Warum hier ein Paar generieren, statt es meinem Mail-Provider zu ueberlassen?

Die meisten Managed-Provider (Google Workspace, Microsoft 365, Mailgun, SendGrid) geben dir ein DKIM-Key out of the box. Aber wenn du **eigenes SMTP** laufst (Postfix + opendkim, exim, Haraka, ein Custom-Node-Mailer), wenn du **Provider wechselst** und waehrend des Uebergangs weiter signieren willst, oder wenn du einfach einen **muffigen Key rotieren** willst, den dein Hosting-Panel nie freigegeben hat, generierst du das Paar selbst. Das Tool macht es in einem Klick ohne OpenSSL-Installation.

Welche Key-Laenge: 1024, 2048 oder 4096?

**2048 Bit ist fuer fast jeden richtig**. Empfehlung aus **RFC 8301** und De-facto-moderner-Default. **1024 Bit** funktioniert noch bei den meisten Empfaengern, gilt aber als schwach (NIST hat es vor Jahren fuer RSA-Signaturen abgekuendigt) und Provider wie Google warnen jetzt. **4096 Bit** ist technisch staerker, produziert aber Signaturen ca. **5-7 mal langsamer** und einen Public Key, mit dem manche Legacy-DNS-Panels Probleme haben. Die Signatur wird fuer jede ausgehende Mail neu berechnet, 4096 Bit kann messbare CPU-Kosten auf High-Volume-Mailservern ohne realen Sicherheitsgewinn ueber 2048 werden.

Was ist ein "Selector" und wie waehlen?

Ein **Selector** ist ein kurzes Label (typisch alphanumerisch, z.B. `mail2024`, `s1`, `google`, `mxvault`), das Teil des DNS-Namens wird, wo du den Public Key veroeffentlichst: ` ._domainkey. `. Die signierte Mail enthaelt den Selector im DKIM-Signature-Header (`s=mail2024`), Empfaenger wissen, welchen Key zu fetchen. Sinn von Selectors: du kannst **mehrere Keys gleichzeitig** unter verschiedenen Selectors veroeffentlichen, was saubere **Key-Rotation** ohne Downtime ermoeglicht. Waehl was Beschreibendes wie `mail-2026-05`, wenn du nach Plan rotierst.

Wohin geht der Private Key nach dem Runterladen?

Auf deinen **Mailserver**, an einen Ort, den der SMTP-Daemon (oder sein Signing-Modul wie opendkim) lesen kann. Typische Pfade: `/etc/opendkim/keys/ / .private` auf Linux, oder was dein Provider dokumentiert. **Permissions zaehlen**: die Datei sollte nur vom Mail-User lesbar sein (`chmod 600`, dem `opendkim` oder Mailer-User gehoeren). Private Key verlaesst den Server nie, wird nie per Mail rumgeschickt und nie in ein Git-Repo committed. Wenn doch, als kompromittiert behandeln und sofort rotieren.

Wie oft DKIM-Keys rotieren?

Industrie-Empfehlung von **M3AAWG** und Google ist **alle 6 Monate** fuer Production-Sender. Viele kleinere Sender rotieren jaehrlich und es ist noch ok, grosse Plattformen (transaktionale Provider, Konzerne) rotieren oft quartalsweise. Rotation ist guenstig wenn richtig gemacht: neuen Selector generieren, neuen Key in DNS veroeffentlichen, Mailserver-Config auf neuen Key umschalten, **mindestens eine Woche warten**, bevor du den alten Selector zurueckziehst (damit vor dem Switch signierte Mail noch verifiziert, da DKIM-Signaturen zur Zustellzeit geprueft werden, was Stunden oder Tage nach Senden sein kann).

Wie verhaelt sich DKIM zu SPF und DMARC?

