DANE für E-Mail: wer es kann, wer nicht — und was du stattdessen nutzt
DANE braucht DNSSEC und TLSA am MX — das kann nur der Mailserver-Betreiber. Wer es unterstützt, wer nicht, und was du sonst nutzt.
Deutsch
Schritt für Schritt, pro Anbieter, gegen Primärquellen verifiziert.
DANE braucht DNSSEC und TLSA am MX — das kann nur der Mailserver-Betreiber. Wer es unterstützt, wer nicht, und was du sonst nutzt.
Wähl deinen Hoster und spring direkt zu seinen Anleitungen für SPF, DKIM, DMARC, TLS-RPT, MTA-STS, DANE und BIMI — von IONOS über Microsoft 365 bis Mailcow.
Warum MTA-STS bei den deutschen Shared-Hostern nicht per Schalter geht — und welche Wege dir trotzdem bleiben.
SPF, DKIM und DMARC sind keine Alternativen — sie sind ein Stack. Was jedes tut, warum DMARC sie verbindet und wie du sicher zur Durchsetzung kommst.
SPF, DKIM und DMARC beweisen, wer deine Mail gesendet hat; TLS, MTA-STS und DANE schützen sie beim Transport. Der ganze Stack, erklärt — mit Links zu jeder Anleitung.
BIMI bei All-Inkl: der default._bimi-TXT-Record im KAS — plus die echten Voraussetzungen DMARC, SVG-Logo und VMC.
BIMI bei checkdomain: der default._bimi-TXT-Record in den Profi-Einstellungen — plus DMARC, SVG-Logo und VMC.
BIMI bei Cloudflare: der default._bimi-TXT-Record im Dashboard — plus DMARC, SVG-Logo und VMC.
BIMI bei domainfactory: der default._bimi-TXT-Record in den Nameserver-Einstellungen — plus DMARC, SVG-Logo und VMC.
BIMI bei Gandi: der default._bimi-TXT-Record in LiveDNS — plus DMARC, SVG-Logo und VMC.
BIMI bei GoDaddy: der default._bimi-TXT-Record im Domain Portfolio — plus DMARC, SVG-Logo und VMC.
BIMI für Google Workspace: der default._bimi-TXT beim DNS-Host — Gmail zeigt das Logo nur mit VMC/CMC.
BIMI bei Hetzner: der default._bimi-TXT-Record in der Console — plus DMARC, SVG-Logo und VMC.
BIMI bei IONOS: der default._bimi-TXT-Record — plus die echten Voraussetzungen DMARC, SVG-Logo und VMC.
BIMI für Mailcow: der default._bimi-TXT-Record — Logo hostest du selbst, plus DMARC und VMC.
BIMI für Microsoft 365: der default._bimi-TXT beim DNS-Host — plus DMARC, SVG-Logo und VMC. Outlook zeigt BIMI mit VMC.
BIMI bei Netcup: der default._bimi-TXT-Record im CCP — plus die echten Voraussetzungen DMARC, SVG-Logo und VMC.
BIMI bei OVHcloud: der default._bimi-TXT-Record — plus die echten Voraussetzungen DMARC, SVG-Logo und VMC.
BIMI bei Amazon Route 53: der default._bimi-TXT-Record in der Konsole — plus DMARC, SVG-Logo und VMC.
BIMI bei Strato: der default._bimi-TXT-Record — plus die echten Voraussetzungen DMARC, SVG-Logo und VMC.
BIMI bei united-domains: der default._bimi-TXT-Record — plus die echten Voraussetzungen DMARC, SVG-Logo und VMC.
DKIM bei All-Inkl: der TXT-(DKIM)-Record im KAS mit eigenem Selektor — Schritt-für-Schritt mit Verifikation.
DKIM bei checkdomain: ein Schalter unter E-Mails → Sicherheit — aktiviert SPF und DKIM gemeinsam.
DKIM bei Cloudflare: den Public Key als selektor._domainkey-TXT-Record veröffentlichen — für Cloudflare Email Service oder den eigenen Mailserver.
DKIM bei domainfactory: kein Assistent, sondern ein TXT-Record mit dem Schlüssel deines Versanddienstes.
