor de Email Health Checker — Check je hele e-mailauthenticatiesetup (SPF, DKIM, DMARC en blacklists) in één scan.
• DKIM uitgelegd: complete gids — Diepe duik in hoe DKIM werkt, sleutelrotatie en troubleshooting.
• Hoe je SPF-records instelt — Configureer SPF naast DKIM voor complete e-mailautorisatie.
• DMARC-policy-setupgids — Knoop SPF en DKIM aan elkaar met DMARC-handhaving.
• E-mail-deliverability-checklist — Zorg dat je complete e-mailstack is geconfigureerd voor maximale deliverability.

---

Aan de slag: Check je DKIM-configuratie gratis →