BIMI für Proton Mail — extern DNS verwalten

Proton AG (Genf, Schweiz) stellt das Mail-Backend bereit, hat aber KEIN eigenes DNS-Hosting für Custom-Domains — der BIMI-Record wird beim DNS-Provider Ihrer Custom-Domain konfiguriert (empfohlen: Cloudflare, IONOS, deSEC). Privacy-Fokus mit nativer E2E-Verschlüsselung, Schweizer Datensouveränität und Anti-CLOUD-Act-Schutz über CH Art. 271 StGB. Diese Anleitung zeigt das vollständige Setup mit DMARC-Enforcement, SVG Tiny PS und VMC sowie der Compliance-Schicht für DACH-Kunden mit höchsten Datenschutz-Anforderungen.

BIMI prüfen Plattform entdecken

Proton Mail · Schritt für Schritt

Von Wolf-Agents Security Team · Aktualisiert: 19. Mai 2026

BIMI für Proton Mail Custom Domains (CH, Genf)

Proton Mail (Proton AG, Genf, Schweiz) stellt das Mail-Backend bereit — DNS-Hosting für Custom-Domains erfolgt NICHT bei Proton. Die offizielle Proton-Dokumentation (proton.me/support/custom-domain, Abruf 2026-05-19) verlangt: „Log in to your DNS console (located on the platform where you purchased the custom domain).“ Der BIMI-Record wird daher beim externen DNS-Provider Ihrer Wahl konfiguriert. BIMI ist kein expliziter Proton-Mandat, die Konfiguration ist Best Practice nach dem IETF Internet-Draft Version 14 (1. Mai 2026) und NIS2 Art. 21 Abs. 2 lit. a sowie lit. h.

Empfohlene DNS-Provider für Proton-Custom-Domains: Für Schweizer Datensouveränität passend zu Proton: Hostpoint oder Infomaniak. Für EU-Datensouveränität: deSEC (Berlin, kostenlos, DNSSEC by default), IONOS (Karlsruhe), Netcup (Nürnberg). Für globale Anycast-Performance: Cloudflare (US-Hauptsitz, EU Data Boundary für Logs verfügbar). Schweizer Compliance + Anti-CLOUD-Act: Proton AG ist ein Schweizer Unternehmen, alle Mail-Server stehen in der Schweiz — kein US-CLOUD-Act-Vektor, ergänzender Schutz durch CH Art. 271 StGB (Verbot von Handlungen für einen fremden Staat). Das revidierte Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) fordert in Art. 8 die „angemessene Datensicherheit“ — BIMI mit VMC ist Stand der Technik. Outlook-Limitation Stand Februar 2026: Microsoft Outlook (Web, Desktop, Mobile) und Exchange Online unterstützen BIMI NICHT — die Reichweite liegt aktuell bei Gmail, Apple Mail, Yahoo, GMX, WEB.DE, Fastmail und AOL Mail.

Hardening-Pfad: MX-Record → SPF → DKIM → DMARC → DMARC-Enforcement → DNS-Sicherheit → BIMI (dieser Guide). Bedrohungs-Cluster: BIMI hilft Empfängern visuell, Email-Spoofing und Phishing-Versuche im Namen Ihrer Marke zu erkennen.

Die Souveränitäts-Kette über Proton hinaus: BIMI verlagert Marken-Infrastruktur

Protons Anti-CLOUD-Act-Schutz beruht auf drei Säulen: Proton AG ist ein Schweizer Unternehmen ohne US-Tochtergesellschaft, alle Mail-Server stehen in der Schweiz, und Art. 271 StGB verbietet in der Schweiz Handlungen für einen fremden Staat ohne behördliche Bewilligung. Wer BIMI ergänzt, sollte aber wissen: BIMI verlagert einen Teil der Marken-Infrastruktur aus Protons Schweizer Hoheit heraus. Drei neue Komponenten entstehen — der BIMI-DNS-Record beim externen DNS-Provider, das SVG-Logo auf einem Webspace und das VMC von einer Zertifizierungsstelle. Wer die Proton-Souveränität konsequent halten will, hält auch diese drei in der Schweiz oder der EU: DNS bei Hostpoint, Infomaniak oder deSEC, das Logo auf einem CH/EU-Webspace und das VMC bei GlobalSign — dessen deutsche Tochter GlobalSign GmbH (München) und japanische Konzernmutter GMO GlobalSign K.K. anders als die US-basierten DigiCert und Sectigo nicht dem US CLOUD Act unterliegen. Ein BIMI-Logo auf einem US-CDN würde die sonst lückenlose Proton-Kette an genau einer Stelle öffnen.

