Die besten DKIM-Checker-Tools zur E-Mail-Authentifizierung im Jahr 2026

Dieser Leitfaden gibt Ihnen klare Empfehlungen zu den besten Anbietern zur Überprüfung Ihrer DKIM-Konfiguration. Durch den Einsatz der richtigen Tools können Organisationen ihre Domain vor Spoofing, Phishing und Zustellungsproblemen schützen.

DKIM (DomainKeys Identified Mail) ist das E-Mail-Authentifizierungsprotokoll, das beweist, dass Ihre Nachrichten auf dem Transportweg nicht manipuliert wurden. Es verwendet kryptografische Signaturen, um zu überprüfen, dass eine E-Mail tatsächlich von Ihrer Domain stammt und unversehrt angekommen ist. Wenn DKIM nicht funktioniert, passieren zwei Dinge: Ihre legitimen E-Mails landen im Spam, und Angreifer haben leichteres Spiel, Ihre Marke zu imitieren.

Das Problem? Die meisten Unternehmen richten DKIM einmal ein und vergessen es danach. Schlüssel werden veraltet. Selektoren sind nach Plattform-Migrationen falsch konfiguriert. Drittanbieter versenden mit schwachen 1024-Bit-Schlüsseln, die schon 2018 in RFC 8301 als unsicher eingestuft wurden [1]. Und weil DKIM-Fehler für Endnutzer nicht sichtbar sind (die Validierung findet auf Serverebene statt), merken Teams erst etwas, wenn die Zustellrate sinkt – oder ein Phishing-Vorfall zur Untersuchung zwingt.

Die Zahlen zeigen das Problem: Im Februar 2026 hatten von 5,5 Millionen analysierten Domains nur 14,7 % sowohl SPF, DKIM als auch DMARC zusammen implementiert [2]. Das heißt, die große Mehrheit agiert bei mindestens einem Protokoll blind. Google, Yahoo und Microsoft verlangen mittlerweile SPF, DKIM und DMARC für Massenversender; nicht-konforme E-Mails werden ausgebremst, als Spam markiert oder komplett blockiert [3].

Ein guter DKIM-Checker hilft, Fehlkonfigurationen zu entdecken, bevor sie Probleme verursachen. Dieser Leitfaden vergleicht neun DKIM-Checker-Tools und bewertet, wie gut sie Probleme aufdecken, Klarheit schaffen und bei der Behebung helfen.

Bevor Sie sich für ein Tool entscheiden, sollten Sie wissen, was einen praktischen DKIM-Checker von einem unterscheidet, der nur „Eintrag gefunden“ anzeigt und Sie mit dem Rest allein lässt.

• Dynamische vs. statische Prüfung: Statische Tools fragen Ihren DKIM-Eintrag im DNS ab und validieren die Syntax. Dynamische Tools senden oder empfangen eine echte E-Mail und prüfen, ob DKIM tatsächlich end-to-end funktioniert – inklusive Signaturabgleich mit Ihrer DMARC-Richtlinie. Dynamische Checks finden Probleme, die statische Abfragen komplett übersehen.
• Automatische Selektor-Erkennung: DKIM-Einträge sind an Selektoren gebunden, und jeder Versanddienst verwendet eigene (Google: „google“, Microsoft: „selector1“ & „selector2“, SendGrid: „s1“ & „s2“). Muss man den Selektor vorab wissen, macht man bereits die halbe Arbeit manuell. Die besten Tools scannen nach gängigen Selektoren oder finden sie per Live-E-Mail-Test.
• Prüfung der Schlüssellänge: RFC 8301 verlangt von Prüfern, RSA-Schlüssel unter 1024 Bit abzulehnen und empfiehlt mindestens 2048 Bit für Signierer [1]. Ein Checker, der die Schlüssellänge prüft, zeigt, ob Ihre Kryptografie wirklich sicher oder nur formal existent ist.
• Muli-Protokoll-Abdeckung: DKIM arbeitet nicht isoliert. Es ergänzt SPF und DMARC, und deren Zusammenspiel entscheidet über den Schutz Ihrer Domain. Tools, die neben DKIM auch SPF, DMARC, BIMI und MTA-STS prüfen, liefern Ihnen das Gesamtbild in einem Schritt.
• Handlungsorientierte Ergebnisse: Zu wissen, dass Ihr DKIM-Eintrag ein Problem hat, ist der erste Schritt. Zu wissen, was genau falsch ist und wie man es behebt, ist entscheidend. Der Abstand zwischen „DKIM-Fehler“ und „Ihr Selektor verwendet einen zurückgezogenen p=-Tag, so generieren Sie einen neuen“ entscheidet, ob ein Checker Sie weiterbringt oder nicht.
• Keine Registrierungshürde: Die besten kostenlosen Tools sind sofort nutzbar. Wer Firmen-Mail, Telefonnummer und Unternehmensgröße will, betreibt Leadgenerierung in Checker-Verkleidung.

