Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain im KAS einen korrekten DKIM-Schlüssel, sodass empfangende Server die Signatur deiner Mails verifizieren können.

Voraussetzungen

  • Ein All-Inkl-Paket mit Zugang zum KAS (technische Verwaltung)
  • Den öffentlichen DKIM-Schlüssel deines sendenden Mailservers (bei externem Versand liefert ihn der Anbieter)

Was ist DKIM?

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur. Der empfangende Server fragt den im Nameserver der Domain hinterlegten DKIM-Schlüssel ab und verifiziert damit die Signatur. All-Inkl weist in der eigenen Doku ausdrücklich darauf hin: DKIM sichert nur, dass die Mail unverändert ankommt — eine Aussage bezüglich Spam findet dabei ausdrücklich nicht statt. Genau dafür braucht es zusätzlich SPF und DMARC.

Die Ausgangslage bei All-Inkl

Zwei Wege, je nachdem, wer deine Mails versendet:

  • Versand über die All-Inkl-Mailserver: DKIM-Signierung aktivierst du in den KAS-Einstellungen deiner Domain bzw. deines Postfachs — All-Inkl legt den passenden DNS-Eintrag dann selbst an. (Prüfe im KAS unter deiner Domain/Postfach, ob die DKIM-Option aktiv ist.)
  • Versand über einen externen Mailserver (eigener Server, Newsletter-Dienst): Du trägst den vom Anbieter gelieferten öffentlichen Schlüssel selbst als TXT-(DKIM)-Record im KAS ein. Diesen Weg beschreibt die folgende Anleitung — sie ist der von All-Inkl offiziell dokumentierte DNS-Weg.

Schritt-für-Schritt-Anleitung (externer Mailserver)

1. DNS-Einstellungen im KAS öffnen

Logge dich ins KAS (technische Verwaltung) ein und klicke auf ToolsDNS-Einstellungen. Bearbeite die Domain und klicke auf neuen DNS Eintrag erstellen.

2. Den DKIM-Record eintragen

Fülle die Maske so aus:

FeldWert
Namedein Selektor + ._domainkey, z. B. mail._domainkey
TypTXT
Datav=DKIM1; k=rsa; p=<dein-public-key-vom-mailserver>

Den Selektornamen (hier mail) gibt dir dein Mailserver bzw. Versanddienst vor — er muss exakt übereinstimmen, weil der empfangende Server genau unter selektor._domainkey.deine-domain nachschlägt. Eine PRIO gibt es bei DKIM nicht.

Zur Syntax: v=DKIM1 ist die Version und muss — wenn angegeben — an erster Stelle stehen. p enthält den öffentlichen Schlüssel. k=rsa gibt den Schlüsseltyp an (bei All-Inkl derzeit nur rsa).

3. Auf das Zeichenlimit achten

Das DATA-Feld fasst bis zu 512 Zeichen — damit sind Schlüssel bis 2048 Bit möglich. Ein 2048-Bit-RSA-Key passt also gerade noch; größere Schlüssel (4096 Bit) würden das Limit sprengen. Nimm im Zweifel einen 2048-Bit-Schlüssel.

4. Speichern und prüfen

Nach dem Speichern erscheint der Eintrag in der Tabelle. DNS-Änderungen bei All-Inkl können bis zu 24 Stunden brauchen, bis sie überall sichtbar sind.

Ergebnis prüfen

Der DNS-Record allein genügt nicht — dein Mailserver muss die ausgehenden Mails auch tatsächlich mit dem passenden privaten Schlüssel signieren. Prüfe das Zusammenspiel mit dem kostenlosen MXAudit-Scanner: Er zeigt, ob die Signatur greift und der Selektor im DNS auflösbar ist — zusammen mit SPF und DMARC.

Häufige Fehler

Selektor stimmt nicht überein. Der Name im DNS (selektor._domainkey) muss exakt dem Selektor entsprechen, mit dem dein Mailserver signiert. Ein Tippfehler und die Signatur ist nicht auffindbar.

Schlüssel zu groß fürs Feld. Über 512 Zeichen nimmt das DATA-Feld nicht — ein 4096-Bit-Schlüssel passt nicht. 2048 Bit wählen.

DNS gesetzt, aber Server signiert nicht. DKIM besteht aus zwei Hälften: öffentlicher Schlüssel im DNS und Signierung durch den Mailserver mit dem privaten Schlüssel. Fehlt die zweite, hilft der schönste TXT-Record nichts.

Leerzeichen um das =. In v=DKIM1 und p=... steht kein Leerzeichen um das Gleichheitszeichen — Parameter und Wert direkt aneinander, mit Semikolon getrennt.