Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung signiert Gandi deine ausgehenden Mails mit DKIM, und empfangende Server können die Signatur über deine DNS-Zone prüfen.

Voraussetzungen

  • Eine Domain und E-Mail-Postfächer bei Gandi (Gandi Mail)
  • Zugang zum Gandi-Konto (admin.gandi.net)

Was ist DKIM?

DKIM (DomainKeys Identified Mail) hängt, wie Gandi es formuliert, eine Signatur an deine Mail, die zeigt, dass sie autorisiert ist. Der empfangende Server holt den passenden öffentlichen Schlüssel aus deinem DNS und prüft damit, ob die Nachricht wirklich von deiner Domain stammt und unterwegs nicht verändert wurde.

Zur Einordnung: Während SPF den Server autorisiert, sichert DKIM die Nachricht selbst. Erst zusammen mit DMARC wird daraus ein belastbares Fundament — DKIM ist der zweite von drei Bausteinen.

Die Ausgangslage bei Gandi

Gandis Mailserver unterstützen DKIM-Signaturen. Wie du DKIM aktivierst, hängt davon ab, wo dein DNS liegt:

  • Domain und Mail bei Gandi, mit Gandi LiveDNS → ein einziger Schalter im Konto. Gandi veröffentlicht die Schlüssel für dich.
  • Mail bei Gandi, aber DNS bei einem anderen Anbieter → du legst drei CNAME-Einträge manuell an, die auf Gandis Schlüssel-Hosts zeigen.

Das Clevere steckt im Mechanismus: Die eigentlichen Schlüssel liegen bei Gandi (gm1.gandimail.net und Geschwister), und dein DNS zeigt per CNAME nur dorthin. So kann Gandi die Schlüssel wechseln, ohne dass du je wieder etwas anfassen musst.

Schritt-für-Schritt-Anleitung

1. Mit Gandi LiveDNS: den Schalter umlegen

Wenn Domain und Mail bei Gandi liegen und die Domain Gandi LiveDNS nutzt, aktivierst du DKIM direkt im Konto:

  1. Melde dich unter admin.gandi.net an und öffne deine Domain.
  2. Öffne den Reiter Email.
  3. Klicke neben Settings & Security auf Edit.
  4. Lege den Schalter neben DKIM Signature um und klicke auf Update.

Das war’s — Gandi richtet die nötigen DNS-Records ein. Springe zu Ergebnis prüfen.

2. Mit externem DNS: die 3 CNAME-Einträge

Wenn Domain und Mail bei Gandi liegen, du aber kein Gandi LiveDNS nutzt (die Domain zeigt auf einen anderen Nameserver), aktivierst du DKIM manuell, indem du bei deinem DNS-Anbieter die folgenden drei CNAME-Einträge anlegst:

gm1._domainkey    CNAME    gm1.gandimail.net.
gm2._domainkey    CNAME    gm2.gandimail.net.
gm3._domainkey    CNAME    gm3.gandimail.net.

Alle drei CNAME-Einträge sind nötig — sie existieren, damit Gandi den Signierschlüssel wechseln kann, ohne dein DKIM zu zerstören.

3. Warten, bis die Änderung aktiv ist

CNAME-Änderungen brauchen wie alle DNS-Records etwas Zeit; laut Gandi kann es bis zu 72 Stunden dauern, bis die Änderung überall wirksam ist.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir, ob DKIM korrekt signiert und die Selektoren im DNS auflösen, zusammen mit SPF und DMARC auf einen Blick. Oder im Terminal, wenn du den Selektor kennst:

dig CNAME gm1._domainkey.beispiel.de +short

Kommt gm1.gandimail.net. zurück, ist der erste DKIM-CNAME gesetzt.

Häufige Fehler

TXT-Eintrag statt CNAME angelegt. Für externen DNS arbeitet Gandi mit CNAME-Einträgen auf *.gandimail.net — nicht mit einem selbst eingetragenen TXT-Schlüssel. Ein alter Schlüssel als TXT blockiert die automatische Rotation.

Nur einen von drei CNAMEs angelegt. Alle drei (gm1, gm2, gm3) sind erforderlich, damit der Schlüsselwechsel weiter funktioniert. Leg alle drei an.

Schalter und manuelle CNAMEs. Mit Gandi LiveDNS erledigt der Schalter bereits alles — du legst die CNAMEs dann nicht zusätzlich von Hand an. Der manuelle Weg ist nur für externen DNS.

Den abschließenden Punkt vergessen. Die CNAME-Ziele enden auf einem Punkt (gm1.gandimail.net.) — ein absoluter Name. Manche Oberflächen ergänzen ihn automatisch; prüfe, ob deine das tut.