Stand: Juli 2026
Zusammenfassung: Ein DKIM-Selektor unterteilt den Namensraum einer Domain, damit sie mehrere öffentliche Schlüssel gleichzeitig im DNS betreiben kann. Er ist die Basis für parallele Versanddienste und reibungslose Key-Rotationen.
Wenn dein Mailserver eine ausgehende E-Mail mit einer kryptografischen Signatur nach dem Standard DomainKeys Identified Mail (DKIM) versieht, wird dem E-Mail-Kopfzeilenbereich der Header DKIM-Signature hinzugefügt. Darin verweist der Tag d= auf deine Domain und der Tag s= auf den verwendeten Selektor. Der empfangende Server benötigt diesen Selektor zwingend, um den passenden öffentlichen Schlüssel im DNS abzufragen.
Wie der Selektor den Namensraum aufteilt
Laut RFC 6376 unterteilen Selektoren den Schlüssel-Namensraum, damit eine Domain mehrere gleichzeitige Schlüssel betreiben kann (To support multiple concurrent public keys per signing domain, the key namespace is subdivided using "selectors".).
Ohne Selektoren könnte eine Domain unter _domainkey.example.com nur einen einzigen öffentlichen DKIM-Schlüssel hinterlegen. Wenn du jedoch E-Mails gleichzeitig über Google Workspace, ein CRM-System und einen eigenen Postfix-Server versendest, benötigt jedes dieser Systeme ein eigenes Schlüsselpaar. Der Selektor (s=) löst dieses Problem, indem er eindeutige Subdomains unterhalb von _domainkey schafft.
Wenn ein Signatur-Header beispielsweise d=example.com und s=mail2026 enthält, fragt der empfangende Mailserver folgenden TXT-Eintrag im DNS ab:
mail2026._domainkey.example.com
Ein typischer dort hinterlegter DKIM-Schlüsseleintrag sieht wie folgt aus:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Parallele Schlüssel und Key-Rotation
Dank der Selektoren kannst du für verschiedene Einsatzzwecke getrennte Schlüssel verwalten:
- Dienstleister trennen: Du veröffentlichst einen Selektor
google._domainkeyfür Google Workspace und einen Selektornl._domainkeyfür dein Newsletter-Tool. - Unterbrechungsfreie Key-Rotation: Aus Sicherheitsgründen sollten DKIM-Schlüssel regelmäßig erneuert werden. Mit Selektoren veröffentlichst du einfach den neuen Schlüssel unter einem neuen Selektor (z. B.
s=2026b), aktivierst ihn im Mailserver und lässt den alten Selektor (s=2026a) noch so lange im DNS stehen, bis alle unterwegs befindlichen E-Mails zugestellt und geprüft wurden.
Optionale Tags im Schlüsseleintrag
Neben der Selektor-Abfrage im DNS kann der eigentliche Schlüsseleintrag weitere steuernde Tags enthalten. Laut RFC 6376 schränkt der Tag s= (Service Type, optional, Standard ist *) den Schlüssel auf bestimmte Diensttypen ein. Zudem kannst du für neue Selektoren zunächst den Testmodus aktivieren: Der Tag t=y kennzeichnet eine testende Domain; verifizierende Server dürfen E-Mails von Signern im Testmodus nicht anders behandeln als unsignierte E-Mails, selbst wenn die Signaturprüfung fehlschlägt. Ein solcher Test-Record sieht so aus:
v=DKIM1; k=rsa; t=y; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Selektoren überprüfen
Um zu testen, ob dein Selektor im DNS korrekt auflöst, ob der öffentliche Schlüssel sauber formatiert ist und ob syntaktische Fehler vorliegen, kannst du deine Domain und den Selektor mit dem kostenlosen MXAudit-Scanner prüfen.
Weitere Grundlagen zum Aufbau und zur Verwaltung deiner E-Mail-Signatur findest du in der DKIM-Übersicht und in praktischen Einrichtungsguides wie DKIM bei IONOS einrichten.
Weiterführende Links
- RFC 6376 — DomainKeys Identified Mail (DKIM) Signatures (abgerufen: 16. Juli 2026)