Am besten geeignet für: Vollständiges E-Mail-Authentifizierungs-Audit mit konkreten Lösungsschritten

Red Sift Investigate verfolgt beim DKIM-Checking einen grundsätzlich anderen Ansatz. Statt eines statischen DNS-Lookups führt das Tool einen dynamischen Echtzeittest durch, indem Sie eine E-Mail an eine individuelle Inbox senden. Dadurch wird die tatsächliche Versand-Infrastruktur überprüft – und nicht nur, was im DNS steht.

Schlüsselfunktionen:

• Dynamischer E-Mail-Test: Validiert DKIM end-to-end, nicht nur den DNS-Eintrag
• Prüft in einem Rutsch DKIM zusammen mit SPF, DMARC, BIMI, MTA-STS, TLS und FCrDNS
• Gibt für jedes gefundene Problem konkrete Lösungsschritte statt nur Pass/Fail
• Kostenlose Web-Version ohne Registrierung
• Testet gezielt auf Konformität mit Google/Yahoo/Microsoft-Massenversandregeln
• Direkte Anbindung an Red Sift OnDMARC für kontinuierliche Überwachung und Steuerung

Statische DKIM-Checker zeigen nur, ob ein Eintrag existiert und die Syntax stimmt. Sie verraten nicht, ob die E-Mails wirklich korrekt von Ihrem Versandanbieter signiert werden – das hängt nämlich von der Plattform-Konfiguration ab, nicht vom DNS.

Investigate löst genau dieses Problem: Der Test analysiert die DKIM-Signatur in den E-Mail-Headern, prüft, ob die signierende Domain für DMARC zum From:-Absender passt, und validiert die ganze Authentifizierungskette. Ist beim Versanddienst (häufig bei parallelem Einsatz von Marketo, Salesforce oder HubSpot) etwas falsch konfiguriert, erkennt Investigate das.

Der besondere Mehrwert liegt in der konkreten Schritt-für-Schritt-Anleitung zur Fehlerbehebung. Andere Tools zeigen ein rotes X bei „DKIM“ und lassen Sie damit allein. Investigate erklärt das Problem klar und beschreibt das genaue Vorgehen. Das verkürzt gerade bei DMARC-Einführung die Fehlersuche maßgeblich. Ohne ein Tool wie dieses wartet man sonst häufig bis zu 24 Stunden, bis ein DMARC-Aggregatbericht zurückgibt, ob die DNS-Änderung gegriffen hat [4].

Red Sift-Kunden, die die komplette OnDMARC-Plattform nutzen, erreichen typischerweise DMARC Enforcement (p=reject) innerhalb von 6-8 Wochen [4] – auch, weil Investigate sofort Feedback zu Konfigurationsänderungen liefert. So vermeidet man monatelange Schleifen aus Änderung–Warten–Kontrollieren.

Preise: Investigate ist kostenlos und ohne Registrierung. OnDMARC-Tarife starten mit 14-Tage-Test für Organsationen mit Bedarf an fortlaufendem Monitoring, automatisierter DKIM-Verwaltung und管理 und sicherem Regelbetrieb.

Einsatzempfehlung: Unternehmen, die ihre E-Mail-Authentifizierung ganzheitlich verstehen möchten und nicht nur wissen wollen, ob ein DKIM-Record existiert. Besonders wertvoll bei DMARC-Projekten, Plattform-Wechseln sowie Troubleshooting von Zustellproblemen bei mehreren Versanddiensten.

Am besten geeignet für: Schnelle DKIM-Eintragsprüfung, wenn der Selektor bereits bekannt ist

MXToolbox ist eines der im Internet am häufigsten verwendeten DNS-Diagnosetools. Der DKIM-Checker ist unkompliziert: Domain und Selektor eingeben, Eintrag und Basis-Validierung erhalten.

