Stand: Juli 2026
Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain im KAS einen korrekten DKIM-Schlüssel, sodass empfangende Server die Signatur deiner Mails verifizieren können.
Voraussetzungen
- Ein All-Inkl-Paket mit Zugang zum KAS (technische Verwaltung)
- Den öffentlichen DKIM-Schlüssel deines sendenden Mailservers (bei externem Versand liefert ihn der Anbieter)
Was ist DKIM?
DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur. Der empfangende Server fragt den im Nameserver der Domain hinterlegten DKIM-Schlüssel ab und verifiziert damit die Signatur. All-Inkl weist in der eigenen Doku ausdrücklich darauf hin: DKIM sichert nur, dass die Mail unverändert ankommt — eine Aussage bezüglich Spam findet dabei ausdrücklich nicht statt. Genau dafür braucht es zusätzlich SPF und DMARC.
Die Ausgangslage bei All-Inkl
Zwei Wege, je nachdem, wer deine Mails versendet:
- Versand über die All-Inkl-Mailserver: DKIM-Signierung aktivierst du in den KAS-Einstellungen deiner Domain bzw. deines Postfachs — All-Inkl legt den passenden DNS-Eintrag dann selbst an. (Prüfe im KAS unter deiner Domain/Postfach, ob die DKIM-Option aktiv ist.)
- Versand über einen externen Mailserver (eigener Server, Newsletter-Dienst): Du trägst den vom Anbieter gelieferten öffentlichen Schlüssel selbst als TXT-(DKIM)-Record im KAS ein. Diesen Weg beschreibt die folgende Anleitung — sie ist der von All-Inkl offiziell dokumentierte DNS-Weg.
Schritt-für-Schritt-Anleitung (externer Mailserver)
1. DNS-Einstellungen im KAS öffnen
Logge dich ins KAS (technische Verwaltung) ein und klicke auf Tools → DNS-Einstellungen. Bearbeite die Domain und klicke auf neuen DNS Eintrag erstellen.
2. Den DKIM-Record eintragen
Fülle die Maske so aus:
| Feld | Wert |
|---|---|
| Name | dein Selektor + ._domainkey, z. B. mail._domainkey |
| Typ | TXT |
| Data | v=DKIM1; k=rsa; p=<dein-public-key-vom-mailserver> |
Den Selektornamen (hier mail) gibt dir dein Mailserver bzw. Versanddienst vor — er muss exakt übereinstimmen, weil der empfangende Server genau unter selektor._domainkey.deine-domain nachschlägt. Eine PRIO gibt es bei DKIM nicht.
Zur Syntax: v=DKIM1 ist die Version und muss — wenn angegeben — an erster Stelle stehen. p enthält den öffentlichen Schlüssel. k=rsa gibt den Schlüsseltyp an (bei All-Inkl derzeit nur rsa).
3. Auf das Zeichenlimit achten
Das DATA-Feld fasst bis zu 512 Zeichen — damit sind Schlüssel bis 2048 Bit möglich. Ein 2048-Bit-RSA-Key passt also gerade noch; größere Schlüssel (4096 Bit) würden das Limit sprengen. Nimm im Zweifel einen 2048-Bit-Schlüssel.
4. Speichern und prüfen
Nach dem Speichern erscheint der Eintrag in der Tabelle. DNS-Änderungen bei All-Inkl können bis zu 24 Stunden brauchen, bis sie überall sichtbar sind.
Ergebnis prüfen
Der DNS-Record allein genügt nicht — dein Mailserver muss die ausgehenden Mails auch tatsächlich mit dem passenden privaten Schlüssel signieren. Prüfe das Zusammenspiel mit dem kostenlosen MXAudit-Scanner: Er zeigt, ob die Signatur greift und der Selektor im DNS auflösbar ist — zusammen mit SPF und DMARC.
Häufige Fehler
Selektor stimmt nicht überein. Der Name im DNS (selektor._domainkey) muss exakt dem Selektor entsprechen, mit dem dein Mailserver signiert. Ein Tippfehler und die Signatur ist nicht auffindbar.
Schlüssel zu groß fürs Feld. Über 512 Zeichen nimmt das DATA-Feld nicht — ein 4096-Bit-Schlüssel passt nicht. 2048 Bit wählen.
DNS gesetzt, aber Server signiert nicht. DKIM besteht aus zwei Hälften: öffentlicher Schlüssel im DNS und Signierung durch den Mailserver mit dem privaten Schlüssel. Fehlt die zweite, hilft der schönste TXT-Record nichts.
Leerzeichen um das =. In v=DKIM1 und p=... steht kein Leerzeichen um das Gleichheitszeichen — Parameter und Wert direkt aneinander, mit Semikolon getrennt.
Weiterführende Links
- All-Inkl Anleitung: DKIM (bei Versand über externe Mailserver) (abgerufen: 10. Juli 2026)
- RFC 6376 — DomainKeys Identified Mail (DKIM)
