Mimecast Logo
Angebot einholen

    DKIM-Selektoren: Was sie sind und wie man sie findet

    Der DKIM-Selektor identifiziert den Schlüssel, der für die Signierung von E-Mails verwendet wird. Erfahren Sie, wie Selektoren funktionieren und wie Sie diese richtig finden und verwalten können.
    Kostenlose DMARC-Testversion
    DKIM-Selektor
    Kostenlose DMARC-Testversion
    Wichtige Punkte

    Inhalt des Artikels

    • Ein DKIM-Selektor ist die Kennung im „s=“-Tag des DKIM-Signatur-Headers. Dadurch wird dem empfangenden Server mitgeteilt, welchen DNS-Eintrag er abfragen muss, um den richtigen öffentlichen Schlüssel zu erhalten.
    • Bei DKIM werden ausgehende E-Mails mit einem privaten Schlüssel signiert und die Signatur mit dem entsprechenden öffentlichen Schlüssel, der im DNS veröffentlicht ist, überprüft.
    • Um einen DKIM-Selektor zu ermitteln, überprüfen Teams in der Regel die Nachrichten-Header, sehen in den Verwaltungseinstellungen des E-Mail-Anbieters nach, nutzen einen DKIM-Checker oder werten DMARC-Überwachungsdaten aus.
    • Unternehmen verwenden häufig mehrere DKIM-Selektoren, um E-Mail-Ströme voneinander zu trennen, verschiedene Versandplattformen zu unterstützen und Schlüssel zu rotieren, ohne die Authentifizierung zu unterbrechen.
    • Sowohl die Veröffentlichung von TXT- als auch von CNAME-Einträgen kann gültiges DKIM unterstützen. Die richtige Wahl hängt von der Implementierung des Absenderanbieters ab; daher sollten Teams genau den Datensatztyp verwenden, den die Plattform vorschreibt.

    Wie funktioniert DKIM?

    DKIM, kurz für „DomainKeys Identified Mail“, fügt einer ausgehenden E-Mail eine digitale Signatur hinzu, sodass ein empfangender Server überprüfen kann, ob die Nachricht von einem autorisierten Absender stammt und nach der Signierung nicht verändert wurde. Das sendende System signiert Teile der E-Mail-Nachricht mit einem privaten Schlüssel, und die empfangende Seite sucht den passenden öffentlichen Schlüssel im DNS, um die Signatur zu validieren.

    Die Hauptkomponenten sind unkompliziert. Der private Schlüssel verbleibt bei der sendenden Plattform und wird für die DKIM-Signierung verwendet. Der öffentliche Schlüssel wird im DNS veröffentlicht, damit der empfangende Mailserver die DKIM-Authentifizierung durchführen kann. Der DKIM-Signatur-Header „ “ enthält zudem die Absenderdomain im „d=“-Tag, wodurch den Empfängern mitgeteilt wird, welche Domain die Verantwortung für die Signatur übernimmt.

    Was ist ein DKIM-Selektor?

    Ein DKIM-Selektor ist die Kennung, die auf den richtigen öffentlichen DKIM-Schlüssel verweist. Er erscheint im „s=“-Tag des DKIM-Signature-Headers „ “ und hilft dem empfangenden Server dabei, zu erkennen, welcher DNS-Eintrag abgefragt werden muss. Ohne den Selektor wüsste der Server nicht, welchen DKIM-Eintrag er zur Überprüfung verwenden soll.

    Dies trägt dazu bei, den Selektor von anderen Teilen von DKIM zu trennen. Der Selektor stimmt nicht mit der Absenderdomäne im „ “-d=Tag überein. Der Wert „d=“ bezeichnet die mit der DKIM-Signatur verknüpfte Domäne, während der Selektor angibt, welcher Schlüssel unter für diese Domäne verwendet werden soll. Gemeinsam steuern sie die DNS-Abfrage, die die DKIM-Validierung unterstützt. 