Schlüsselfunktionen:

• Einfache Eingabe: Domain:Selektor (z. B. example.com:google)
• Anzeige des rohen DKIM-Eintrags mit Tag-für-Tag-Aufschlüsselung
• Markiert fehlende oder fehlerhafte Einträge
• Teil eines breiteren DNS- und E-Mail-Toolsets
• Alternative Host/Name-Eingabe (selector._domainkey.domain.com)
• Gut dokumentiert, inkl. Guides zur Selektorfeststellung

MXToolbox genießt durch breite Anwendung hohes Vertrauen. Wer nach „DKIM-Check“ googelt, findet es sofort – zu Recht: Die Oberfläche ist übersichtlich, die Ergebnisse schnell, und es macht genau, was es soll.

Allerdings ist es ein statisches Lookup-Tool. Es fragt das DNS für den angegebenen Selektor ab und zeigt den Eintrag. Es erkennt keine Selektoren automatisch, prüft die Schlüssellänge höchstens formal und sagt nichts darüber, ob Mails wirklich signiert werden. Man muss seinen Selektor vorher kennen – per E-Mail-Header oder Service-Provider-Dokumentation.

Für den schnellen Check, wenn man weiß, wonach man sucht, ist MXToolbox zuverlässig. Um DKIM-Probleme bei mehreren Versanddiensten oder die gesamte Authentifizierungslage zu analysieren, braucht man umfassendere Tools.

Einschränkungen: Keine automatische Selektorerkennung. Keine Schlüssellängenprüfung. Keine Multi-Protokoll-Prüfung (SPF/DMARC eigene Tools). Keine Lösungsvorschläge.

Preise: Frei für Basisabfragen. Kostenpflichtige Pläne für Monitoring und Alarme.

Einsatzempfehlung: IT-Administratoren, die nach einer Änderung schnell im DNS kontrollieren wollen, ob ein bestimmter DKIM-Eintrag vorhanden ist.

Am besten geeignet für: Administratoren von Google Workspace, die den Domain-Gesundheitszustand prüfen wollen

Das hauseigene Werkzeug von Google zur Prüfung von MX-, SPF-, DKIM-, DMARC- und MTA-STS-Einträgen ist speziell für Google Workspace-Umgebungen gemacht. Es bietet eine gebündelte Übersicht der E-Mail-Konfiguration Ihrer Domain.

Schlüsselfunktionen:

• Prüft DKIM, MX, SPF, DMARC und MTA-STS in einem einzigen Scan
• Optimiert für Google Workspace-Umgebungen
• Eigenes „Messageheader“-Tool zur Analyse einzelner E-Mail-Header
• Ebenfalls enthalten: „Dig“-Tool für rohe DNS-Abfragen
• Kostenfrei und ohne Registrierung
• Kontrolliert, ob alle Nameserver konsistente DKIM-Einträge ausgeben

Für Google-Workspace-Kunden ist dieses Tool maßgeschneidert. Es überprüft standardmäßig den „google“-Selektor und greift typische Google-spezifische DKIM-Fehler auf, z. B. split TXT-Records oder Probleme mit 2048-Bit-Schlüsseln, die wegen der 255-Zeichen-Grenze fragmentiert werden.

Das „Messageheader“-Analysewerkzeug ist ein praktischer Zusatz: Kopieren Sie Header einer empfangenen Mail, bekommen Sie eine Klartext-Auswertung, ob DKIM bestanden/gefallen ist – hilfreich beim Troubleshooting einzelner Nachrichten.

Die Limitierung: Es ist stark auf Google Workspace ausgerichtet. Bei mehreren Versandplattformen (normal) müssen Sie DKIM für jeden Dienst separat prüfen. Außerdem ist für andere Selektoren die manuelle Eingabe notwendig.

Einschränkungen: Fokus auf Google Workspace. Manueller Selektor für Nicht-Google-Mail. Keine Schlüssellängenvalidierung. Keine Handlungsanleitung. Eingeschränkter Nutzen bei Multi-Vendor-Setups.

Preise: Kostenlos.

Einsatzempfehlung: Google-Workspace-Admins, die DKIM für den Google-Mailfluss ihrer Domain prüfen wollen.

Am besten geeignet für: Selektorerkennung über gespeicherte Aggregatberichtsdaten

EasyDMARCs DKIM-Checker speichert DKIM-Keys, die in DMARC-Aggregatberichten entdeckt wurden. Dadurch kann das Tool Selektoren häufig ohne manuelle Suche automatisch erkennen. Für Organisationen, die ihre DMARC-Berichte bereits an EasyDMARC senden, macht das den Prozess deutlich schneller.

