BIMI für All-Inkl — TXT-Record im KAS DNS-Editor

All-Inkl ist ein eigenständiger DACH-Webhoster (Neue Medien Münnich GmbH) mit Hauptverwaltung in Friedersdorf (Sachsen) und Rechenzentrum in Dresden — kein Konzernverbund mit United Internet oder IONOS Group SE. Der BIMI-Record wird über das KAS (Kunden-Administrations-System) als TXT-Record in der DNS-Verwaltung angelegt, das SVG-Logo kann direkt auf dem All-Inkl-Webspace gehostet werden. Diese Anleitung zeigt das vollständige Setup mit DMARC-Enforcement, SVG Tiny PS, BIMI-Record und Verifikation.

BIMI prüfen Plattform entdecken

All-Inkl · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 19. Mai 2026

BIMI für All-Inkl-gehostete Domains

All-Inkl wird betrieben von der Neue Medien Münnich GmbH, Friedersdorf-Verwaltung + Dresden-Datacenter, eigenständig — kein Konzernverbund mit United Internet, IONOS Group SE oder anderen DACH-Marken. Das Unternehmen wurde 1999 gegründet, alle Daten liegen in deutschen Rechenzentren mit DSGVO-konformer deutscher Datensouveränität. All-Inkl bündelt Webhosting, Mail-Service, Registrar und DNS-Verwaltung im KAS (Kunden-Administrations-System, kas.all-inkl.com) — der BIMI-TXT-Record wird über den DNS-Editor im KAS angelegt, das SVG-Logo lässt sich auf demselben All-Inkl-Webspace hosten. Die offizielle All-Inkl-Anleitungen-Seite (all-inkl.com/wichtig/anleitungen, Abruf 2026-05-19) listet Domain-, DNS- und E-Mail-Anleitungen.

All-Inkl stellt keinen BIMI-Tab im KAS bereit — BIMI ist kein All-Inkl-Mandat, sondern Best Practice nach dem IETF Internet-Draft Version 14 (1. Mai 2026) und NIS2 Art. 21 Abs. 2 lit. a sowie lit. h. Der BIMI-Record wird wie jeder andere TXT-Record über den DNS-Editor erfasst. All-Inkl-Eigenständigkeit ist ein scharfes Differenzierungsmerkmal für datensouveränitäts-fokussierte Kunden (öffentliche Verwaltung, Bildung, kleine Anwaltskanzleien mit Schrems-II-Sensitivität), die explizit konzernunabhängiges Hosting suchen.

Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.

BIMI-Beschaffung für All-Inkl-Kunden: Webspace plus externes Zertifikat

All-Inkl bündelt Webspace, DNS-Verwaltung und Mail im KAS — ein VMC oder CMC wird jedoch nicht von All-Inkl verkauft; kein DACH-Webhoster ist VMC-Reseller. Das saubere, weitgehend geschlossene Setup: SVG-Logo und, falls vorhanden, die VMC-PEM-Datei liegen auf dem All-Inkl-Webspace, der BIMI-TXT-Record im KAS-DNS-Editor — das Zertifikat selbst bestellen Sie direkt bei DigiCert, Sectigo oder GlobalSign. Für die typische All-Inkl-Klientel — kleine Unternehmen, Vereine, Kanzleien — fehlt häufig eine eingetragene Marke. Dann ist das CMC (Common Mark Certificate) der realistische Pfad: Es verlangt statt einer Markenregistrierung einen 12-Monats-Nutzungsnachweis des Logos und schaltet die Logo-Anzeige in Gmail, Apple Mail und GMX/WEB.DE frei — ohne das blaue Häkchen, das dem VMC vorbehalten bleibt.

Ausführliche Einführung in BIMI und VMC

1 Schritt 1 von 4

DMARC-Enforcement-Status für All-Inkl-Domain prüfen

BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer All-Inkl-Domain mit dig TXT _dmarc.ihre-domain.de. Sollte die Policy noch auf p=none stehen, folgen Sie zunächst dem DMARC-Enforcement-Guide für All-Inkl.

