Stand: Juli 2026

Zusammenfassung: domainfactory bietet für DKIM keinen Assistenten wie bei SPF. Nach dieser Anleitung veröffentlichst du den öffentlichen DKIM-Schlüssel deines sendenden Dienstes als TXT-Record in den Nameserver-Einstellungen.

Voraussetzungen

  • Ein domainfactory-Account mit Zugang zum Kundenmenü
  • Den öffentlichen DKIM-Schlüssel bzw. die CNAME-Vorgaben deines sendenden Dienstes (Microsoft 365, Newsletter-Tool, eigener Server)

Was ist DKIM?

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur, die der Empfänger über einen im DNS veröffentlichten öffentlichen Schlüssel prüft. domainfactory beschreibt DKIM in der eigenen Doku treffend als Anwendungsbeispiel für TXT-Einträge — es wird „ähnlich wie SPF zur Authentifizierung von absendenden E-Mail-Servern verwendet”.

Zur Einordnung: Während SPF den Server autorisiert, sichert DKIM die Nachricht. Erst mit DMARC wird daraus ein durchsetzbares Fundament.

Die Ausgangslage bei domainfactory — wichtig

Anders als bei SPF gibt es bei domainfactory keinen DKIM-Assistenten und keine Ein-Klick-DKIM-Signierung für klassische Postfächer. In der E-Mail-FAQ von domainfactory existiert schlicht kein DKIM-Artikel — nur SPF.

Das heißt konkret: DKIM entsteht bei domainfactory nicht durch domainfactory selbst, sondern durch deinen sendenden Dienst. Der erzeugt das Schlüsselpaar und gibt dir den öffentlichen Teil. Deine Aufgabe bei domainfactory ist nur, diesen als TXT-Record (oder CNAME, je nach Dienst) zu veröffentlichen. Drei typische Fälle:

  1. Du sendest über Microsoft 365 (mit domainfactory als DNS): Folge der DKIM-Anleitung für Microsoft 365 — dort bekommst du zwei CNAME-Werte, die du hier einträgst.
  2. Du sendest über einen ESP/Newsletter-Dienst: Der Dienst liefert dir Selector und Schlüssel; du trägst sie als TXT-Record ein.
  3. Du sendest über einen eigenen Mailserver: Dein Server (z. B. Mailcow) erzeugt den Schlüssel; du veröffentlichst den TXT-Record.

Schritt-für-Schritt-Anleitung

1. Schlüssel/Selector von deinem Versanddienst holen

Bei deinem sendenden Dienst findest du den DKIM-Selector (z. B. selector1, s1, default) und den öffentlichen Schlüssel v=DKIM1; .... Notiere den vollständigen Hostnamen selektor._domainkey und den Wert.

2. Nameserver-Einstellungen öffnen

Im Kundenmenü in der linken Menüspalte auf Nameserver-Einstellungen. Wähle in der Liste per Klick auf Editieren die Domain aus, für die du DKIM einrichtest.

3. TXT-Record (oder CNAME) anlegen

Lege einen neuen Eintrag an:

  • Hostname: selektor._domainkey (den Selector gibt dein Dienst vor)
  • Typ: TXT — für einen direkten Schlüssel. Verlangt dein Dienst stattdessen eine Delegation (wie Microsoft 365), wähle CNAME und trage den vorgegebenen Zielwert ein.
  • Wert: der vom Dienst gelieferte v=DKIM1; ...-String bzw. das CNAME-Ziel.

TXT-Einträge sind bei domainfactory ausdrücklich für genau solche Dienste gedacht, „für die kein eigener Eintragstyp zur Verfügung steht”.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit — je nach Caching einige Stunden. Solltest du dich vertan haben, kannst du die Nameserver-Einträge über „Nameserver-Einträge zurücksetzen” auf den Originalzustand bringen (Vorsicht: entfernt auch andere Änderungen).

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DKIM, SPF und DMARC auf einen Blick.

Häufige Fehler

Erwartung eines DKIM-Assistenten. Anders als bei SPF gibt es bei domainfactory keinen — der Schlüssel kommt immer von deinem Versanddienst.

Selector-Hostname falsch. Der Eintrag muss exakt selektor._domainkey heißen, mit dem Selector deines Dienstes. Ein anderer Name macht die Signatur unauffindbar.

TXT statt CNAME (oder umgekehrt). Microsoft 365 verlangt CNAMEs, ein klassischer ESP oft einen TXT-Schlüssel. Nimm den Typ, den dein Dienst vorgibt.

Kein signierender Server dahinter. Der DNS-Eintrag allein signiert nichts — die Signierung passiert bei deinem Versanddienst. Beides muss zusammenpassen.