Schlüsselfunktionen:

• Automatische Selektorerkennung aus Berichtsdaten
• Dashboard-Benachrichtigungen bei Selektorproblemen
• Validiert Syntax und zeigt Tag-Werte
• Teil einer breiteren Suite (SPF, DMARC, BIMI separat)
• Domain Scanner prüft SPF, DKIM, DMARC und BIMI gemeinsam
• Einbettbares Widget für Webintegration

Die automatische Selektorerkennung ist das Highlight. Statistische DKIM-Checker verlangen meist, dass man den Selektor bereits kennt – EasyDMARC nutzt aggregierte Daten und spart diesen Schritt für bestehende Monitoring-Kunden.

Auch der Domain Scanner ist praktisch: Er prüft SPF, DKIM, DMARC, BIMI gemeinsam und liefert einen kombinierten Health Score. Nicht ganz so umfassend wie ein dynamischer Test (da DNS-only), aber schneller als vier einzelne Tools.

Die Haupteinschränkung ist wie bei anderen statischen Checkern: Im DNS prüfen ja, aber keine Verifikation der tatsächlichen Signierung der E-Mails. DKIM-Prüfungen neben TLS, MTA-STS oder FCrDNS wie bei Red Sift Investigate bietet das Tool nicht.

Einschränkungen: Nur DNS-Check. Automatische Selektorerkennung nur, wenn vorhandene Absenderdaten analysiert wurden. Keine komplette End-to-End-Prüfung. Protokollprüfungen nicht konsolidiert. Kein TLS-, MTA-STS- oder FCrDNS-Check.

Preise: Kostenloser DKIM-Lookup. Bezahlte Abos für laufende Überwachung und Richtliniendurchsetzung.

Einsatzempfehlung: Teams, die EasyDMARC bereits für DMARC-Monitoring nutzen und schnelle DKIM-Lookups mit auto-detektierten Selektoren wollen.

Am besten geeignet für: Schnelle DKIM-Prüfung mit automatischer Selektorerkennung

Valimails DKIM-Checker ist ein einfaches, aber schickes Tool (keine Registrierung), das DKIM-Einträge validiert und für gängige Konfigurationen automatisch Selektoren erkennt. Es liefert strukturierte Ergebnisse – sieht der Eintrag korrekt aus, stimmt die Syntax, ist der Public Key gültig?

Schlüsselfunktionen:

• Automatische Erkennung gängiger Selektoren
• Formatvalidierung des Public Key
• Syntaxfehler-Erkennung mit spezifischen Hinweisen
• Kein Benutzerkonto erforderlich
• Klar formulierte Plausibilitäts-Checks
• Nutzbar für beliebige Domains (nicht nur für Valimail-Kunden)

Die Nutzererfahrung ist rund: Ergebnisse erscheinen in Klartext statt DNS-Rohdaten – auch für Menschen ohne DNS-Vorkenntnisse verständlich. Die automatische Selektorsuche ist hilfreich, wenn man die Header nicht parat hat.

Valimail bietet zudem einen Domain Checker, der DMARC-, SPF- und BIMI-Status für jede Domain prüft. Das ist nützlich für einen schnellen Gesamtüberblick – allerdings domänenbezogen, keine Einzelsenderdiagnose.

Das kostenlose Monitoring (Valimail Monitor) sticht hervor: Man bekommt DMARC-Aggregatberichte mit Absenderidentifikation – weitergehend als gewöhnliche Gratis-DKIM-Checker. Der DKIM-Checker selbst ist jedoch ein statisches Lookup – mit denselben Grundbeschränkungen.

Einschränkungen: Nur DNS-Lookup. Keine End-to-End-Prüfung. Domain Checker prüft DKIM nicht (separates Tool). Keine MTA-STS/TLS/FCrDNS-Prüfung. Keine konkreten Lösungsvorschläge.

Preise: Kostenloses Checker-Tool. Valimail Monitor gratis für einfaches DMARC-Monitoring. Bezahlte Varianten für Enforcement und Automation.

Einsatzempfehlung: Schnelle DKIM-Prüfung in moderner Oberfläche, besonders für Teams, die neben dem Domain Checker den DKIM-Status beurteilen möchten.

Am besten geeignet für: DKIM-Prüfung mit automatischer Selektorerkennung und Fehlererklärung

PowerDMARCs DKIM-Checker verbindet automatische Selektorerkennung mit ausführlichen Erklärungen zu allen Ergebnisarten. Das Tool schildert verständlich, was „gültig“, „ungültig“, „fehlt“, „Selektor nicht gefunden“ oder „Key mismatch“ konkret bedeuten.