**SPF** sagt "diese IPs duerfen fuer meine Domain Mail senden". **DKIM** sagt "diese spezifische Mail wurde mit meinem Domain-Private-Key signiert, der Inhalt ist authentisch". **DMARC** verbindet beide: sagt Empfaengern "wenn Mail SPF UND DKIM fehlschlaegt, mach X" (X meist `none` fuer Monitoring, `quarantine` fuer Spam-Ordner, `reject` fuer Drop). Du willst **alle drei**. DKIM ist die staerkste der drei, weil die Signatur den Mail-Body abdeckt, sodass auch wenn ein Intermediate Headers veraendert, die Signatur noch verifizieren kann. SPF bricht beim Weiterleiten; DKIM ueberlebt meistens.

Was passiert, wenn mein Private Key leakt?

Jeder mit dem Key kann als deine Domain signieren, was DKIM's ganzen Zweck zunichte macht. **Leak ernst nehmen**: sofort neues Paar unter **neuem Selector** generieren, neuen Public Key in DNS, Mailserver auf neuen Key umstellen und **alten Key revoken**, indem du den `p=`-Wert seines DNS-Records leer setzt (`v=DKIM1; k=rsa; p=`). Empfaenger, die versuchen, eine Signatur vom geleakten Key zu pruefen, sehen das leere `p=` und lehnen sie als revoked ab. Nicht den alten TXT-Record komplett loeschen, lass die Revocation paar Wochen stehen, damit Empfaenger "explizit revoked" sehen statt "Selector fehlt".

Warum ist der TXT-Record in mehrere quoted Strings aufgeteilt?

Ein einzelner Character-String in einem DNS-TXT-Record ist per **RFC 1035** auf **255 Octets** begrenzt. Ein 2048-Bit-RSA-Public-Key in base64 ist ca. **400 Zeichen**, ein 4096-Bit-Key ca. **730 Zeichen**, beide weit ueberm Limit. DNS loest das, indem ein TXT-Record **mehrere quoted Strings** enthalten darf, die der Resolver zusammenfuegt: `"v=DKIM1; k=rsa; p=MIIBIj..." "...AQAB"`. Manche modernen DNS-UIs (Cloudflare, Route 53) akzeptieren den langen Single-String und splitten selbst; aeltere Panels (manche cPanel, OVH-Classic, generische Registrare) verlangen die Split-Form. Wir geben dir beides.

Was ist die richtige Key-Rollover-Strategie mit mehreren Selectors?

Sauberes Pattern: (1) **neues Paar** unter neuem Selector generieren, z.B. `s2-2026`; (2) **neuen Public Key in DNS veroeffentlichen**, waehrend alter Selector `s1-2025` noch da ist; (3) **DNS-Propagation abwarten** (Stunden bis ein Tag); (4) **Mailserver umstellen**, mit neuem Selector-Key zu signieren; (5) **mindestens 1-2 Wochen warten**, damit in-flight oder delayed Mail mit altem Key noch verifiziert; (6) **alten Selector revoken**, indem du seinen `p=`-Wert leerst; (7) **alten TXT-Record komplett loeschen** nach weiterem Monat. Diese Zero-Downtime-Sequenz ist genau, warum DKIM Selectors hat, du musst Signieren nie unterbrechen.

DKIM-Schlüsselpaar-Generator - kostenlos

DKIM-Schlüsselpaar-Generator

Wähle einen Selektor und die Schlüssellänge. Wir liefern das RSA-Schlüsselpaar: installiere den privaten Schlüssel auf deinem Mailserver und veröffentliche den öffentlichen als TXT-Eintrag im DNS.

Selektor

Kurzes DNS-Label. Wähle etwas Beschreibendes (z. B. mail-2026-05), damit die Rotation leicht fällt.

Schlüssellänge

Domain (optional, z. B. example.com)

Wenn du eine Domain angibst, zeigen wir den vollständigen DNS-Datensatznamen: '<selector>'._domainkey.'<domain>'

Speichere den privaten Schlüssel JETZT

Wir behalten keine Kopie. Schließt du diesen Tab, ist der Schlüssel für immer weg. Lade ihn herunter, speichere ihn in einem Passwort-Manager oder installiere ihn auf deinem Server, bevor du die Seite verlässt.