    Da sich die entsprechenden Begriffe leicht verwechseln lassen, erfahren Sie hier, wie Sie sie voneinander unterscheiden können:

    • DKIM-Schlüssel: Das kryptografische Schlüsselpaar, das zum Signieren und zur Überprüfung verwendet wird.
    • DKIM-Eintrag: Der DNS-Eintrag, über den der öffentliche Schlüssel veröffentlicht wird.
    • DKIM-Protokoll: Das übergreifende Authentifizierungsverfahren, das festlegt, wie die Signierung und die Überprüfung funktionieren.
    • DKIM-Selektor: Die Bezeichnung, die auf den richtigen öffentlichen Schlüssel verweist.

    Wie funktioniert ein DKIM-Selektor?

    Der Selektor ist Teil des DKIM-Signatur- und Verifizierungsprozesses. Jeder Schritt ist für sich genommen einfach, doch zusammen verdeutlichen sie, warum der Selektor von Bedeutung ist:

    1. Der sendende Server signiert die Nachricht

    Das Absendersystem versieht die ausgehende E-Mail mithilfe seines privaten Schlüssels mit einer DKIM-Signatur. Diese Signatur wird im E-Mail-Header unter „ “ hinzugefügt. 

    2. Der Selektor identifiziert den passenden Schlüssel

    Der DKIM-Signature-Header enthält einen „s=“-Wert. Dieser Selektor teilt den Empfängern mit, welcher öffentliche Schlüssel zu dem in der Nachricht verwendeten Signatur passt. 

    3. Der empfangende Server führt die DNS-Abfrage durch

    Der empfangende Server kombiniert den Selektor mit der Domäne im „d=“-Tag, um die DNS-Abfrage zu erstellen. In der Praxis folgt die Abfrage nach „ “ in der Regel dem Muster „selector._domainkey.domain“. 

    4. Der öffentliche Schlüssel wird zurückgegeben und zur Überprüfung verwendet

    Wenn der richtige DNS-Eintrag aufgelöst wird, ruft der empfangende Server den öffentlichen Schlüssel ab und verwendet ihn zur Validierung der DKIM-Signatur . Wenn die Signatur überprüft wird, ist die DKIM-Authentifizierung erfolgreich. 

    SPF DKIM DMARC Prüfer

    Die kostenlosen SPF-, DKIM-, BIMI- und DMARC-Checker-Tools von Mimecast bieten Sicherheits- und IT-Teams eine schnelle Möglichkeit, den Zustand einer Domain zu überprüfen und Fehlkonfigurationen zu erkennen.
    Jetzt prüfen

    Wie finden Sie einen DKIM-Selektor?

    Es gibt mehrere gängige Methoden, um einen DKIM-Selektor zu ermitteln. Einige erfolgen manuell, während andere auf Administratoreinstellungen oder Überwachungstools von basieren.

    Methode A: Überprüfen Sie den E-Mail-Header manuell

    Eine der direktesten Methoden besteht darin, den E-Mail-Header zu überprüfen und im DKIM-Signature- -Header nach dem „s=“-Wert zu suchen. Das ist das Auswahlfeld.

    Öffnen Sie die Nachricht in Gmail, wählen Sie „Original anzeigen“ und überprüfen Sie die Authentifizierungsdaten sowie die Roh-Header. Öffnen Sie in Microsoft Outlook die Eigenschaften der Nachricht oder die Internet-Header und suchen Sie nach der Zeile „DKIM-Signature“. In beiden Fällen erscheint der Selektor „ “ als Wert hinter „s=“.

    Methode B: Überprüfen Sie den E-Mail-Anbieter oder die Verwaltungskonsole

    Viele Plattformen zeigen den Selektor in ihren DKIM-Einstellungsbildschirmen an. In Google Workspace generieren Administratoren den DKIM-Schlüssel und den Selektor „ “ über die Verwaltungskonsole für die Gmail-Authentifizierung. Microsoft 365 stellt zudem Selektorinformationen bereit, wenn DKIM für benutzerdefinierte Domänen unter konfiguriert ist.