Schlüsselfunktionen:

• Findet Selektoren automatisch, wenn das Feld leer bleibt
• Detaillierte Fehlererklärungen für jede Resultat-Kategorie
• Zeigt alle Tags und Werte der DKIM-Records
• Teil einer Suite mit SPF, DMARC, BIMI, MTA-STS und DKIM-Generatoren
• Hilfestellung zur manuellen DKIM-Prüfung direkt an den Headern
• Verweist auf Tools zum Generieren neuer Records bei Fehlerfällen

PowerDMARC punktet mit den erläuternden Zusatzinformationen. Wer bei DKIM noch nicht sehr erfahren ist, bekommt nicht nur „ungültiger Eintrag“, sondern immer eine Ursache, Erklärung und einen allgemeinen Handlungsvorschlag dazu.

Die automatische Selektorsuche funktioniert ähnlich wie bei EasyDMARC: Lässt man das Feld leer, versucht das System, alle zu finden. Die Suite ist außerdem umfassend und deckt Generatoren für praktisch jedes Authentifizierungsprotokoll ab.

Allerdings handelt es sich um eine DNS-Abfrage. Kein Checker prüft hier, ob wirklich korrekt signiert wird. Die Darstellung ist stellenweise weniger aufgeräumt und enthält Werbung sowie Produktverweise.

Einschränkungen: Nur DNS-Lookup. Keine End-to-End-Prüfung. Einzelchecks für jedes Protokoll. Teilweise voll mit Promo-Inhalten. Keine TLS/FCrDNS-Prüfung. Lösungsvorschläge sind allgemein gehalten.

Preise: Kostenloser DKIM-Checker. Bezahlte Tarife für Monitoring, Richtliniendurchsetzung und automatisierte Keyverwaltung.

Einsatzempfehlung: Teams, die neben der Diagnose direkt zu den DKIM-Hintergründen und Erklärungen informiert werden möchten, insbesondere beim Einstieg in E-Mail-Authentifizierung.

Am besten geeignet für: Schlanke Syntax-Prüfung von DKIM inkl. Generator-Tools

Sendmarc bietet einen klar fokussierten DKIM-Checker für statische Lookups. Selektor und Domain eingeben, Eintrag und Syntax werden geprüft – und das sehr aufgeräumt und ohne Werbe-Overload wie bei manchem Mitbewerber.

Schlüsselfunktionen:

• Intuitive Oberfläche mit Selektor- und Domaineingabe
• Prüft Syntax und Tag-Formatierung
• Findet fehlende/vollständige Einträge, Syntaxfehler, Key-Mismatch
• Generator, um bei Fehlern sofort neue DKIM-Einträge zu erstellen
• Headeranalyse-Tool für Signaturcheck in echten E-Mails
• Teil einer breiteren Plattform mit DKIM-Management

Die Verbindung von Checker und Generator ist praxisnah: Findet das Tool ein Problem, erstellen Sie direkt einen neuen Record mit dem Generator-Tool. Die Headeranalyse ergänzt das um die Möglichkeit, echte E-Mail-Header einzupflegen und so der dynamischen Prüfung näher zu kommen (wenn auch manuell).

Sendmarc positioniert die Tools als Teil einer Plattform, die DKIM zusammen mit SPF und DMARC verwaltet. Die Gratis-Tools dienen dem Einstieg. Die Bedienoberfläche ist klar sortiert und ohne übertriebenes Marketing in den Ergebnissen.

Die Haupteinschränkung: Keine automatische Selektorerkennung. Man muss den Selektor kennen, wie bei MXToolbox. Multi-Protokoll-Prüfung in einem Schritt gibt es nicht.

Einschränkungen: Nur DNS-Lookup. Manueller Selektor erforderlich. Kein Multi-Protokoll-Check. Keine dynamische E-Mail-Prüfung. Generelle Handlungsempfehlungen.

Preise: Kostenlose DKIM-Prüfung und -Generator. Plattform-Angebote für kontinuierliches Management.

Einsatzempfehlung: Teams, die schnelles, übersichtliches DKIM-Checking ohne Schnörkel und bei Bedarf sofort einen neuen Record erstellen wollen.

Am besten geeignet für: Einfache Syntax-Prüfung von DKIM-Records

DMARCLY bietet ein schnörkelloses DNS-Lookup für DKIM: Domain und Selektor eingeben, Eintrag auslesen, Pass/Fail-Anzeige für die Syntax erhalten.