Paranoid?

Wir erzeugen den Schlüssel auf unserem Server und liefern ihn dir über TLS. Wenn der Schlüssel deine Maschine nie verlassen darf, führe lokal aus: openssl genrsa -out private.pem 2048 und openssl rsa -in private.pem -pubout -out public.pem.

Was ein DKIM-Schluesselpaar ist

DKIM (DomainKeys Identified Mail) ist eine Methode fuer deinen Mailserver, jede ausgehende Nachricht kryptografisch zu signieren, damit Empfaenger wie Gmail und Outlook pruefen koennen, dass die Mail wirklich von deiner Domain kommt und unterwegs nicht manipuliert wurde. Dazu braucht dein Mailserver ein Schluesselpaar: einen Private Key auf dem Server, der jede Nachricht signiert, und einen Public Key, den du als DNS-TXT-Record unter `<selector>._domainkey.<deine-domain>` veroeffentlichst, damit Empfaenger ihn fetchen koennen.

Das Tool generiert das Schluesselpaar in deinem Browser-Request, gibt den PEM-encoded Private Key zurueck (auf deinem Mailserver installieren) und den Paste-bereiten TXT-Record (in DNS veroeffentlichen). RSA, 1024/2048/4096 Bit, mit Nodes `crypto` (OpenSSL unter der Haube). Wir speichern den Key nie.

So nutzt du das Tool

Selector waehlen: ein kurzes Label wie `mail2024`, `s1` oder `google`. Identifiziert, welcher Key signiert hat, ein neuer Selector erlaubt Rotation ohne alte Mail zu brechen.

Key-Laenge waehlen: 2048 Bit ist der moderne Default. 1024 Bit ist Legacy (noch akzeptiert, aber abgeraten). 4096 Bit ist Overkill und bremst den Signing-Pfad.

Optional: deine Domain eingeben, damit wir den vollen DNS-Namen zeigen (`<selector>._domainkey.<deine-domain>`). Ohne kriegst du trotzdem den TXT-Body.

Klick Generieren. Wir geben den Private Key in PEM und den TXT-Record-Wert, fertig zum Pasten in dein DNS-Panel.

Speicher den Private Key jetzt. Wir speichern ihn nicht. Tab zu = weg. Installier ihn im Mailserver (Postfix + opendkim, exim, MTA-STS, Mailgun, SendGrid, Postmark) nach deinem Provider-Doc.

Veroeffentliche den TXT-Record unter `<selector>._domainkey.<deine-domain>` in DNS. Limitiert dein Provider einen TXT-String auf 255 Zeichen (RFC-Limit), nimm die Split-Form: `"part1" "part2"` auf einer Zeile.

Warte auf DNS-Propagation (Minuten bis Stunden), schick eine Test-Mail, check die Header auf `dkim=pass`. Gmail zeigt das unter "Original anzeigen".

Wann das nuetzlich ist

Sechs typische Szenarien, in denen du ein frisches DKIM-Schluesselpaar brauchst:

DKIM zum ersten Mal einrichten auf neuer Domain oder neuem Mailserver. Du brauchst das Paar, bevor du beide Seiten konfigurierst.
Key-Rotation alle 6-12 Monate als Hygiene. Neuen Selector generieren, veroeffentlichen, Signing-Key umschalten, alten nach Karenzzeit zurueckziehen.
Vermuteter Key-Kompromiss: Server-Breach, versehentliches Commiten in oeffentliches Repo, Ex-Admin mit Zugriff. Sofort neu generieren und alten durch Leeren des `p=`-Werts revoken.
Zweite Sende-Quelle adden (transaktionaler Provider wie SendGrid neben eigenem Postfix). Jede Quelle will eigenen Selector und Key.
Von 1024-Bit-Legacy-Key auf 2048-Bit-Modern-Key migrieren. Die meisten Provider warnen 2026 lautstark davor.
DKIM testen auf Staging-Domain, bevor du es fuer Production-Mail anschaltest.

