BIMI für IONOS — TXT-Record im IONOS Control Panel
IONOS ist Webhoster, Mail-Provider, Registrar und DNS-Hoster in einem — der BIMI-Record wird direkt im IONOS Control Panel unter Domains & SSL > DNS-Einstellungen angelegt. Das SVG-Logo lässt sich auf dem gleichen IONOS-Webspace hosten, das Setup bleibt damit komplett in einer Hand. Diese Anleitung zeigt das vollständige Setup mit DMARC-Enforcement, SVG Tiny PS, BIMI-Record und Verifikation — inklusive Konzern-Hintergrund IONOS Group SE / United Internet AG.
BIMI für IONOS-gehostete Domains
IONOS (vormals 1&1) ist Teil der IONOS Group SE, die seit 2021 separat an der Frankfurter Wertpapierbörse notiert ist — Mehrheitseigentümer ist die United Internet AG (Sitz Montabaur, HRB 24498). IONOS betreibt eigene Nameserver (ns*.ui-dns.de / .com / .org / .biz) und ist gleichzeitig Webhoster, Registrar, DNS-Hoster und Mail-Provider — das macht das BIMI-Setup besonders schlank: TXT-Record im IONOS Control Panel anlegen, SVG-Logo auf dem gleichen IONOS-Webspace hosten, CAA-Records ebenfalls dort pflegen. Die offizielle IONOS-Doku (www.ionos.de/hilfe, Abruf 2026-05-19) führt durch DNS-Editor und Domain-Einstellungen.
Domain-Connect-Hinweis: IONOS unterstützt das Domain-Connect-Protokoll für die automatische DNS-Konfiguration von Microsoft 365, Google Workspace und weiteren Cloud-Diensten — MX, SPF und DKIM-CNAMEs werden so per Klick propagiert. Der BIMI-Record wird hingegen NICHT von Domain Connect ausgerollt, sondern manuell als TXT-Record im DNS-Editor des IONOS Control Panels gesetzt.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.
IONOS bündelt Webhosting, DNS und Mailbox — ein VMC verkauft IONOS jedoch nicht; das Zertifikat wird direkt bei einer Zertifizierungsstelle bestellt. Für IONOS-gehostete Domains ist der DigiCert-Pfad am schlanksten: DigiCert stellt VMCs kostenpflichtig pro Jahr (vierstelliger USD-Jahresbetrag) aus und liefert das Zertifikat laut eigener Angabe „usually within the same day“, sobald die Dokumentation verifiziert ist (Abruf 2026-05-20). Den passenden CAA-Record (digicert.com) setzen Sie im selben IONOS DNS-Editor. Konzern-Reichweite: IONOS gehört zur United Internet AG — demselben Konzern wie GMX (25,7 Prozent) und WEB.DE (26,4 Prozent), die beide seit 2024 BIMI mit VMC anzeigen. Authentifizierte Mail von einer IONOS-Domain an GMX- oder WEB.DE-Empfänger erreicht damit das Markenlogo bei rund 52,1 Prozent des deutschen Consumer-Marktes.
DMARC-Enforcement-Status für IONOS-Domain prüfen
BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer IONOS-Domain mit dig TXT _dmarc.ihre-domain.de. Sollte die Policy noch auf p=none stehen, folgen Sie zunächst dem DMARC-Enforcement-Guide für IONOS.
# DMARC-Status für IONOS-gehostete Domain prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.
# Nameserver-Pattern (Stack-Detection IONOS)
dig NS ihre-domain.de +short
# Erwartet typisch: ns1077.ui-dns.de., ns1056.ui-dns.com., ns1098.ui-dns.org., ns1029.ui-dns.biz.
# MX-Pattern bei IONOS-Mail (optional)
dig MX ihre-domain.de +short
# Erwartet: 10 mx00.ionos.de. oder 10 mx01.ionos.de. (IONOS-Mailbox)IONOS-Nameserver folgen dem Pattern ns*.ui-dns.de / .com / .org / .biz — diese werden automatisch belegt, wenn Sie die Domain bei IONOS registrieren. Sind Ihre Nameserver bereits auf einen externen Anbieter (Cloudflare, deSEC, Hetzner) umgestellt, müssen Sie den BIMI-Record dort statt im IONOS Control Panel anlegen. Die MX-Records (mx00.ionos.de) zeigen, ob IONOS auch Ihr Mail-Provider ist — BIMI funktioniert unabhängig vom MX-Provider.
SVG Tiny PS Logo erstellen und auf IONOS-Webspace hosten
Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile="tiny-ps", version="1.2", quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.
IONOS bündelt Webhosting, Mailbox und Domain im Control Panel — Sie können das SVG-Logo direkt auf den IONOS-Webspace hochladen (per Webmaster-Tools, FTP, SFTP oder WebDAV). Hinterlegen Sie das Logo unter einem stabilen Pfad wie /bimi/logo.svg und prüfen Sie, dass IONOS den korrekten Content-Type: image/svg+xml ausliefert (Default unter IONOS-Webhosting). Das eigene SSL-Zertifikat ist bei IONOS standardmäßig per Let's Encrypt inklusive — kein zusätzlicher Konfigurationsaufwand.
BIMI-Record im IONOS Control Panel setzen
Im IONOS Control Panel navigieren Sie zu Domains & SSL → Domain auswählen → DNS-Einstellungen (bei manchen Tarifen heißt der Menüpunkt DNS-Verwaltung). Klicken Sie auf Eintrag hinzufügen und wählen Sie den Typ TXT. Als Hostname (Name) tragen Sie default._bimi ein (ohne nachgestellten Punkt, IONOS ergänzt die Domain automatisch). Im Feld Wert der BIMI-String, TTL 3600 Sekunden.
