Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung sind deine ausgehenden E-Mails bei one.com mit einer gültigen DKIM-Signatur versehen. Empfangende Mailserver verifizieren damit die Echtheit deiner Nachrichten und schützen deine Domain vor Manipulation.

Voraussetzungen

  • Ein one.com-E-Mail-Hosting für deine Domain
  • Zugang zum one.com Control Panel oder zu deinem externen DNS-Anbieter

Was ist DKIM?

DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden E-Mail eine kryptografische digitale Signatur hinzu. Der empfangende Mailserver prüft anhand des öffentlichen Schlüssels im DNS deiner Domain, ob die E-Mail tatsächlich von deinem Server stammt und unterwegs nicht verändert wurde.

Wie one.com in den offiziellen Dokumenten festhält: All emails you send already include a DKIM signature, and all emails you receive are checked for the digital DKIM signature.

Zur Einordnung: Während SPF festlegt, welche Server senden dürfen, sichert DKIM die Integrität der Nachricht selbst ab. Zusammen mit DMARC bildet DKIM das Fundament moderner E-Mail-Authentifizierung.

Die Ausgangslage bei one.com

Wenn deine Domain und deine Nameserver bei one.com liegen, wird DKIM ohne manuelles Eingreifen für dich verwaltet: If you use one.com for email hosting, DKIM is enabled automatically when your domain uses our name servers.

Du musst deshalb in der Regel keinen manuellen TXT- oder CNAME-Record in den DNS-Einstellungen hinterlegen, solange die internen Nameserver von one.com genutzt werden. Handeln musst du nur dann, wenn du das E-Mail-Hosting von one.com verwendest, deine Nameserver jedoch bei einem externen DNS-Provider liegen.

Schritt-für-Schritt-Anleitung

1. Bei Nutzung der one.com-Nameserver: Nichts tun

Nutzt deine Domain die Standard-Nameserver von one.com, greift die automatische DKIM-Signierung bereits. Die Schlüsselverwaltung und Rotation übernimmt one.com im Hintergrund für dich. Du kannst diesen Schritt überspringen und direkt zu Ergebnis prüfen gehen.

2. Externer DNS: CNAME-Einträge über den Support anfordern

Verwaltest du deine DNS-Zone bei einem anderen Anbieter (beispielsweise einem reinen Domain- oder Cloud-Provider), verlangt die Aktivierung von DKIM das Anlegen spezifischer CNAME-Records, die auf die Signaturhosts von one.com verweisen.

Wie viele Records du benötigst, hängt vom Status deiner Domain ab:

  • For non-migrated domains, DKIM requires 4 CNAME records.
  • For migrated domains, DKIM required 2 CNAME records.

Da die exakten Hostnamen und CNAME-Ziele domainspezifisch sind, werden diese Werte nicht pauschal dokumentiert. Wende dich direkt an den one.com-Support, um die passenden Einträge für deine Domain zu erhalten: add the number of new CNAME records using the values you need for your domain, provided by our support. Erfinde oder kopiere niemals fremde CNAME-Werte aus anderen Anleitungen, da die DKIM-Signatur sonst ungültig ist.

3. CNAME-Records beim externen Anbieter eintragen

Sobald du die individuellen CNAME-Werte (entweder 2 oder 4 Einträge) vom Support erhalten hast, öffne die DNS-Verwaltung deines externen Providers und erstelle für jeden erhaltenen Wert einen neuen CNAME-Record nach den Vorgaben des Supports.

4. Warten, bis die DNS-Änderung wirksam ist

Nach dem Speichern der CNAME-Records beim externen DNS-Anbieter erfordert die weltweite Verteilung etwas Geduld. Laut one.com gilt: It usually takes up to 240 minutes for this DNS change to propagate across the internet.

Ergebnis prüfen

Ob deine DKIM-Signatur korrekt im E-Mail-Header übermittelt und über das DNS verifiziert wird, prüfst du am einfachsten mit dem kostenlosen MXAudit-Scanner. Der Scanner analysiert deine Domain umfassend auf SPF, DKIM und DMARC.

Alternativ kannst du im Terminal einen spezifischen DKIM-Selector deiner Domain abfragen (sofern dir der vom Support mitgeteilte Selector bekannt ist):

dig CNAME selector._domainkey.beispiel.de +short

Die Rückgabe muss auf den offiziellen Zielhost von one.com verweisen.

Häufige Fehler

Fremde oder generische CNAME-Werte verwendet. Da die CNAME-Ziele bei one.com von der jeweiligen Plattform-Migration und Domain abstammen, führen pauschal aus Foren kopierte Werte zu Fehlern bei der Signaturprüfung. Hole die 2 oder 4 CNAME-Einträge immer direkt beim Support ein.

Manuelle Einträge trotz one.com-Nameserver versucht. Wer die Nameserver von one.com nutzt und versucht, eigene DKIM-Keys im Control Panel anzulegen, stört unter Umständen die automatische Schlüsselverwaltung der Plattform.

Wartezeit von bis zu 4 Stunden nicht beachtet. Da CNAME-Änderungen im DNS bis zu 240 Minuten (240 minutes) für die weltweite Verteilung benötigen, schlagen Signaturtests direkt nach dem Speichern häufig noch fehl.