DKIM bei Gandi: ein Schalter mit LiveDNS — plus die 3 CNAME-Einträge für externen DNS.
DKIM bei GoDaddy: kein Assistent für die nackte Domain — dein Mailprodukt erzeugt den Schlüssel, du veröffentlichst ihn als CNAME oder TXT.
DKIM für Google Workspace: Schlüssel in der Admin-Konsole generieren, google._domainkey-TXT beim Domainhost eintragen.
DKIM bei Hetzner: konsoleH erzeugt das Schlüsselpaar automatisch — plus der TXT-Weg für externen DNS und eigene Server.
DKIM bei IONOS: standardmäßig aktiv — plus die 3 CNAME-Einträge für externen DNS.
DKIM für Mailcow: Schlüssel in der UI erzeugen, dkim._domainkey-TXT ins DNS — Schritt-für-Schritt mit Verifikation.
DKIM für Microsoft 365: zwei CNAME-Selektoren, Aktivierung im Defender-Portal — inkl. neuem Format seit Mai 2025.
DKIM bei Netcup: zwei CNAME-Einträge im CCP — key1 und key2 sind beide Pflicht.
DKIM bei OVHcloud: Ein-Klick-Aktivierung für MX Plan/Email Pro oder zwei CNAMEs bei externem DNS — Schritt für Schritt.
DKIM bei Amazon Route 53: CNAME-Records für die SES-Delegation oder ein TXT-Public-Key für den eigenen Server — mit der Route-53-Apex-Regel.
DKIM bei Strato: automatisch aktiv über smtp.strato.de — plus die CNAME-Selektoren für eigene Nameserver.
DKIM bei united-domains: für Postfach-Domains automatisch fest aktiviert — außer bei externen Nameservern.
DMARC bei All-Inkl: den vorbelegten _dmarc-Record anpassen — inkl. Autorisierung externer Report-Adressen.
DMARC bei checkdomain: der _dmarc-TXT-Record und der sichere Weg von p=none zu p=reject.
DMARC bei Cloudflare: den _dmarc-TXT selbst im Dashboard anlegen — von p=none sicher bis p=reject.
DMARC bei domainfactory: den _dmarc-TXT selbst in den Nameserver-Einstellungen anlegen.
DMARC bei Gandi: den _dmarc-TXT in LiveDNS anlegen — sicher von p=none bis p=reject.
DMARC bei GoDaddy: der _dmarc-TXT-Record im Domain Portfolio — GoDaddys fertiger Wert, sicher bis zur Durchsetzung gestaffelt.
DMARC für Google Workspace: der _dmarc-TXT beim Domainhost — der sichere Weg von p=none zu p=reject.
DMARC bei Hetzner: den _dmarc-TXT selbst in der DNS-Zone anlegen — von p=none sicher bis p=reject.
DMARC bei IONOS: der _dmarc-TXT-Record und der sichere Weg von p=none zu p=reject.
DMARC für Mailcow: der _dmarc-TXT-Record und der sichere Weg von p=none zu p=reject.
DMARC für Microsoft 365: der _dmarc-TXT beim Domainhost — inkl. der Besonderheit mit dem High-Risk-Ausgangspool.
DMARC bei Netcup: den _dmarc-TXT selbst im CCP anlegen — von p=none sicher bis p=reject.
DMARC bei OVHcloud: der _dmarc-Record über den DNS-Zonen-Assistenten — mit p=none starten, dann verschärfen.
DMARC bei Amazon Route 53: den _dmarc-TXT selbst in der Hosted Zone anlegen — von p=none sicher bis p=reject.
DMARC bei Strato: Standard-Regel oder eigener _dmarc-Record — und warum Strato selbst keine Reports schickt.
DMARC bei united-domains: per Radiobutton von p=none zu p=reject — und Markenschutz-Domains direkt absichern.
SPF bei All-Inkl: der richtige TXT-Eintrag im KAS — Schritt-für-Schritt mit Verifikation.
SPF bei checkdomain: der richtige TXT-Eintrag in den Profi-Einstellungen — Schritt-für-Schritt mit Verifikation.