Schlüsselfunktionen:

• Klares Interface für DKIM-Checks
• Anzeige der Gültigkeit (grün/rot)
• Öffentlicher Key und Tags auf einen Blick
• Teil eines Gesamtangebots für E-Mail-Authentifizierung
• Lehrinhalte zu Selektoren und DKIM-Einträgen
• Verlinkung zu Schritt-für-Schritt-Anleitungen

DMARCLY steht für Pragmatismus: Einmal prüfen, ob ein DKIM-Record existiert und die Syntax korrekt ist – fertig. Die Lehrinhalte helfen Teams, die neu im Thema E-Mail-Authentifizierung sind.

Die Tools sind Teil des größeren DMARCLY-Angebots, das SPF, DKIM, DMARC und BIMI separat prüft. Jedes Tool konzentriert sich klar auf eine Sache.

Einschränkungen: Nur DNS-Check. Selektor muss manuell eingegeben werden. Keine Key-Längen-Prüfung über Syntax hinaus. Kein Multi-Protokoll-Check in einem Schritt. Keine Handlungsanleitung. Keine Auto-Detektion der Selektoren.

Preise: Kostenlos für einzelne Checks. DMARCLY-Plattform tarifpflichtig für Monitoring.

Einsatzempfehlung: Schnelle Bestätigung, dass ein DKIM-Eintrag am gewählten Selektor existiert und korrekt ist.

Welches Tool das richtige ist, hängt von der Aufgabe ab. Hier ein Schema, das zu Ihrem Szenario das passende Werkzeug empfiehlt:

Starten Sie mit einem dynamischen Checker. Statische DNS-Lookups zeigen nur, dass ein Eintrag existiert. Ob Mails wirklich signiert werden, erfahren Sie erst durch Red Sift Investigate, das ganzen Authentifizierungsweg (inklusive DKIM/DMARC-Alignment) in einem Test überprüft.

Checken Sie alle Selektoren auf Schlüssellänge. Tools wie PowerDMARC, EasyDMARC oder Valimail melden alles unter 2048 Bit. Besonders für Domains ohne regelmäßige Key-Rotation ist das der schnellste Weg, Schwachstellen zu finden. Für das vollständige Audit inklusive SPF, DMARC, BIMI, MTA-STS und TLS liefert Red Sift Investigate den Komplettcheck.

DKIM ist entscheidend für DMARC-Alignment. Sie brauchen ein Tool, das DKIM im Gesamtpaket prüft – nicht isoliert. Red Sift Investigate prüft alle Authentifizierungsprotokolle gemeinsam und zeigt konkrete Lösungsvorschläge. Für die laufende Überwachung im DMARC-Projekt liefert Red Sift OnDMARC fortlaufende Sichtbarkeit über alle Domains und Versandplattformen hinweg.

MXToolbox ist am schnellsten, wenn Domain und Selektor klar sind. Für Google-Workspace-Prüfungen nutzen Sie am besten die Google Admin Toolbox. EasyDMARC und PowerDMARC sind Alternativen, wenn Sie automatische Selektorerkennung ohne dynamischen Test möchten. Sie eignen sich alle zum schnellen Nachweis, dass ein Record vorhanden ist.

Wieso passiert das? Teams veröffentlichen einen DKIM-Eintrag im DNS und gehen davon aus, dass alles funktioniert. Sie nutzen ein statisches Lookup-Tool, sehen „Eintrag gefunden“ und machen weiter.

Die Auswirkung: Der DNS-Eintrag kann vollkommen gültig sein, während der Versanddienst gar nicht so konfiguriert ist, dass E-Mails signiert werden. DKIM schlägt stillschweigend fehl, und Sie merken es erst, wenn DMARC-Berichte eintreffen (bis zu 24 Stunden später) oder die Zustellbarkeit nachlässt.

Wie Sie das vermeiden: Verwenden Sie einen dynamischen Prüfer wie Red Sift Investigate, der den tatsächlichen E-Mail-Fluss prüft und nicht nur den DNS-Eintrag. Senden Sie eine Testmail von jedem Ihrer Versanddienste, um zu überprüfen, dass die Signierung wirklich von Anfang bis Ende funktioniert.

Wieso passiert das? Viele E-Mail-Dienste haben jahrelang standardmäßig 1024-Bit-Schlüssel genutzt. Wenn DKIM vor 2020 eingerichtet wurde, ist es sehr wahrscheinlich, dass einige Selektoren immer noch veraltete Schlüssellängen verwenden.