Ausführliche Einführung in BIMI und VMC

1 Schritt 1 von 4

DMARC-Enforcement-Status der Proton-Custom-Domain prüfen

BIMI ist die Belohnung für DMARC-Enforcement — kein Client wertet einen BIMI-Record aus, wenn die DMARC-Policy auf p=none steht. Prüfen Sie daher zuerst den DMARC-Status Ihrer Proton-Custom-Domain. Proton-Custom-Domains erkennen Sie am MX-Pattern mail.protonmail.ch und mailsec.protonmail.ch, die DKIM-Selectors protonmail._domainkey, protonmail2._domainkey und protonmail3._domainkey kommen ergänzend hinzu.

# DMARC-Status für Proton-Custom-Domain prüfen
dig TXT _dmarc.ihre-domain.com +short
# Erwartet: v=DMARC1; p=quarantine; ... oder v=DMARC1; p=reject; ...
# Bei p=none: BIMI bleibt wirkungslos.

# Proton-MX-Pattern (Stack-Detection)
dig MX ihre-domain.com +short
# Erwartet:
#   10 mail.protonmail.ch.
#   20 mailsec.protonmail.ch.

# DNSSEC am externen DNS-Provider verifizieren
dig +dnssec MX ihre-domain.com | grep -E "RRSIG|ad;"

DKIM-Selectors bei Proton-Custom-Domains aligned halten

Proton Mail signiert ausgehende Mails mit drei DKIM-Selectors (protonmail._domainkey, protonmail2._domainkey, protonmail3._domainkey) als CNAME-Verweise auf Proton-eigene Schlüssel. Alle drei CNAMEs müssen im externen DNS aktiv sein — sonst fällt DMARC und damit BIMI durch.

2 Schritt 2 von 4

SVG Tiny PS Logo erstellen und auf HTTPS hosten

Das Logo muss als SVG Tiny Portable/Secure (SVG Tiny PS) vorliegen — Standard-SVG-Exporte aus Adobe Illustrator oder Figma sind fast nie BIMI-kompatibel. Konvertieren Sie Ihr Logo mit dem offiziellen BIMI Group SVG Converter. Pflicht-Attribute: baseProfile=tiny-ps, version=1.2, quadratischer viewBox, deckender Hintergrund (keine Transparenz, keine opacity). Verboten: animate, script, externe Referenzen, eingebettete Rasterbilder. Empfohlene Dateigröße unter 32 KB.

Logo-Hosting-Optionen für Proton-Kunden

Proton Mail bietet keinen statischen Webserver — Sie hosten das Logo auf einem eigenen Webspace beim DNS-Provider (Hostpoint, Infomaniak, IONOS) oder auf einem CDN (Cloudflare Pages, Bunny.net). Pflicht: HTTPS mit gültigem TLS-Zertifikat, Content-Type image/svg+xml, öffentlich erreichbar ohne Login. Für den höchsten Privacy-Anspruch (passend zur Proton-Philosophie): Logo auf einem Schweizer Hostpoint/Infomaniak-Webspace ablegen — kein US-CLOUD-Act-Risiko für die Logo-URL.

3 Schritt 3 von 4

BIMI-Record beim externen DNS-Provider setzen

Der BIMI-Record wird NICHT im Proton-Mail-Account, sondern beim DNS-Provider der Custom-Domain als TXT-Record auf dem Selector default._bimi gesetzt. Bei Cloudflare: DNS-Tab → Add record → TXT. Bei IONOS: Domain-Verwaltung → DNS → TXT. Bei deSEC: desec.io/domains/[domain]/rrsets/default._bimi/TXT/. Bei Hostpoint/Infomaniak: HCP/Manager DNS-Editor (siehe entsprechende Provider-Guides). TTL-Empfehlung 3600 Sekunden.