; BIMI-Record für IONOS-gehostete Domain — im IONOS Control Panel
; Selector immer: default._bimi
;
; v=BIMI1 Version (Pflicht, einziger Wert)
; l=URL SVG-Logo-URL, HTTPS Pflicht
; a=URL VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"
; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="
; CAA-Records für VMC-Ausstellung empfohlen (RFC 8659)
ihre-domain.de. IN CAA 0 issue "letsencrypt.org"
ihre-domain.de. IN CAA 0 issue "digicert.com"Wenn Sie für Gmail das blaue Verifizierungshäkchen anstreben, benötigen Sie ein VMC (Verified Mark Certificate) von DigiCert, Sectigo oder GlobalSign. Damit die VMC-Ausstellung nicht durch CAA blockiert wird, ergänzen Sie im gleichen IONOS DNS-Editor CAA-Records für die gewählte CA (typisch digicert.com) sowie für letsencrypt.org für den TLS-Stack. Hinweis: Entrust hat sein VMC-Geschäft 2025 an Sectigo verkauft — alte Tutorials, die Entrust als VMC-CA listen, sind veraltet.
Verifikation per dig, curl und Test-Mail
Nach DNS-Propagation (bei IONOS-Nameservern typisch 5-30 Minuten, in Einzelfällen bis 24 Stunden) verifizieren Sie den BIMI-Record per dig und die SVG/VMC-Erreichbarkeit per curl. Senden Sie dann Test-Mails an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX, WEB.DE, Fastmail und AOL Mail. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo, wenn die Domain in M365-Mail genutzt wird — das ist erwartet und kein Fehler (Outlook unterstützt BIMI Stand Februar 2026 NICHT).
# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# Erwartet: "v=BIMI1; l=https://...svg; a=https://...pem"
# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet:
# HTTP/2 200
# content-type: image/svg+xml
# VMC-Erreichbarkeit prüfen
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5
# Erwartet: HTTP/2 200, content-type: application/x-pem-file oder application/octet-stream
# Test-Mail an Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail, AOL Mail senden —
# Outlook zeigt das Logo Stand Februar 2026 NICHT.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt IONOS-Nameserver-Patterns (*.ui-dns.*) automatisch über Stack-Detection, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift (Logo-URL ungültig, VMC abgelaufen, Record entfernt).
Häufige Fehler bei BIMI für IONOS
TXT-Record-Hostname falsch ausgefüllt
Problem: Im IONOS DNS-Editor wurde der Hostname als default._bimi.ihre-domain.de (vollqualifiziert) eingetragen — der Record landet effektiv bei default._bimi.ihre-domain.de.ihre-domain.de. Ursache: IONOS ergänzt die Hauptdomain automatisch. Lösung: Im Hostnamen-Feld nur default._bimi eintragen, ohne nachgestellten Punkt und ohne Hauptdomain. Mit dig TXT default._bimi.ihre-domain.de +short verifizieren.
SVG-Logo per Domain Connect erwartet
Problem: Nach einer Domain-Connect-Konfiguration für Microsoft 365 oder Google Workspace wird angenommen, BIMI sei mit ausgerollt. Ursache: Domain Connect deckt MX, SPF und DKIM-CNAMEs ab, aber nicht BIMI. Lösung: Den BIMI-TXT-Record manuell im DNS-Editor anlegen — Domain Connect propagiert keinen BIMI-Selektor.
SVG auf IONOS-Webspace ohne korrekten Content-Type
Problem: Das Logo wird via FTP hochgeladen, aber Browser laden es als text/plain oder application/octet-stream. Ursache: Verzeichnis-spezifische Mime-Type-Override oder fehlende SVG-Endung. Lösung: Dateiendung .svg sicherstellen, gegebenenfalls eine .htaccess mit AddType image/svg+xml .svg hinterlegen. Per curl -sI verifizieren.
CAA blockiert VMC-Ausstellung
Problem: Ein CAA-Record (z.B. nur letsencrypt.org) ist im IONOS DNS-Editor gesetzt — die VMC-CA (DigiCert oder Sectigo) wird blockiert. Ursache: Restriktive CAA-Policy ohne VMC-CA. Lösung: CAA-Record für die gewählte VMC-CA ergänzen (digicert.com bzw. sectigo.com) — beide CAs sind autorisiert.
Compliance: NIS2 lit. a + lit. h mit IONOS Group SE
Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination für IONOS-Domains erfüllt zwei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung und lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC. IONOS betreibt Rechenzentren ausschließlich in Deutschland (Karlsruhe, Berlin) und Europa — DSGVO-konform mit europäischer Datensouveränität. Konzern-Hintergrund: IONOS Group SE (Frankfurt-notiert) mit Mehrheits-Eigentümer United Internet AG (Montabaur, HRB 24498, Stand 31.12.2025: 63,8 Prozent).
IONOS-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing) + IONOS DE-/EU-Datensouveränität. Wolf-Agents-USP: Der Email Security Check erkennt IONOS-Nameserver-Patterns automatisch (*.ui-dns.* Stack-Detection), prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage) und dokumentiert die Outlook-BIMI-Lücke (Outlook unterstützt BIMI Stand Februar 2026 NICHT). Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · IONOS?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.