SPF bei Cloudflare: den TXT-Record im Dashboard für deinen Mail-Provider veröffentlichen — Schritt für Schritt mit Verifikation.
SPF bei domainfactory: der Assistent in den Nameserver-Einstellungen — Schritt-für-Schritt mit Verifikation.
SPF bei Gandi: Schritt-für-Schritt zum korrekten TXT-Eintrag in LiveDNS — inklusive Verifikation.
SPF bei GoDaddy: der TXT-Record im Domain Portfolio — der fertige Wert für GoDaddy-Mail, Schritt für Schritt mit Verifikation.
SPF für Google Workspace: der richtige TXT-Eintrag beim Domainhost — mit Googles eigenen Kombi-Beispielen.
SPF bei Hetzner DNS: den Record für deinen eigenen Mailserver schreiben — Schritt-für-Schritt mit Verifikation.
SPF bei IONOS: Schritt-für-Schritt zum korrekten DNS-Eintrag — inklusive Verifikation.
SPF für Mailcow: der richtige TXT-Eintrag für deinen eigenen Mailserver — inklusive PTR und IPv6.
SPF für Microsoft 365: der richtige TXT-Eintrag beim DNS-Anbieter — mit Microsofts eigenen Empfehlungen.
SPF bei Netcup: der richtige TXT-Eintrag im CCP — Schritt-für-Schritt mit Verifikation.
SPF bei OVHcloud: der eingebaute SPF-Assistent oder ein eigener Record — Schritt für Schritt mit Verifikation.
SPF bei Amazon Route 53: den TXT-Record für deinen eigenen Mailserver schreiben — Schritt-für-Schritt mit Verifikation.
SPF bei Strato: vordefinierte Regel oder eigener Record — Schritt-für-Schritt mit Verifikation.
SPF bei united-domains: ein Klick unter E-Mail-Sicherheit — plus der manuelle Weg für eigene Mailserver.
TLS-RPT bei All-Inkl: der _smtp._tls-TXT-Record im KAS — für TLS-Zustellberichte.
TLS-RPT bei checkdomain: der _smtp._tls-TXT-Record in den Profi-Einstellungen — für TLS-Zustellberichte.
TLS-RPT bei Cloudflare: der _smtp._tls-TXT-Record im Dashboard — der Reporting-Companion zu MTA-STS.
TLS-RPT bei domainfactory: der _smtp._tls-TXT-Record in den Nameserver-Einstellungen.
TLS-RPT bei Gandi: der _smtp._tls-TXT-Record in LiveDNS — als Subhost angelegt.
TLS-RPT bei GoDaddy: der _smtp._tls-TXT-Record im Domain Portfolio — ein Standard-Record, den GoDaddy nicht dokumentiert, aber problemlos hostet.
TLS-RPT für Google Workspace: der _smtp._tls-TXT-Record für TLS-Zustellberichte — als Companion zu MTA-STS.
TLS-RPT bei Hetzner: der _smtp._tls-TXT-Record in der Console — Wert in Anführungszeichen.
TLS-RPT bei IONOS: der _smtp._tls-TXT-Record in der DNS-Verwaltung — für TLS-Zustellberichte.
TLS-RPT für Mailcow: der _smtp._tls-TXT-Record für TLS-Zustellberichte — Companion zu MTA-STS und DANE.
TLS-RPT für Microsoft 365: der _smtp._tls-TXT-Record für TLS-Zustellberichte — Companion zu MTA-STS.
TLS-RPT bei Netcup: der _smtp._tls-TXT-Record im CCP — für TLS-Zustellberichte.
TLS-RPT bei OVHcloud: der _smtp._tls-TXT-Record über den DNS-Zonen-Assistenten — für TLS-Zustellberichte.
TLS-RPT bei Amazon Route 53: der _smtp._tls-TXT-Record in der Konsole — Wert in Anführungszeichen.
TLS-RPT bei Strato: der _smtp._tls-TXT-Record über Zahnrad → DNS — für TLS-Zustellberichte.
TLS-RPT bei united-domains: der _smtp._tls-TXT-Record über die DNS-Einträge — für TLS-Zustellberichte.