# DMARC-Status für All-Inkl-gehostete Domain prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.

# Nameserver-Pattern (Stack-Detection All-Inkl)
dig NS ihre-domain.de +short
# Erwartet typisch: ns5.kasserver.com., ns6.kasserver.com.

# MX-Pattern bei All-Inkl-Mail (optional)
dig MX ihre-domain.de +short
# Erwartet: 10 w0XX[NODE].kasserver.com. (All-Inkl-Mailserver)

All-Inkl-Stack-Detection — KAS-Nameserver und Webhosting

All-Inkl-Nameserver folgen typisch dem Pattern ns5.kasserver.com und ns6.kasserver.com. Sind Ihre Nameserver auf einen externen Anbieter umgestellt (deSEC, Cloudflare, Hetzner DNS Console), legen Sie den BIMI-Record dort an. All-Inkl bietet Webhosting (für SVG-Hosting), Mailserver (w0XX[NODE].kasserver.com) sowie Domain-Registry-Funktionen im gleichen KAS — BIMI funktioniert unabhängig vom MX-Provider.

2 Schritt 2 von 4

SVG Tiny PS Logo erstellen und auf All-Inkl-Webspace hosten

Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile="tiny-ps", version="1.2", quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.

Logo-Hosting auf dem All-Inkl-Webspace

All-Inkl-Tarife enthalten Webspace mit WebFTP, FTP und SFTP-Zugang. Hinterlegen Sie das Logo unter einem stabilen Pfad wie /bimi/logo.svg auf dem Webspace und prüfen Sie, dass All-Inkl den korrekten Content-Type: image/svg+xml ausliefert (Standard auf All-Inkl-Webhosting). SSL-Zertifikate stellt All-Inkl standardmäßig per Let's Encrypt aus — Sie aktivieren das Zertifikat pro Domain im KAS.

3 Schritt 3 von 4

BIMI-Record im KAS-DNS-Editor setzen

Im KAS (kas.all-inkl.com) navigieren Sie zu Domain → gewählte Domain → DNS-Einstellungen (alternativ unter Technische Verwaltung → DNS-Verwaltung, abhängig vom Tarif). Klicken Sie auf Eintrag hinzufügen, wählen Sie den Typ TXT. Als Name tragen Sie default._bimi ein (das KAS ergänzt die Hauptdomain automatisch). Im Wert-Feld der BIMI-String, TTL gemäß KAS-Default (typisch 3600 Sekunden).

; BIMI-Record für All-Inkl-gehostete Domain — im KAS-DNS-Editor
; Selector immer: default._bimi
;
; v=BIMI1   Version (Pflicht, einziger Wert)
; l=URL     SVG-Logo-URL, HTTPS Pflicht
; a=URL     VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)

default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"

; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.de.  IN  TXT  "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="

; CAA-Records für VMC-Ausstellung empfohlen (RFC 8659)
ihre-domain.de.  IN  CAA  0 issue "letsencrypt.org"
ihre-domain.de.  IN  CAA  0 issue "digicert.com"

CAA-Records für VMC-Beantragung im KAS ergänzen

Wenn Sie für Gmail das blaue Verifizierungshäkchen anstreben, benötigen Sie ein VMC (Verified Mark Certificate) von DigiCert, Sectigo oder GlobalSign. Damit die VMC-Ausstellung nicht durch CAA blockiert wird, ergänzen Sie im KAS-DNS-Editor CAA-Records für die gewählte CA (typisch digicert.com) und für letsencrypt.org (TLS-Stack). Hinweis: Entrust hat sein VMC-Geschäft 2025 an Sectigo verkauft — alte Tutorials, die Entrust als VMC-CA listen, sind überholt.

4 Schritt 4 von 4

Verifikation per dig, curl und Test-Mail

Nach DNS-Propagation (bei All-Inkl-Nameservern typisch 5-30 Minuten, in Einzelfällen bis 24 Stunden) verifizieren Sie den BIMI-Record per dig und die SVG/VMC-Erreichbarkeit per curl. Senden Sie dann Test-Mails an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX, WEB.DE, Fastmail und AOL Mail. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo, falls die Domain in M365-Mail genutzt wird — das ist erwartet und kein Fehler (Outlook unterstützt BIMI Stand Februar 2026 NICHT).

# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# Erwartet: "v=BIMI1; l=https://...svg; a=https://...pem"

# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet:
#   HTTP/2 200
#   content-type: image/svg+xml

# VMC-Erreichbarkeit prüfen
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5
# Erwartet: HTTP/2 200, content-type: application/x-pem-file oder application/octet-stream

# Test-Mail an Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail, AOL Mail senden —
# Outlook zeigt das Logo Stand Februar 2026 NICHT.

Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt All-Inkl-Nameserver-Patterns (*.kasserver.com) automatisch über Stack-Detection, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift (Logo-URL ungültig, VMC abgelaufen, Record entfernt).

Häufige Fehler bei BIMI für All-Inkl

Name-Feld vollqualifiziert im KAS eingetragen

Problem: Im KAS-DNS-Editor wurde der Name als default._bimi.ihre-domain.de eingetragen — der Record landet bei default._bimi.ihre-domain.de.ihre-domain.de. Ursache: Das KAS ergänzt die Hauptdomain automatisch. Lösung: Im Namensfeld nur default._bimi eintragen, ohne nachgestellten Punkt und ohne Hauptdomain. Mit dig TXT default._bimi.ihre-domain.de +short verifizieren.

SSL-Zertifikat im KAS nicht aktiviert

Problem: Logo ist auf dem All-Inkl-Webspace hinterlegt, aber HTTPS-Aufruf liefert Zertifikatsfehler. Ursache: Let's-Encrypt-Zertifikat wurde im KAS für die Domain noch nicht aktiviert. Lösung: Im KAS unter Tools → SSL Let's-Encrypt für die Domain aktivieren. Nach Ausstellung BIMI-Record auf HTTPS-URL umstellen.

DNSSEC im KAS-Tarif nicht verfügbar

Problem: DNSSEC-Option im KAS für die Domain nicht sichtbar. Ursache: Tarif-spezifische Limitation oder TLD ohne DNSSEC-Support — All-Inkl-Support (support@all-inkl.com, Telefon +49 35872 353-10) kontaktieren. Lösung: DNS-Verwaltung zu einem DNSSEC-fähigen Provider migrieren (deSEC kostenlos, Cloudflare 1-Click) — Domain beim All-Inkl-Registrar belassen. BIMI funktioniert auch ohne DNSSEC, NIS2 lit. h ist über DNSSEC zusätzlich abgedeckt.

SVG mit Transparenz / opacity exportiert

Problem: Logo wurde per Standard-Adobe-Illustrator-Export erstellt, BIMI-Logo wird trotz korrektem Record nicht angezeigt. Ursache: Transparenter Hintergrund oder opacity-Attribute verstoßen gegen SVG Tiny PS. Lösung: Mit BIMI Group SVG Converter re-konvertieren und Hintergrund explizit als deckende Fläche setzen.

Compliance · NIS2 · BSI · DSGVO

Compliance: NIS2 lit. a + lit. h mit Neue Medien Münnich GmbH

Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination für All-Inkl-Domains erfüllt zwei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung und lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC. Die Neue Medien Münnich GmbH (Friedersdorf-Verwaltung + Dresden-Datacenter, eigenständig seit 1999) ist DSGVO-konform mit deutscher Datensouveränität, ohne Konzern-Bindung an US-Provider — für datensouveränitäts-fokussierte Kunden (öffentliche Verwaltung, Bildung, Anwaltskanzleien mit Schrems-II-Sensitivität) ein scharfes Differenzierungsmerkmal.

All-Inkl-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing) + Neue Medien Münnich GmbH DE-Datensouveränität (Friedersdorf + Dresden). Wolf-Agents-USP: Der Email Security Check erkennt All-Inkl-Nameserver-Patterns automatisch (*.kasserver.com Stack-Detection), prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage) und dokumentiert die Outlook-BIMI-Lücke (Outlook unterstützt BIMI Stand Februar 2026 NICHT). Cross-Verweis: Email-Spoofing und Phishing.

BIMI-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei BIMI · All-Inkl?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten