BIMI für Netcup — TXT-Record im CCP DNS-Tab
Netcup GmbH ist ein DACH-Hoster mit Hauptsitz Nürnberg und Rechenzentren in Nürnberg und Wien — eigenständig, ohne Konzern-Bindung an United Internet oder IONOS Group SE. Der BIMI-Record wird im Netcup CCP (Customer Control Panel) als TXT-Record im DNS-Tab angelegt; das SVG-Logo kann direkt auf einem Netcup-Webhosting-Tarif oder vServer gehostet werden. Netcup unterstützt DNSSEC mit ECDSAP256SHA256 (Algorithmus 13) — die gleiche moderne Kurve, die auch Cloudflare einsetzt. Diese Anleitung zeigt das vollständige Setup.
BIMI für Netcup-gehostete Domains
Die Netcup GmbH (Sitz Nürnberg) betreibt Rechenzentren in Nürnberg und Wien, DSGVO-konform mit deutscher Datensouveränität, ohne Konzern-Bindung an United Internet oder IONOS Group SE. Netcup ist DACH-eigenständig und stellt Webhosting, Root- und vServer-Tarife sowie DNS-Verwaltung im CCP (Customer Control Panel) bereit. Der BIMI-TXT-Record wird im CCP unter Domain → DNS angelegt — Netcup unterstützt zusätzlich DNSSEC mit dem modernen Algorithmus ECDSAP256SHA256 (Algorithmus 13), die gleiche Kurve, die auch Cloudflare einsetzt — ein klarer Sicherheits-Plus für NIS2 lit. h. Die offizielle Netcup-Doku (netcup-wiki.de, Abruf 2026-05-19) führt durch CCP-Bedienung, DNS-Editor und DNSSEC-Aktivierung.
Netcup selbst stellt keinen BIMI-Wizard im CCP bereit — BIMI ist kein Netcup-Mandat, sondern Best Practice nach dem IETF Internet-Draft Version 14 (1. Mai 2026) und NIS2 Art. 21 Abs. 2 lit. a sowie lit. h. Der BIMI-Record wird wie jeder andere TXT-Record über den DNS-Editor erfasst. Vorteil bei Netcup-DNSSEC: ECDSA-Kurve P-256 + SHA-256 ist deutlich kompakter als der ältere RSA-SHA-256 (Algorithmus 8) und reduziert die DNSSEC-Antwortgröße — relevant für UDP-Antwortbudget und DNS-Amplification-Resilienz.
Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → MTA-STS → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.
BIMI transportiert Markenvertrauen — und genau dieser Record liegt im DNS. Ohne DNSSEC kann ein Angreifer im Auflösungspfad den BIMI-TXT-Record fälschen und die l=- oder a=-URL auf ein fremdes Logo umbiegen; auch der DMARC-Record ließe sich so manipulieren. Netcup signiert Zonen mit ECDSAP256SHA256 (Algorithmus 13) — dem elliptische-Kurven-Algorithmus, den RFC 8624 § 3.1 als „RECOMMENDED“ für neue DNSSEC-Deployments einstuft. Aktivieren Sie DNSSEC im CCP und übertragen Sie den DS-Record zum Registrar: Ein validierender Resolver verwirft dann jeden gefälschten BIMI- oder DMARC-Record. Damit schließt DNSSEC die letzte Lücke der Vertrauenskette — die VMC-Zertifizierungsstelle prüft das Logo, SPF/DKIM/DMARC die Absender-Authentizität, DNSSEC die Integrität des DNS-Layers selbst. Details im DNS-Sicherheit-Guide für Netcup.
DMARC-Enforcement-Status für Netcup-Domain prüfen
BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer Netcup-Domain mit dig TXT _dmarc.ihre-domain.de. Sollte die Policy noch auf p=none stehen, folgen Sie zunächst dem DMARC-Enforcement-Guide für Netcup.
# DMARC-Status für Netcup-gehostete Domain prüfen
dig TXT _dmarc.ihre-domain.de +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.