    Methode C: Verwenden Sie ein DKIM-Lookup- oder -Prüftool

    Ein DKIM-Prüfprogramm kann ebenfalls dabei helfen, den Selektor zu identifizieren oder zu validieren. Der DKIM-Eintrag-Checker von Mimecast unter fragt nach dem Selektor und dem Domainnamen und prüft anschließend, ob der Eintrag korrekt konfiguriert und im DNS sichtbar ist. Da ist dies ein nützliches Hilfsmittel zur Fehlerbehebung oder zur Überprüfung einer aktiven DKIM-Konfiguration.

    Methode D: Einsatz von DMARC-Überwachung und -Berichterstellung

    DMARC-Überwachungstools können dabei helfen, DKIM-Muster domänen- und E-Mail-stromübergreifend aufzudecken. Die aggregierte Berichterstattung ersetzt zwar nicht eine direkte DKIM-Abfrage, kann Teams jedoch dabei helfen, festzustellen, welche Absender signieren, welche Datenströme fehlschlagen und an welchen Stellen in der gesamten Umgebung verschiedene DKIM-Selektoren auftreten.

    Gängige Namenskonventionen für Selektoren

    Selektoren erscheinen in der Regel in einem Format wie „selektor._domainkey.domain“. Viele Organisationen verwenden beschreibende Namen, die sich auf den Anbieter, den Zweck oder den Rotationsplan beziehen. Gängige Selektoren können sich auf eine Plattform, eine Umgebung oder eine Sequenz beziehen, wie beispielsweise „google“, „selector1“, „selector2“, „mktg2026“ oder eine herstellerspezifische Bezeichnung. Die beste Vorgehensweise ist Konsistenz. Ein aussagekräftiger Selektorname nach dem Muster „ “ lässt sich später leichter nachverfolgen, rotieren und bei der Fehlerbehebung überprüfen.

    So konfigurieren und veröffentlichen Sie einen DKIM-Selektor

    Der Vorgang zur Veröffentlichung eines DKIM-Schlüssels ist in der Regel kurz, doch Genauigkeit ist entscheidend. Selbst kleine Fehler im Selektor oder im DNS-Eintrag „ “ können dazu führen, dass die empfangenden Server die Signatur nicht korrekt validieren können.

    Schritt 1: Wählen Sie den Selektor aus oder generieren Sie ihn

    Beginnen Sie mit einem eindeutigen Selektornamen, der mit der DKIM-Konfiguration der sendenden Plattform übereinstimmt. Einige Plattformen generieren diese für Sie. Bei anderen können Sie dies manuell festlegen.

    Schritt 2: Erstellen oder Abrufen der DKIM-Schlüsseldaten

    Erfragen Sie beim E-Mail-Anbieter den Selektor, den Datensatztyp und den DNS-Wert. Dies kann je nach Plattform einen TXT-Eintrag mit dem öffentlichen Schlüssel von oder einen CNAME-Eintrag umfassen, der auf eine andere Adresse verweist.

    Schritt 3: Erstellen Sie den DNS-Hostnamen

    Geben Sie den Hostnamen im Format „selector._domainkey.domain“ an. Dies ist die Abfrage, die der empfangende Server im Rahmen der DKIM- -Überprüfung durchführt.

    Schritt 4: Veröffentlichen Sie den DKIM-Eintrag im öffentlichen DNS

    Geben Sie den genauen Hostnamen und Wert beim DNS-Anbieter der Domain ein. In diesem Schritt sollten der Datensatztyp und die Wert en verwendet werden, die von der sendenden Plattform gefordert werden.

