Stand: Juli 2026

Zusammenfassung: Bei united-domains ist DKIM für jede E-Mail-Domain mit Postfach automatisch aktiv. Diese Anleitung zeigt, wann das gilt, wann nicht — und was du in den Ausnahmefällen tun musst.

Voraussetzungen

  • Eine Domain im united-domains-Portfolio
  • Ein E-Mail-Paket mit mindestens einem Postfach (für die automatische Aktivierung)

Was ist DKIM?

DKIM (DomainKeys Identified Mail) versieht ausgehende E-Mails mit einer digitalen Signatur, die der Empfänger über einen im DNS veröffentlichten Schlüssel prüft. Wichtig zur Abgrenzung, wie united-domains es selbst formuliert: DKIM verschlüsselt die Inhalte nicht — es prüft nur Authentizität und Integrität. Und: „SPF überprüft die IP-Adresse des Senders, während DKIM die Authentizität der E-Mail-Inhalte und des Headers überprüft.”

Erst SPF, DKIM und DMARC zusammen ergeben ein belastbares Fundament.

Die Ausgangslage bei united-domains — die gute Nachricht

united-domains macht es dir am einfachsten von allen: DKIM ist für jede E-Mail-Domain fest aktiviert, deren E-Mail-Paket mindestens ein Postfach nutzt. Du musst nichts einrichten, nichts eintragen — es läuft.

Es gibt genau eine wichtige Ausnahme: DKIM ist nicht aktiviert, wenn du für deine E-Mail-Domain eigene, also externe Nameserver nutzt. Dann liegt die DNS-Hoheit bei dir — und damit auch die Pflicht, den DKIM-Schlüssel selbst zu veröffentlichen.

Schritt-für-Schritt-Anleitung

1. Prüfen, ob DKIM aktiv ist

Bei einem normalen united-domains-Postfach-Setup ist DKIM bereits an. Prüfe es zur Sicherheit mit dem kostenlosen MXAudit-Scanner — er erkennt die Signatur und zeigt sie zusammen mit SPF und DMARC.

2. Der Normalfall: nichts tun

Nutzt du ein united-domains-E-Mail-Paket mit Postfach und die united-domains-Nameserver, ist DKIM fest aktiviert. Du bist fertig. Den Status findest du in der Domainverwaltung: neben der Domain auf das E-Mail-Symbol, dann unter E-Mail auf E-Mail-Sicherheit.

3. Ausnahme A: externe Nameserver

Betreibst du für die Domain eigene Nameserver, greift die automatische DKIM-Aktivierung nicht. Dann musst du den DKIM-Schlüssel deines Mailsystems selbst als TXT- oder CNAME-Record in deiner externen Zone veröffentlichen — so wie in unseren Anleitungen für Hetzner DNS oder Mailcow beschrieben.

4. Ausnahme B: Versand über einen externen Dienst

Versendest du über einen ESP oder Microsoft 365 statt über die united-domains-Postfächer, gilt die automatische Signierung nicht für diese Mails. Der externe Dienst liefert dir Selector und Schlüssel; die trägst du in der DNS-Verwaltung deiner Domain ein (bei Microsoft 365 z. B. die zwei CNAME-Selektoren).

Ergebnis prüfen

Prüfe deine Konfiguration mit dem kostenlosen MXAudit-Scanner — er zeigt dir DKIM, SPF und DMARC auf einen Blick.

Häufige Fehler

Externe Nameserver, DKIM vergessen. Der häufigste Stolperstein: Sobald du eigene Nameserver einträgst, ist die automatische DKIM-Aktivierung weg. Dann musst du den Schlüssel selbst veröffentlichen.

Angenommen, DKIM deckt auch externen Versand ab. Die automatische Signierung gilt für Mails aus den united-domains-Postfächern. Ein Newsletter-Dienst oder Microsoft 365 braucht seinen eigenen DKIM-Eintrag.

DKIM mit Verschlüsselung verwechselt. DKIM signiert, es verschlüsselt nicht. Für Verschlüsselung braucht es andere Verfahren (TLS im Transport, S/MIME oder PGP im Inhalt).