Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung veröffentlicht deine Domain einen gültigen DKIM-Public-Key — bei konsoleH automatisch generiert, bei eigenem Mailserver von dir bereitgestellt.

Voraussetzungen

  • Ein Hetzner-Webhosting-Paket (konsoleH) oder eine DNS-Zone bei Hetzner plus eigener Mailserver
  • Zugriff auf die jeweilige DNS-Verwaltung

Was ist DKIM?

DKIM (DomainKeys Identified Mail) fügt ausgehenden E-Mails eine digitale Signatur hinzu. Empfangende Server prüfen damit, ob eine Mail wirklich von deiner Domain stammt und unterwegs nicht verändert wurde. DKIM arbeitet mit einem Schlüsselpaar: Der private Schlüssel liegt auf dem Mailserver und signiert; der öffentliche Schlüssel steht im DNS und dient dem Empfänger zur Verifikation.

Zur Einordnung: Während SPF den Server autorisiert, sichert DKIM die Nachricht. Erst mit DMARC wird daraus ein durchsetzbares Fundament.

Die Ausgangslage bei Hetzner

Zwei Szenarien, je nachdem, wer deine Mails versendet:

A) konsoleH-Webhosting (Hetzner ist dein Mailserver). Die Funktion Enable DKIM erzeugt automatisch ein Schlüsselpaar. Nutzt du die konsoleH-Nameserver, setzt das System den nötigen DNS-Record gleich mit — nutzt du externe Nameserver, zeigt konsoleH dir den TXT-Record zum manuellen Eintragen an.

B) Eigener Mailserver hinter Hetzner DNS. Dein Mailserver (z. B. Mailcow, OpenDKIM) erzeugt das Schlüsselpaar. Den öffentlichen Schlüssel trägst du als TXT-Record in deiner Hetzner-DNS-Zone ein.

Schritt-für-Schritt-Anleitung

A) konsoleH-Webhosting

1. DKIM aktivieren. In den konsoleH-Mail-Sicherheitseinstellungen deiner Domain die Funktion Enable DKIM einschalten. Das erzeugt automatisch ein Schlüsselpaar.

2. DNS-Record setzen.

  • Mit konsoleH-Nameservern: Das System legt den DKIM-DNS-Record automatisch an — du bist fertig.
  • Mit externen Nameservern: konsoleH zeigt dir einen TXT-Record an. Diesen trägst du bei deinem DNS-Anbieter exakt so ein (Hostname selektor._domainkey, Wert v=DKIM1; ...).

3. Optional: eigenes Schlüsselpaar. Du kannst auch ein eigenes Schlüsselpaar verwenden. Wichtig: Der private Schlüssel darf nicht passwortgeschützt sein, sonst kann der Mailserver damit nicht signieren.

B) Eigener Mailserver hinter Hetzner DNS

1. Schlüssel am Mailserver erzeugen. Dein Mailserver generiert Selector und Schlüsselpaar (bei Mailcow z. B. in der UI). Du bekommst einen öffentlichen Schlüssel im Format v=DKIM1; k=rsa; p=....

2. TXT-Record in der Hetzner Console anlegen:

FeldWert
TypeTXT
Name<selektor>._domainkey (z. B. dkim._domainkey)
Value"v=DKIM1; k=rsa; p=<dein-public-key>"

Wie schon beim SPF-Record gilt die Hetzner-Eigenheit: der TXT-Wert muss in Anführungszeichen stehen.

Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit: Je nach TTL und Caching kann es einige Stunden dauern, bis alle Server den neuen Eintrag sehen.

Ergebnis prüfen

Der DNS-Record allein genügt nicht — der Mailserver muss auch tatsächlich mit dem privaten Schlüssel signieren. Prüfe das Zusammenspiel mit dem kostenlosen MXAudit-Scanner — er zeigt DKIM, SPF und DMARC auf einen Blick.

Häufige Fehler

Privater Schlüssel passwortgeschützt. Nutzt du ein eigenes Schlüsselpaar, darf der private Schlüssel kein Passwort haben — sonst kann der Mailserver nicht signieren.

Anführungszeichen vergessen. In der Hetzner Console gehört der TXT-Wert in Anführungszeichen. Ohne sie wird der lange DKIM-String nicht korrekt gespeichert.

Selektor stimmt nicht. Der Name im DNS (selektor._domainkey) muss exakt dem Selektor entsprechen, mit dem der Mailserver signiert.

DNS gesetzt, aber keine Signatur. DKIM braucht beide Hälften: Public Key im DNS und aktive Signierung am Mailserver. Prüfe beides.