    Schritt 5: Aktivieren Sie die DKIM-Signatur in der Versandplattform

    Sobald der DNS-Eintrag eingerichtet ist, aktivieren Sie die DKIM-Signatur bei Ihrem E-Mail-Anbieter. Die Veröffentlichung des Datensatzes allein garantiert nicht , dass Live-Mail signiert wird.

    Schritt 6: Überprüfen Sie, ob der Selektor funktioniert

    Überprüfen Sie die DNS-Auflösung und sehen Sie sich anschließend die Live-Nachrichten an, um die Ergebnisse der DKIM-Prüfung zu bestätigen. Ein im DNS vorhandener Eintrag ist zwar nützlich, doch müssen echte E-Mails in der Praxis nach wie vor die DKIM-Validierung bestehen.

    Verwaltung von DKIM-Selektoren

    DKIM-Selektoren sind keine einmalige Einrichtungsmaßnahme. Sie sollten im Rahmen der laufenden Maßnahmen zur E-Mail-Authentifizierung überwacht werden, insbesondere in Umgebungen mit Google Workspace, Microsoft 365, Amazon SES und mehreren Drittanbietern als Absendern.

    Eine gute Dokumentation trägt dazu bei, die Verwaltung der Selektoren langfristig übersichtlich zu halten. Die Teams sollten den Namen des Selektors, die Domäne, die E-Mail-Adresse , den versendenden Dienst, die Schlüssellänge, das Veröffentlichungsdatum sowie den geplanten Zeitpunkt der Schlüsselrotation erfassen. Auch die kontinuierliche Transparenz ist von Bedeutung, und ein DMARC-Berichtstool unter kann Teams dabei helfen, fehlerhafte Quellen, Probleme mit dem Selektor sowie wiederkehrende Authentifizierungslücken in verschiedenen E-Mail-Strömen zu erkennen.

    Der Lebenszyklus eines ordnungsgemäßen DKIM-Selektors umfasst in der Regel Folgendes:

    • Planung des Selektors und der Namenskonvention
    • Veröffentlichung des Datensatzes
    • Signatur aktivieren
    • Schlüssel im Laufe der Zeit wechseln<
    • Überprüfung alter Selektoren vor deren Außerbetriebnahme

    Alte Selektoren sollten erst dann entfernt werden, wenn die Teams bestätigt haben, dass kein aktiver E-Mail-Strom mehr von ihnen abhängt. Wird ein „ “-Selektor zu früh entfernt, kann dies die DKIM-Authentifizierung für Systeme beeinträchtigen, die weiterhin mit diesem Selektor signieren.

    Warum verwenden Organisationen mehrere DKIM-Selektoren?

    Unternehmen verwenden häufig mehrere DKIM-Selektoren, da eine Domain unter Umständen mehrere Versanddienste oder E-Mail- -Ströme unterstützt. Microsoft 365, Google Workspace, Amazon SES und Plattformen von Drittanbietern können jeweils eigene Selektoren verwenden, und dasselbe kann auch für verschiedene E-Mail-Arten wie Marketing- und Transaktions-E-Mails gelten.

    Mehrere Selektoren vereinfachen zudem die Schlüsselverwaltung. Sie ermöglichen eine reibungslosere Schlüsselrotation, schrittweise Änderungen, Tests sowie den Wechsel des „ “-Anbieters, ohne die E-Mail-Authentifizierung zu unterbrechen. Die Verwendung mehrerer Selektoren ist üblich. Das eigentliche Problem ist nicht die Anzahl der Selektoren, sondern ob jeder einzelne korrekt veröffentlicht und mit dem richtigen Sendedienst verknüpft ist.

    DKIM-Signierung: TXT- vs. CNAME-Einträge

    DKIM kann über TXT-basierte oder CNAME-basierte Modelle veröffentlicht werden.

