Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel
DNS & Einträge
DNS-Abfrage Alle DNS-Einträge für jede Domain A-Eintrag-Abfrage IPv4-Adressen für eine Domain AAAA-Eintrag-Abfrage IPv6-Adressen für eine Domain MX-Abfrage Mailserver für eine Domain NS-Abfrage Autoritative Nameserver TXT-Abfrage TXT-Einträge, SPF, Verifizierung CNAME-Abfrage Kanonische Namen (Alias)-Einträge SOA-Abfrage Start-of-Authority-Eintrag SRV-Abfrage Dienst-Standort-Einträge CAA-Abfrage Welche CAs Zertifikate ausstellen dürfen Reverse DNS (PTR) IP-Adresse zu Hostname DNSSEC-Prüfung Ist die Domain signiert und validiert? DNS-Gesundheitscheck Ein vollständiger Bericht zu Delegierung & DNSE-Mail-Zustellbarkeit
SPF-Prüfung Validieren Sie Ihren Sender-Policy-Framework-Eintrag DMARC-Prüfung Untersuchen und bewerten Sie Ihre DMARC-Richtlinie DKIM-Prüfung Finden und validieren Sie Ihren öffentlichen DKIM-Schlüssel Blacklist-Prüfung Prüfen Sie eine IP gegen E-Mail-Sperrlisten (DNSBLs) SMTP-Test Mit einem Mailserver verbinden und STARTTLS prüfen MTA-STS-Prüfung Erzwungene TLS-Richtlinie für eingehende Mails BIMI-Prüfung Markenlogo-Eintrag für E-Mail TLS-RPT-Prüfung SMTP-TLS-BerichtsrichtlinieNetzwerk & Web
SSL-Zertifikat-Prüfung TLS-Zertifikat und Ablauf einer Website untersuchen HTTP-Header-Prüfung Antwort-Header, Weiterleitungen und Sicherheit untersuchen Ping (TCP) Erreichbarkeit und Latenz über TCP Port-Prüfung Welche gängigen Ports offen sindDomain
WHOIS-Abfrage Registrierungsdaten für Domains, IPs und ASNsDKIM fügt Ihren ausgehenden E-Mails eine kryptografische Signatur hinzu; Empfänger prüfen sie gegen einen öffentlichen Schlüssel, den Sie im DNS unter selector._domainkey.ihre-domain veröffentlichen. Da DNS keine Möglichkeit bietet, Selektoren aufzulisten, prüft IPeek die von Google, Microsoft, Amazon SES und anderen großen Anbietern verwendeten Selektoren.
Beim Versand signiert Ihr Anbieter ausgewählte Header und den Nachrichtentext mit einem privaten Schlüssel und fügt der Nachricht einen DKIM-Signature-Header hinzu. Der Empfänger liest die Tags d= (Domain) und s= (Selektor) aus diesem Header, ruft den passenden öffentlichen Schlüssel unter selector._domainkey.d ab und prüft die Signatur. Validiert sie, wurde der Inhalt unterwegs nicht verändert und stammt tatsächlich von einem Schlüsselinhaber dieser Domain. Der private Schlüssel bleibt auf dem sendenden Server; nur der öffentliche Schlüssel liegt im DNS.
Ein Selektor erlaubt einer Domain, mehrere DKIM-Schlüssel zu veröffentlichen – nützlich für die Rotation oder für verschiedene Versanddienste. Der öffentliche Schlüssel ist ein TXT-Record unter selector._domainkey.ihre-domain, etwa google._domainkey.example.com, der v=DKIM1; k=rsa; p=<base64-öffentlicher-Schlüssel> enthält. Da DNS kein Verzeichnis der Selektoren bietet, können Sie nicht einfach abfragen, welche eine Domain verwendet. Deshalb prüft IPeek die gängigen Selektoren von Google (google), Microsoft, Amazon SES und anderen großen Anbietern, um Ihre veröffentlichten Schlüssel zu finden.
DKIM ist die Inhalts-Authentifizierungsebene der drei. Während SPF sendende Hosts per IP autorisiert, beweist DKIM kryptografisch, dass Header und Nachrichtentext nicht manipuliert wurden, und verknüpft sie mit einer signierenden Domain. DMARC prüft anschließend, ob die signierende DKIM-Domain mit der sichtbaren From-Adresse übereinstimmt. DKIM hat einen entscheidenden Vorteil gegenüber SPF: Da die Signatur mit der Nachricht reist, übersteht sie das Weiterleiten, bei dem SPF oft bricht. Für eine starke Zustellbarkeit sollten Sie DKIM veröffentlichen und es unter DMARC ins Alignment bringen.
Ein Selektor ist eine Bezeichnung, die auf einen bestimmten öffentlichen DKIM-Schlüssel im DNS verweist, sodass eine einzelne Domain mehrere Schlüssel für Rotation oder verschiedene Versanddienste veröffentlichen kann. Er erscheint als s=-Tag im DKIM-Signature-Header und bildet einen Teil des DNS-Orts selector._domainkey.ihre-domain. Google Workspace verwendet beispielsweise häufig den Selektor google.
DKIM-Records liegen unter selector._domainkey.ihre-domain, und DNS bietet keine Möglichkeit aufzulisten, welche Selektoren eine Domain verwendet – Sie müssen den Selektor also kennen, um ihn abzufragen. Verschiedene Anbieter verwenden verschiedene Selektoren. IPeek löst dies, indem es die gängigen Selektoren von Google, Microsoft, Amazon SES und anderen großen Anbietern prüft, um Ihre veröffentlichten Schlüssel automatisch zu finden.
Ein öffentlicher DKIM-Schlüssel wird als TXT-Record im DNS unter selector._domainkey.ihre-domain veröffentlicht – zum Beispiel google._domainkey.example.com. Der Record enthält Tags wie v=DKIM1; k=rsa; p= gefolgt vom base64-codierten öffentlichen Schlüssel. Der passende private Schlüssel bleibt auf Ihrem sendenden Mailserver und wird nie veröffentlicht. Empfänger rufen den öffentlichen Schlüssel ab, um jede Signatur zu prüfen.
Ja, in den meisten Fällen. Da die DKIM-Signatur in den Nachrichten-Headern mitreist, bleibt sie nach dem Weiterleiten gültig, solange die signierten Header und der Nachrichtentext nicht verändert werden. Das ist ein großer Vorteil gegenüber SPF, das beim Weiterleiten in der Regel bricht, weil sich die sendende IP ändert. Deshalb kann DMARC bei weitergeleiteter Mail über DKIM weiterhin bestehen, wenn SPF scheitert.
SPF autorisiert, welche Hosts Mail für Ihre Domain versenden dürfen, indem es die sendende IP prüft, während DKIM jede Nachricht kryptografisch signiert, damit Empfänger verifizieren können, dass ihr Inhalt nicht verändert wurde und sie von Ihrer Domain stammt. SPF validiert den Pfad; DKIM validiert die Nachricht. Sie ergänzen sich, und DMARC verknüpft beide mit Ihrer sichtbaren From-Adresse.