# Nameserver-Pattern (Stack-Detection Netcup)
dig NS ihre-domain.de +short
# Erwartet typisch: root-dns.netcup.net., second-dns.netcup.net., third-dns.netcup.net.
# Netcup MX-Pattern bei Netcup-Mail (optional)
dig MX ihre-domain.de +short
# Erwartet bei Netcup-Mail: 10 mx2[NODE].netcup.net.Netcup-Nameserver folgen typisch dem Pattern root-dns.netcup.net, second-dns.netcup.net, third-dns.netcup.net. Sind Ihre Nameserver auf einen externen Anbieter umgestellt, legen Sie den BIMI-Record dort an. Bei Netcup-Webhosting (für SVG-Hosting) und Netcup-Mail (mx2[NODE].netcup.net) liegt das gesamte Setup in einer Hand — DSGVO-konform mit DE-Datensouveränität (Nürnberg/Wien).
SVG Tiny PS Logo erstellen und auf Netcup-Webhosting hosten
Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile="tiny-ps", version="1.2", quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.
Netcup bietet Webhosting-Tarife (Plesk-basiert mit Webspace und automatischem Let's-Encrypt) sowie vServer und Root-Server für individuelle nginx/Caddy-Setups. Bei Webhosting hinterlegen Sie das Logo unter /bimi/logo.svg per Plesk-Dateimanager oder SFTP. SSL über Let's Encrypt im Plesk-Panel aktivieren — Content-Type image/svg+xml wird über Standard-Mime-Type-Mapping aus der Endung .svg bestimmt.
BIMI-Record im Netcup CCP DNS-Tab setzen
Im Netcup CCP (ccp.netcup.net) navigieren Sie zu Domains → Domain auswählen → DNS-Tab. Klicken Sie auf Neuer Record, wählen Sie den Typ TXT. Als Host tragen Sie default._bimi ein (das CCP ergänzt die Hauptzone automatisch). Im Destination-Feld der BIMI-String. TTL gemäß CCP-Default (typisch 86400 Sekunden — für schnellere Propagation auf 3600 reduzieren).
; BIMI-Record für Netcup-gehostete Domain — im CCP DNS-Tab
; Selector immer: default._bimi
;
; v=BIMI1 Version (Pflicht, einziger Wert)
; l=URL SVG-Logo-URL, HTTPS Pflicht
; a=URL VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a=https://ihre-domain.de/bimi/vmc.pem"
; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.de. IN TXT "v=BIMI1; l=https://ihre-domain.de/bimi/logo.svg; a="
; CAA-Records für VMC-Ausstellung empfohlen (RFC 8659)
ihre-domain.de. IN CAA 0 issue "letsencrypt.org"
ihre-domain.de. IN CAA 0 issue "digicert.com"Wenn Sie für Gmail das blaue Verifizierungshäkchen anstreben, benötigen Sie ein VMC (Verified Mark Certificate) von DigiCert, Sectigo oder GlobalSign. Damit die VMC-Ausstellung nicht durch CAA blockiert wird, ergänzen Sie im CCP CAA-Records für die gewählte CA (typisch digicert.com) und für letsencrypt.org (TLS-Stack). Hinweis: Entrust hat sein VMC-Geschäft 2025 an Sectigo verkauft — alte Tutorials sind überholt. DNSSEC-Empfehlung: Im CCP DNSSEC für die Domain aktivieren — Netcup generiert KSK/ZSK mit Algorithmus 13 (ECDSAP256SHA256), exportiert den DS-Record automatisch zur DENIC oder Sie übertragen ihn manuell zu einem externen Registrar.
Verifikation per dig, curl und Test-Mail
Nach DNS-Propagation (Netcup-Nameserver typisch 5-30 Minuten, in Einzelfällen bis 24 Stunden) verifizieren Sie den BIMI-Record per dig und die SVG/VMC-Erreichbarkeit per curl. Ergänzend prüfen Sie mit dig DS ihre-domain.de +short den DNSSEC-DS-Record (Algorithmus 13 = ECDSAP256SHA256). Senden Sie dann Test-Mails an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX, WEB.DE, Fastmail und AOL Mail. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo, falls die Domain in M365-Mail genutzt wird — das ist erwartet und kein Fehler (Outlook unterstützt BIMI Stand Februar 2026 NICHT).
# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.de +short
# Erwartet: "v=BIMI1; l=https://...svg; a=https://...pem"
# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.de/bimi/logo.svg | head -5
# Erwartet:
# HTTP/2 200
# content-type: image/svg+xml
# VMC-Erreichbarkeit prüfen
curl -sI https://ihre-domain.de/bimi/vmc.pem | head -5
# Erwartet: HTTP/2 200, content-type: application/x-pem-file oder application/octet-stream
# DNSSEC-Status (Netcup unterstuetzt ECDSAP256SHA256, Algorithmus 13)
dig DS ihre-domain.de +short
# Erwartet: 13 2
# Test-Mail an Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail, AOL Mail senden —
# Outlook zeigt das Logo Stand Februar 2026 NICHT.
Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Netcup-Nameserver-Patterns (*.netcup.net) automatisch über Stack-Detection, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität, VMC-Erreichbarkeit und den DNSSEC-DS-Record-Algorithmus (Alg 13 ECDSAP256SHA256 bevorzugt). Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift (Logo-URL ungültig, VMC abgelaufen, Record entfernt).
Häufige Fehler bei BIMI für Netcup
Host-Feld vollqualifiziert im CCP eingetragen
Problem: Im CCP DNS-Tab wurde der Host als default._bimi.ihre-domain.de eingetragen — der Record landet bei default._bimi.ihre-domain.de.ihre-domain.de. Ursache: Das CCP ergänzt die Hauptdomain automatisch. Lösung: Im Host-Feld nur default._bimi eintragen, ohne nachgestellten Punkt und ohne Hauptdomain. Mit dig TXT default._bimi.ihre-domain.de +short verifizieren.
DNSSEC-DS-Record nicht beim externen Registrar gesetzt
Problem: DNSSEC im Netcup CCP aktiviert, aber Domain ist bei einem externen Registrar (z.B. united-domains, InterNetX) registriert — DS-Record dort nicht eingetragen, DNSSEC-Kette bricht ab. Ursache: Annahme, dass Netcup den DS-Record automatisch zur Registry propagiert. Lösung: DS-Record (Algorithmus 13, KeyTag, Digest-Typ 2, SHA-256-Hash) aus dem CCP exportieren und beim externen Registrar im DNSSEC-Bereich eintragen.
TTL zu hoch — DNS-Propagation langsam
Problem: Änderung am BIMI-Record dauert 24+ Stunden bis zur Wirkung. Ursache: CCP-Standard-TTL ist 86400 Sekunden (24h). Lösung: Vor BIMI-Änderungen TTL auf 3600 Sekunden reduzieren, ändern, nach erfolgreicher Verifikation wieder auf 86400 hoch.
Logo-Hosting auf vServer ohne Reverse-Proxy
Problem: Logo liegt auf einem Netcup-vServer (Port 80/443), aber HTTPS-Aufruf scheitert oder liefert Standard-nginx-Default-Page. Ursache: Server-Block für die BIMI-Domain fehlt oder Let's-Encrypt-Zertifikat ist nicht ausgestellt. Lösung: Mit Caddy automatischer Let's-Encrypt-Bezug, bei nginx über certbot ein Zertifikat anfordern und nginx-Server-Block für die Domain einrichten.
Compliance: NIS2 lit. a + lit. h mit Netcup ECDSAP256SHA256
Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination für Netcup-Domains erfüllt zwei NIS2-Buchstaben gleichzeitig: lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung und lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC. Netcup unterstützt zusätzlich DNSSEC mit Algorithmus 13 (ECDSAP256SHA256) — die gleiche moderne Kurve, die Cloudflare einsetzt — und verstärkt damit lit. h doppelt. Rechenzentren in Nürnberg und Wien sorgen für DSGVO-konforme deutsche/österreichische Datensouveränität, ohne Konzern-Bindung an United Internet oder IONOS Group SE.
Netcup-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie + DNSSEC ECDSAP256SHA256) + BSI TR-03108 (DMARC-Enforcement-Voraussetzung) + DSGVO Art. 32 (Schutz personenbezogener Daten vor Phishing) + Netcup DE/AT-Datensouveränität (Nürnberg/Wien). Wolf-Agents-USP: Der Email Security Check erkennt Netcup-Nameserver-Patterns automatisch (*.netcup.net Stack-Detection), prüft die kombinierte DMARC-BIMI-VMC-Kette, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage), prüft den DNSSEC-Algorithmus (Alg 13 ECDSAP256SHA256 bevorzugt, Alg 8 RSASHA256 akzeptiert) und dokumentiert die Outlook-BIMI-Lücke (Outlook unterstützt BIMI Stand Februar 2026 NICHT). Cross-Verweis: Email-Spoofing und Phishing.
BIMI-Anleitung für weitere Provider:
Wie steht Ihre Domain bei BIMI · Netcup?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.