BIMI für Hostpoint — Schweizer Hoster mit HCP-DNS-Editor
Hostpoint AG (Rapperswil-Jona, SG) ist der größte Schweizer Webhoster — eigentümergeführt, alle Rechenzentren in der Schweiz, ISO/IEC 27001-zertifiziert. Der BIMI-Record wird über das HCP (Hostpoint Control Panel) im DNS-Editor der Domain gesetzt. Diese Anleitung zeigt das vollständige Setup mit DMARC-Enforcement, SVG Tiny PS und VMC sowie der Schweizer Compliance-Schicht (revDSG Art. 8) und dem SWITCH-DNSSEC-Sync für .ch/.li-Domains.
BIMI für Hostpoint-Domains (Schweiz, Rapperswil-Jona)
Hostpoint AG ist der größte Schweizer Webhosting-Anbieter mit Sitz in Rapperswil-Jona (SG) — eigentümergeführt, alle Rechenzentren in der Schweiz, ISO/IEC 27001-zertifiziert. Das HCP (Hostpoint Control Panel) ist das zentrale Verwaltungs-Panel, der BIMI-Record wird dort im DNS-Editor pro Domain gesetzt. Der Hostpoint-Support (support.hostpoint.ch, Telefon +41 55 220 70 80, Abruf 2026-05-19) dokumentiert TXT-Record-Pflege im DNS-Editor — BIMI ist kein expliziter Hostpoint-Mandat, die Konfiguration ist Best Practice nach dem IETF Internet-Draft Version 14 (1. Mai 2026) und NIS2 Art. 21 Abs. 2 lit. a sowie lit. h.
SWITCH-Sync für .ch/.li-Domains: Bei .ch- und .li-Domains, deren Registry SWITCH ist, wird der DNSSEC-DS-Record automatisch zwischen Hostpoint und SWITCH synchronisiert — Voraussetzung für die DANE-Schicht und eine prüfbare Begleit-Maßnahme zu BIMI. Diese SWITCH-Integration ist ein USP des Schweizer Hostpoint-Stacks und differenziert Hostpoint klar gegenüber EU-Mitbewerbern bei .ch-Domains. Outlook-Limitation Stand Februar 2026: Microsoft Outlook (Web, Desktop, Mobile) und Exchange Online unterstützen BIMI NICHT — die Reichweite liegt aktuell bei Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.
Bei einer Schweizer .ch-Domain ist die BIMI-Trust-Chain dreischichtig schweizerisch: Die Daten liegen im Hostpoint-Rechenzentrum Rapperswil-Jona, die .ch-Registry betreibt die Stiftung SWITCH in Zürich, und die DNSSEC-Signierung läuft über die SWITCH-TLD. Die einzige nicht-schweizerische Komponente ist das VMC — nötig für das blaue Gmail-Häkchen — das von einer der drei aktiven Zertifizierungsstellen kommt. Für jurisdiktionssensible Schweizer Kunden ist die Wahl relevant: DigiCert und Sectigo sind US-Unternehmen und unterliegen dem US CLOUD Act, GlobalSign betreibt mit der GlobalSign GmbH (München) eine deutsche Tochter, die Konzernmutter GMO GlobalSign K.K. sitzt in Tokio. Wer die Schweizer beziehungsweise EU-Hoheit konsequent halten will, wählt GlobalSign. revDSG-Art.-8-Konsequenz: BIMI mit VMC ist als „angemessene technische Maßnahme“ im Verzeichnis der Bearbeitungstätigkeiten dokumentierbar — der automatische SWITCH-DNSSEC-Sync ergänzt die Integritäts-Schicht prüfbar.
DMARC-Enforcement-Status der Hostpoint-Domain prüfen
BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer Hostpoint-Domain. Hostpoint nutzt für gehostete Domains in der Regel eigene Nameserver (ns1.hostpoint.ch bis ns3.hostpoint.ch), bei externen DNS-Setups gelten die jeweiligen Provider-Pfade.
# DMARC-Status für Hostpoint-Domain prüfen
dig TXT _dmarc.ihre-domain.ch +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.
# Hostpoint-NS-Pattern (Stack-Detection)
dig NS ihre-domain.ch +short
# Typisch: ns1.hostpoint.ch., ns2.hostpoint.ch., ns3.hostpoint.ch.
# DNSSEC-Status pro Domain (Pflicht-Voraussetzung für DANE,
# empfohlene Begleit-Maßnahme für BIMI)
dig DS ihre-domain.ch @1.1.1.1 +shortHostpoint unterstützt DNSSEC pro Domain im HCP — für .ch/.li-Domains erfolgt der DS-Record-Sync mit SWITCH automatisch. DNSSEC ist eine prüfbare Begleit-Maßnahme nach revDSG Art. 8 und Voraussetzung für DANE. Reihenfolge: erst DMARC-Enforcement, dann DNSSEC aktivieren, dann BIMI veröffentlichen.
SVG Tiny PS Logo erstellen und auf HTTPS hosten
Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile=tiny-ps, version=1.2, quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.
Hostpoint-Hosting-Pakete enthalten einen Webspace mit HTTPS und automatischem Let's-Encrypt-Zertifikat — das SVG-Logo wird unter einer öffentlich erreichbaren HTTPS-URL hochgeladen (z.B. /bimi/logo.svg). Pflicht: HTTPS mit gültigem TLS-Zertifikat, Content-Type image/svg+xml, öffentlich erreichbar ohne Login. Schweizer Datensouveränität: Der Webspace bleibt im Schweizer Hostpoint-Rechenzentrum — keine US-CLOUD-Act-Exposition.