    TXT-basiertes DKIM

    Bei TXT-basiertem DKIM wird der öffentliche Schlüssel direkt im DNS der Domain als DNS-TXT-Eintrag veröffentlicht. Dies ist bei Plattformen vom Typ „ “ wie Google Workspace üblich, bei denen der Domaininhaber das DKIM-Schlüsselmaterial direkt veröffentlicht.

    CNAME-basiertes DKIM

    Bei CNAME-basiertem DKIM verweist der Selektor-Eintrag auf eine andere Domain, auf der das DKIM-Schlüsselmaterial gehostet wird. Microsoft 365 nutzt dieses Modell üblicherweise und erfordert CNAME-Einträge für DKIM bei benutzerdefinierten Domains.

    Beide Modelle unterstützen eine gültige DKIM-Authentifizierung. Die wichtigste Regel lautet, genau den vom E-Mail-Anbieter geforderten Datensatztyp und das Format einzuhalten. Teams sollten keine TXT- oder CNAME-Einträge aufgrund eigener Präferenzen erzwingen, wenn der Provider etwas anderes erwartet.

    Häufige Probleme mit DKIM-Selektoren – Fehlerbehebung bei „ & “

    Probleme im Zusammenhang mit der Spielerauswahl lassen sich in der Regel leicht lösen, sobald die Mannschaften wissen, wo sie nachsehen müssen. Zu den häufigsten Problemen zählen:

    • Nichtübereinstimmung zwischen dem Selektor im E-Mail-Header und dem im DNS veröffentlichten Selektor
    • Fehlender oder veralteter DKIM-Eintrag
    • Fehlerhafter DNS-Eintrag
    • Der Selektor wird weiterhin verwendet, obwohl die Teams davon ausgegangen waren, dass er bereits außer Betrieb genommen worden sei

    Diese Fehler können dazu führen, dass DKIM-Prüfungen fehlschlagen, zu einer fehlerhaften Konfiguration von DMARC unter beitragen und die Zustellbarkeit von E-Mails beeinträchtigen. Sie können zudem im Laufe der Zeit das Vertrauen in den Absender untergraben, wenn sich Authentifizierungsfehler in wichtigen E-Mail-Strömen wiederholt ereignen. Die praktische Lösung besteht darin, den aktuellen DKIM-Signatur-Header, den DNS-Eintrag „ “ und die DKIM-Konfiguration der Absenderplattform nebeneinander zu vergleichen, bevor Änderungen vorgenommen werden.

    Sicherstellen, dass die DKIM-Überprüfung in die richtige Richtung weist

    DKIM-Selektoren spielen eine einfache, aber wichtige Rolle bei der E-Mail-Authentifizierung. Sie helfen den empfangenden Servern dabei, den richtigen öffentlichen Schlüssel von für die DKIM-Überprüfung zu finden, wodurch sichergestellt wird, dass die Signaturprüfung mit dem richtigen DNS-Eintrag und der richtigen Domain verknüpft bleibt.

    Für Unternehmen, die komplexe E-Mail-Versandumgebungen verwalten, kann Mimecast dazu beitragen, den Überblick über „“ sowie DKIM, SPF und DMARC domänen-, Anbieter- und E-Mail-Strom-übergreifend zu verbessern. Tools wie der DKIM Record Checker und der DMARC Analyzer sind besonders nützlich , um Probleme mit Selektoren, Signaturlücken und allgemeinere Authentifizierungsprobleme aufzudecken.

    Mimecast DMARC Analyzer erkunden

    Weiterführende Ressourcen zum Thema DKIM-Selektor

    Resources_48.jpg
    Email & Collaboration Threat Protection

    Get More from Microsoft 365 with Mimecast

    Infografik
    Resources_20.jpg
    Email & Collaboration Threat Protection

    Email Security: API-Based Proof of Value

    Datenblatt
    Resources_16.jpg
    Email & Collaboration Threat Protection

    E-Mail-Sicherheit, API-basierter Schutz

    Datenblatt
    Zurück zum Anfang