Stand: Juli 2026

Zusammenfassung: Nach dieser Anleitung signiert OVHcloud deine ausgehenden Mails mit DKIM. Empfangende Server bestätigen damit, dass deine Nachrichten unterwegs nicht verändert wurden — und dass sie wirklich von deiner Domain stammen.

Voraussetzungen

  • Ein OVHcloud-Mail-Angebot (MX Plan, Email Pro, Exchange oder Zimbra)
  • Zugang zum OVHcloud Control Panel
  • Für den automatischen Weg: die DNS-Zone der Domain bei OVHcloud

Was ist DKIM?

DKIM (DomainKeys Identified Mail) hängt jeder ausgehenden E-Mail eine kryptografische Signatur an. OVHcloud bringt es auf den Punkt: Der DKIM-„record allows you to sign emails to prevent identity fraud“. Die Sende-Plattform signiert die Nachricht mit einem privaten Schlüssel; der passende öffentliche Schlüssel liegt in deiner DNS-Zone, sodass jeder Empfänger die Signatur prüfen kann. Wird die Mail unterwegs verändert, passt die Signatur nicht mehr und die DKIM-Prüfung schlägt fehl.

Das Bindeglied zwischen Schlüsselrotation und DNS ist der Selector. Er steht im Mail-Header hinter s= — bei OVHcloud-Mail sieht ein Selector etwa so aus: s=ovhex123456-selector1. Zusammen mit SPF und DMARC bildet DKIM das Authentifizierungs-Trio, das große Empfänger heute erwarten.

Die Ausgangslage bei OVHcloud

Die gute Nachricht: OVHcloud übernimmt die Hauptarbeit. „Automatic DKIM configuration is available for all our email offers“ — MX Plan, Exchange, Email Pro und Zimbra. Wenn du eine Domain an eine OVHcloud-Mail-Lösung anbindest, wird die „automatic DKIM configuration is proposed and performed by default if you do not disable it“. Für ein frisches OVHcloud-Postfach auf einer bei OVHcloud gehosteten Domain ist DKIM also meist schon aktiv.

Zwei Situationen erfordern einen manuellen Schritt: DKIM war bei der Domain-Anbindung nicht aktiviert, oder das DNS der Domain liegt außerhalb von OVHcloud.

Schritt-für-Schritt-Anleitung

1. Prüfen, ob DKIM aktiv ist

Am einfachsten wirfst du deine Domain in den kostenlosen MXAudit-Scanner — er sucht nach einer gültigen DKIM-Signatur und dem öffentlichen Schlüssel. Kennst du den Selector schon, geht es auch im Terminal:

dig TXT selector._domainkey.beispiel.de +short

2. DKIM für ein OVHcloud-Postfach aktivieren

Wurde DKIM nicht automatisch eingeschaltet, aktivierst du es im Control Panel. Für MX Plan: Web Cloud öffnen, MX Plan anklicken, die Domain auswählen und den Reiter General information öffnen. Im Kasten General information steht DKIM rot in der Spalte Diagnostic. OVHcloud beschreibt es so: „To enable DKIM, simply click on the red“ DKIM-Badge und dann auf Validate. Exchange, Email Pro und Zimbra folgen im jeweiligen Bereich demselben Muster.

3. Domain auf externem DNS: die zwei CNAME-Records

Liegt deine Domain nicht im selben OVHcloud Control Panel — oder ist sie ganz außerhalb von OVHcloud registriert — ändert sich das Aktivierungsfenster. OVHcloud schreibt: „This window asks you to enter two CNAME values in the DNS zone of the domain name, which links this domain name to the DKIM selectors of your email service.“ Du kopierst diese zwei CNAME-Ziele zu deinem externen DNS-Anbieter, wartest die Propagation ab und klickst erst dann auf Enable.

Der CNAME-Ansatz ist Absicht: Er lässt OVHcloud die Schlüssel für dich rotieren. Bei einem Rollover muss „the old pair must remain active until all emails you sent with the old key fail to pass the DKIM check on the incoming server“ — solange die CNAMEs auf OVHclouds Selektoren zeigen, löst du immer auf den aktuellen Schlüssel auf, ohne deine Zone erneut anzufassen.

4. Warten, bis die Änderung aktiv ist

DNS-Änderungen brauchen Zeit: Je nach TTL und Caching kann es einige Stunden dauern, bis alle empfangenden Server die neuen Schlüssel sehen.

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DKIM, SPF und DMARC auf einen Blick. Oder schick dir selbst eine Testmail und sieh in den Header: Eine gültige DKIM-Signature:-Zeile mit einem d=, das zu deiner Domain passt, bedeutet, dass die Signatur funktioniert.

Häufige Fehler

DKIM ohne OVHcloud-Mail-Angebot erwarten. Die automatische Signatur hängt an einem OVHcloud-Postfach (MX Plan, Email Pro, Exchange, Zimbra). Versendest du über einen externen ESP, liefert dieser Anbieter seinen eigenen DKIM-Record zum Veröffentlichen.

Externes DNS, keine CNAMEs. Nutzt deine Domain Nameserver außerhalb von OVHcloud, kann die automatische Aktivierung nicht in deine Zone schreiben. OVHcloud merkt an: „If your domain name does not use OVHcloud DNS servers, you will need to modify the DKIM records in the interface of the service provider that manages your domain name configuration“ — dorthin gehören die zwei CNAMEs.

Schlüssel als statisches TXT statt CNAME kopieren. Replizierst du OVHclouds Selektoren als starre TXT-Records, hängst du bei einem Rollover auf einem alten Schlüssel fest. Die CNAME-Variante hält dich automatisch auf dem aktuellen Schlüssel.

DKIM allein. Eine DKIM-Signatur belegt nur Integrität und Herkunft — sie regelt keine Policy. Kombiniere sie mit SPF und einem DMARC-Record, damit Empfänger wissen, was bei einer fehlgeschlagenen Prüfung zu tun ist.