BIMI-Record über HCP-DNS-Editor anlegen
Der BIMI-Record wird im HCP (admin.hostpoint.ch) unter Services → Domains → Ihre Domain → DNS-Editor als TXT-Record auf dem Selector default._bimi gesetzt. TTL-Empfehlung 3600 Sekunden. Bei externer DNS-Verwaltung (z.B. Cloudflare oder deSEC) gilt der entsprechende Provider-Pfad.
; BIMI-Record für Hostpoint-Domain — HCP DNS-Editor
; Selector immer: default._bimi
;
; v=BIMI1 Version (Pflicht, einziger Wert)
; l=URL SVG-Logo-URL, HTTPS Pflicht
; a=URL VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)
default._bimi.ihre-domain.ch. IN TXT "v=BIMI1; l=https://ihre-domain.ch/bimi/logo.svg; a=https://ihre-domain.ch/bimi/vmc.pem"
; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.ch. IN TXT "v=BIMI1; l=https://ihre-domain.ch/bimi/logo.svg; a="Der TXT-Wert wird ohne umschließende Anführungszeichen in das HCP-Eingabefeld eingegeben — Hostpoint kapselt den Wert in der Ausgabezone automatisch. Bei Fragen zur HCP-Bedienung Hostpoint-Support kontaktieren (support@hostpoint.ch oder Telefon +41 55 220 70 80). VMC-URL kann später ergänzt werden — beginnen Sie mit der l=-URL und ergänzen Sie a= nach VMC-Erhalt.
Verifikation und Test — Outlook ignorieren
Nach DNS-Propagation (typisch 1-24 Stunden, je nach TTL und Hostpoint-NS-Caching) verifizieren Sie den BIMI-Record per dig und das SVG-Hosting per curl. Senden Sie dann Test-Mails an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX und WEB.DE. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo — das ist erwartet und kein Fehler.
# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.ch +short
# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.ch/bimi/logo.svg | head -5
# Erwartet: HTTP/2 200 + content-type: image/svg+xml
# VMC-Erreichbarkeit
curl -sI https://ihre-domain.ch/bimi/vmc.pem | head -5
# Test-Mail an Gmail / Apple Mail / Yahoo / GMX / WEB.DE senden —
# Outlook ignoriert den BIMI-Record (Stand Februar 2026).
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Hostpoint-Nameserver automatisch über das Suffix *.hostpoint.ch, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift.
Häufige Fehler bei BIMI für Hostpoint
BIMI-Record nicht im HCP-DNS-Editor, sondern in der Mail-Konfiguration gesucht
Problem: BIMI-Tab wird in den Hostpoint-E-Mail-Einstellungen erwartet. Ursache: BIMI ist ein DNS-TXT-Record, kein Mail-Server-Setting — er gehört in den DNS-Editor der Domain. Lösung: HCP → Services → Domains → Ihre Domain → DNS-Editor → TXT-Record auf Selector default._bimi setzen.
SVG-Logo lokal hochgeladen, aber nicht öffentlich erreichbar
Problem: Das SVG-Logo wurde in einen geschützten Bereich des Hostpoint-Webspaces gelegt (.htaccess-geschützt oder hinter Login). Ursache: Gmail, Apple Mail und Yahoo fordern das Logo direkt vom Webserver — kein HTTP-Auth, kein 302-Redirect, kein 403-Fehler erlaubt. Lösung: Logo unter /bimi/logo.svg ohne Schutz ablegen, Content-Type image/svg+xml per .htaccess sicherstellen.
DNSSEC-Aktivierung übersprungen — DS-Record fehlt bei SWITCH
Problem: BIMI-Record wird ignoriert, obwohl DMARC und SVG korrekt sind — DS-Record-Lookup bei SWITCH bleibt leer. Ursache: DNSSEC wurde im HCP nicht aktiviert oder der DS-Record-Sync mit SWITCH ist hängen geblieben. Lösung: DNSSEC im HCP pro Domain aktivieren, mit dig DS ihre-domain.ch @1.1.1.1 +short verifizieren — bei Problemen Hostpoint-Support kontaktieren (SWITCH-Registry-Kommunikation läuft über den Hoster).
Compliance: NIS2 lit. a + lit. h, revDSG Art. 8, SWITCH-Datensouveränität
Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination auf einer Hostpoint-Domain erfüllt drei Compliance-Schichten gleichzeitig: NIS2 Art. 21 Abs. 2 lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung, NIS2 lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC sowie das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) — Art. 8 fordert die „angemessene Datensicherheit“ als TOM (technische und organisatorische Maßnahme). BIMI mit VMC ist Stand der Technik nach IETF Internet-Draft Version 14 (1. Mai 2026) und damit eine prüfbare Maßnahme.
Hostpoint-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + revDSG Art. 8 (Schweizer TOM, in Kraft seit 1. September 2023) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + SWITCH-DNSSEC-Sync für .ch/.li-Domains. Wolf-Agents-USP: Der Email Security Check erkennt Hostpoint-Nameserver automatisch (*.hostpoint.ch Stack-Detection), prüft die kombinierte DMARC-DNSSEC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage) und dokumentiert die Outlook-BIMI-Lücke. Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · Hostpoint?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.