Die Auswirkung: RFC 8301 deklariert SHA-1 als veraltet und verlangt von Prüfern, dass sie Schlüssel unter 1024 Bit ablehnen [1]. Zwar werden 1024-Bit-Schlüssel heute noch technisch von den meisten Empfängern akzeptiert, sie sind jedoch an der Grenze dessen, was mit ausreichend Rechenleistung geknackt werden kann. M3AAWG empfiehlt mindestens 2048-Bit sowie eine regelmäßige Rotation alle 6–12 Monate [5].

Wie Sie das vermeiden: Führen Sie eine Prüfung der Schlüsselstärke mit einem der Tools durch, die die Bitlänge validieren (EasyDMARC, PowerDMARC, Valimail oder Sendmarc prüfen dies alle). Ersetzen Sie alle 1024-Bit-Schlüssel durch 2048-Bit-Schlüssel. Setzen Sie einen festen Rotationsplan auf und halten Sie sich daran.

Wieso passiert das? Organisationen prüfen DKIM für ihre primäre E-Mail-Plattform, vergessen aber Marketing-Automation, CRM-Systeme, Helpdesk-Software und andere Dienste, die in ihrem Namen E-Mails versenden.

Die Auswirkung: Diese Dienste signieren womöglich gar nicht mit DKIM oder verwenden eine andere Domain, die nicht zu Ihrer DMARC-Richtlinie passt. Wenn Sie DMARC-Erzwingung einführen (p=quarantine oder p=reject), werden diese E-Mails blockiert.

Wie Sie das vermeiden: Erfassen Sie alle Dienste, die E-Mails von Ihrer Domain versenden. Testen Sie DKIM für jeden einzelnen davon. Red Sift OnDMARC automatisiert diese Erkennung, indem DMARC-Gesamtberichte analysiert werden, um jede Versandquelle sowie deren DKIM-Status sichtbar zu machen.

Wieso passiert das? DNS-Änderungen können eine Weile zur Verbreitung benötigen, und Teams machen manchmal schon mit der nächsten Aufgabe weiter, bevor sie bestätigen, dass die Änderung live und korrekt ist.

Die Auswirkung: Tippfehler in DKIM-Einträgen, unvollständige Schlüsselwerte (insbesondere bei 2048-Bit-Schlüsseln, die oft über mehrere DNS-Strings verteilt werden müssen) und falsche Selektornamen führen alle dazu, dass DKIM fehlschlägt.

Wie Sie das vermeiden: Testen Sie jede DKIM-Änderung sofort nach Durchführung. Red Sift Investigate bietet sofortige Verifikation durch einen dynamischen E-Mail-Test, sodass Sie nicht 24 Stunden auf einen DMARC-Bericht warten müssen, um zu sehen, ob Ihre Änderung funktioniert hat.

Ein DKIM-Prüfer ist nur so nützlich wie die Maßnahmen, die er Ihnen ermöglicht. Kostenlose statische Lookup-Tools von EasyDMARC, PowerDMARC, Valimail, Sendmarc und anderen eignen sich für schnelle Stichproben, sie sagen Ihnen aber nur, ob ein Eintrag im DNS vorhanden ist. Sie können weder feststellen, ob Ihre E-Mails wirklich signiert werden, noch, ob Ihre Authentifizierung für DMARC ausgerichtet ist oder was zu tun ist, wenn es Probleme gibt.

Für Unternehmen, die E-Mail-Authentifizierung ernst nehmen, spart der Unterschied zwischen einem einfachen Lookup und einem umfassenden Diagnose-Tool viele Stunden Fehlersuche und verhindert Zustellprobleme, bevor sie Ihr Geschäft beeinträchtigen.

Red Sift Investigate bietet Ihnen das vollständigste Bild Ihrer DKIM-Konfiguration in weniger als 30 Sekunden mit konkreten Hinweisen, was zu beheben ist. Es ist kostenlos, erfordert keine Registrierung und testet Ihren tatsächlichen E-Mail-Fluss statt nur den DNS-Eintrag. Und wenn Sie bereit sind, von periodischer Kontrolle auf kontinuierliche Überwachung und Erzwingung zu wechseln, setzt Red Sift OnDMARC dort an, wo Investigate aufhört, und hilft Ihnen, in 6–8 Wochen vollständige DMARC-Erzwingung zu erreichen.

Führen Sie einen kostenlosen Check mit Red Sift Investigate durch, um zu sehen, wie es um Ihr DKIM heute steht.

[1] RFC 8301 – Cryptographic Algorithm and Key Usage Update to DomainKeys Identified Mail (DKIM) 

[2] Wie DKIM, DMARC, SPF die Zustellbarkeit erhöhen 

[3] Wie sich Anforderungen an E-Mail-Authentifizierung 2026 auf Geschäftskommunikation auswirken [4] OnDMARC Investigate-Funktion 

[5] M3AAWG DKIM Key Rotation Best Common Practices

Ein DKIM-Prüfer überprüft, ob Ihre Domain einen korrekt konfigurierten DKIM-Eintrag besitzt. Statische Prüfer fragen das DNS nach dem öffentlichen Schlüssel eines bestimmten Selektors ab. Dynamische Prüfer gehen einen Schritt weiter, indem sie eine echte E-Mail analysieren, um sicherzustellen, dass Nachrichten korrekt signiert werden und die Signatur vom empfangenden Server verifiziert werden kann.

Es kommt auf das Tool an. Die meisten statischen Prüfer (MXToolbox, Sendmarc, DMARCLY, DNSChecker.org) erfordern die Eingabe eines Selektors. Einige Tools wie EasyDMARC, PowerDMARC und Valimail können Selektoren automatisch erkennen. Dynamische Prüfer wie Red Sift Investigate erkennen den Selektor aus den tatsächlichen E-Mail-Headern, sodass Sie ihn vorher nicht kennen müssen.

Eine statische Prüfung fragt das DNS nach einem DKIM-Eintrag ab und validiert dessen Syntax. Eine dynamische Prüfung sendet oder empfängt eine reale E-Mail und überprüft die gesamte DKIM-Authentifizierungskette – einschließlich, ob die Nachricht tatsächlich signiert wurde, ob die Signatur gültig ist und ob DKIM mit Ihrer DMARC-Policy übereinstimmt. Dynamische Prüfungen erkennen mehr Probleme, da sie den E-Mail-Fluss unter realen Bedingungen testen. Von den in diesem Leitfaden genannten Tools führt nur Red Sift Investigate eine echte dynamische Prüfung durch.

Überprüfen Sie nach jeder Änderung an Ihrer DNS-Konfiguration, Ihren E-Mail-Versanddiensten oder Einstellungen der E-Mail-Plattform. Darüber hinaus sollten Sie mindestens vierteljährlich sowie jedes Mal, wenn Sie einen neuen Versandservice hinzufügen, eine Überprüfung durchführen. Für eine kontinuierliche Überwachung sorgt eine Plattform wie Red Sift OnDMARC, sodass Sie nicht daran denken müssen, manuell zu prüfen.

2048-Bit-RSA-Schlüssel sind das empfohlene Minimum. RFC 8301 verlangt, dass Prüfer Schlüssel unter 1024 Bit ablehnen, und NIST empfiehlt 2048 Bit als Grundlage für RSA-Verschlüsselung [1]. Einige Organisationen nutzen 4096-Bit-Schlüssel für zusätzliche Sicherheit, allerdings unterstützen nicht alle E-Mail-Dienste diese. Wenn Sie noch 1024-Bit-Schlüssel verwenden, steigen Sie auf 2048 Bit um und führen Sie eine Rotation alle 6–12 Monate ein.

Nicht direkt. DKIM ist einer von mehreren Faktoren für die Zustellbarkeit, aber auch SPF, DMARC-Policy, Absenderreputation, Inhaltsqualität und Interaktionsmetriken spielen eine Rolle. Defektes DKIM wirkt sich jedoch negativ aus. Vollständig authentifizierte Absender, die SPF, DKIM und DMARC zusammen nutzen, erreichen Zustellraten von 95–98%, im Vergleich zu durchschnittlich 85% bei nicht authentifizierten Absendern [2].

Das bedeutet gewöhnlich, dass der DNS-Eintrag korrekt ist, der Versanddienst aber keine E-Mails richtig signiert. Häufige Ursachen sind: Die Versandplattform ist nicht auf DKIM konfiguriert, der Selektor im DKIM-Signature-Header passt nicht zum DNS-Eintrag oder die E-Mail wird nach der Signierung beim Transport (z.B. durch ein Gateway oder Weiterleitung) verändert. Nutzen Sie einen dynamischen Prüfer, um die Fehlerquelle genau zu ermitteln.

DKIM-Überprüfung ist ein Bestandteil einer vollständigen E-Mail-Authentifizierungsstrategie, die auch SPF, DMARC, BIMI und MTA-STS umfasst. Einen umfassenden Überblick, wie diese Protokolle zusammenspielen und wie Sie diese einführen, finden Sie in Red Sift's Leitfaden zu E-Mail-Authentifizierungsanforderungen 2026.