Verwandte Tools: Email-DNS-Pruefer, DNS-Lookup, Mail-Header-Analyse.

Fragen und Antworten

DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungs-Standard. Dein Mailserver signiert jede ausgehende Mail mit einem Private Key, Empfaenger fetchen deinen Public Key aus DNS, um die Signatur zu pruefen. Stimmt die Mathematik, weiss der Empfaenger, dass die Mail wirklich von deiner Domain kommt und der Body unterwegs nicht veraendert wurde. Ohne DKIM markieren Gmail und Outlook deine Mail als verdaechtig oder schicken sie direkt in den Spam. DKIM ist eine der drei Saeulen moderner Mail-Deliverability, neben SPF (wer darf fuer dich senden) und DMARC (was Empfaenger tun sollen bei Fehler).

Was ein DKIM-Schluesselpaar ist

So nutzt du das Tool

Selector waehlen: ein kurzes Label wie `mail2024`, `s1` oder `google`. Identifiziert, welcher Key signiert hat, ein neuer Selector erlaubt Rotation ohne alte Mail zu brechen.

Key-Laenge waehlen: 2048 Bit ist der moderne Default. 1024 Bit ist Legacy (noch akzeptiert, aber abgeraten). 4096 Bit ist Overkill und bremst den Signing-Pfad.

Optional: deine Domain eingeben, damit wir den vollen DNS-Namen zeigen (`<selector>._domainkey.<deine-domain>`). Ohne kriegst du trotzdem den TXT-Body.

Klick Generieren. Wir geben den Private Key in PEM und den TXT-Record-Wert, fertig zum Pasten in dein DNS-Panel.

Speicher den Private Key jetzt. Wir speichern ihn nicht. Tab zu = weg. Installier ihn im Mailserver (Postfix + opendkim, exim, MTA-STS, Mailgun, SendGrid, Postmark) nach deinem Provider-Doc.

Warte auf DNS-Propagation (Minuten bis Stunden), schick eine Test-Mail, check die Header auf `dkim=pass`. Gmail zeigt das unter "Original anzeigen".

Wann das nuetzlich ist

Sechs typische Szenarien, in denen du ein frisches DKIM-Schluesselpaar brauchst:

DKIM zum ersten Mal einrichten auf neuer Domain oder neuem Mailserver. Du brauchst das Paar, bevor du beide Seiten konfigurierst.
Key-Rotation alle 6-12 Monate als Hygiene. Neuen Selector generieren, veroeffentlichen, Signing-Key umschalten, alten nach Karenzzeit zurueckziehen.
Vermuteter Key-Kompromiss: Server-Breach, versehentliches Commiten in oeffentliches Repo, Ex-Admin mit Zugriff. Sofort neu generieren und alten durch Leeren des `p=`-Werts revoken.
Zweite Sende-Quelle adden (transaktionaler Provider wie SendGrid neben eigenem Postfix). Jede Quelle will eigenen Selector und Key.
Von 1024-Bit-Legacy-Key auf 2048-Bit-Modern-Key migrieren. Die meisten Provider warnen 2026 lautstark davor.
DKIM testen auf Staging-Domain, bevor du es fuer Production-Mail anschaltest.

Verwandte Tools: Email-DNS-Pruefer, DNS-Lookup, Mail-Header-Analyse.

Fragen und Antworten

DKIM-Schlüsselpaar-Generator

Was ein DKIM-Schluesselpaar ist

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

E-Mail DNS Checker

DNS-Lookup

DNSSEC Validator

E-Mail-Header Analyzer

WHOIS-Lookup

DKIM-Schlüsselpaar-Generator

Was ein DKIM-Schluesselpaar ist

So nutzt du das Tool

Wann das nuetzlich ist

Fragen und Antworten

Passende Tools

E-Mail DNS Checker

DNS-Lookup

DNSSEC Validator

E-Mail-Header Analyzer

WHOIS-Lookup