; BIMI-Record für Proton-Custom-Domain — beim externen DNS-Provider
; Proton AG hostet KEIN DNS für Custom-Domains — der Record gehoert
; zum DNS-Provider der Domain (Cloudflare/IONOS/deSEC/Netcup).
;
; Selector immer: default._bimi
; v=BIMI1   Version (Pflicht, einziger Wert)
; l=URL     SVG-Logo-URL, HTTPS Pflicht
; a=URL     VMC-Zertifikat-URL, optional (Gmail blaues Häkchen Pflicht)

default._bimi.ihre-domain.com.  IN  TXT  "v=BIMI1; l=https://ihre-domain.com/bimi/logo.svg; a=https://ihre-domain.com/bimi/vmc.pem"

; Variante OHNE VMC (Budget-BIMI für Yahoo/Fastmail/AOL):
default._bimi.ihre-domain.com.  IN  TXT  "v=BIMI1; l=https://ihre-domain.com/bimi/logo.svg; a="

DNSSEC am externen DNS-Provider aktivieren

DNSSEC wird ebenfalls beim externen DNS-Provider gesetzt, NICHT bei Proton. deSEC liefert DNSSEC by default, Cloudflare/IONOS/Hostpoint/Infomaniak bieten DNSSEC im Panel pro Domain. DNSSEC ist eine prüfbare Begleit-Maßnahme nach NIS2 lit. h und Voraussetzung für DANE. Reihenfolge: DMARC-Enforcement → DNSSEC → BIMI-Record → VMC.

4 Schritt 4 von 4

Verifikation und Test — Outlook ignorieren

Nach DNS-Propagation (typisch 1-24 Stunden, je nach TTL und Provider) verifizieren Sie den BIMI-Record per dig und das SVG-Hosting per curl. Senden Sie dann Test-Mails über Proton Mail an Konten bei Gmail, Apple Mail (iPhone/Mac), Yahoo, GMX und WEB.DE. Outlook (Web, Desktop, Mobile) zeigt KEIN Logo — das ist erwartet und kein Fehler.

# BIMI-Record nach DNS-Propagation prüfen
dig TXT default._bimi.ihre-domain.com +short

# SVG-Erreichbarkeit (Content-Type Pflicht)
curl -sI https://ihre-domain.com/bimi/logo.svg | head -5
# Erwartet: HTTP/2 200 + content-type: image/svg+xml

# VMC-Erreichbarkeit
curl -sI https://ihre-domain.com/bimi/vmc.pem | head -5

# Test-Mail an Gmail / Apple Mail / Yahoo / GMX / WEB.DE senden —
# Outlook ignoriert den BIMI-Record (Stand Februar 2026).

Ergänzend prüfen Sie mit dem Wolf-Agents Email Security Check — dieser erkennt Proton-MX-Hostnamen automatisch über die Endung protonmail.ch, validiert DMARC-Enforcement-Level, BIMI-Record-Syntax, SVG-Tiny-PS-Konformität und VMC-Erreichbarkeit. Das Monitoring überwacht alle 6 Stunden auf BIMI-Drift.

Häufige Fehler bei BIMI für Proton Mail

BIMI-Record im Proton-Account-Setup gesucht

Problem: Im Proton-Mail-Account wird unter „Domain Settings“ eine BIMI-Option erwartet. Ursache: Proton ist Mail-Backend, nicht DNS-Hoster — Proton-Settings enthalten nur Verifizierungs- und SPF/DKIM/DMARC-Anleitungen für externe DNS-Provider. Lösung: BIMI-Record beim DNS-Provider Ihrer Custom-Domain setzen (Cloudflare/IONOS/deSEC/Hostpoint/Infomaniak).

Falscher Test-Pfad — über Web-Mailer anderer Anbieter geprüft

Problem: Test-E-Mail von einer Nicht-Proton-Adresse geprüft, kein Logo sichtbar — Annahme „BIMI-Setup defekt“. Ursache: Der BIMI-Logo-Bezug muss am Absende-Pfad Ihrer Custom-Domain getestet werden — also Sendung VON Ihrer Proton-Custom-Domain (z.B. info@ihre-domain.com), nicht von einer Fremd-Adresse. Lösung: Test-Mails ausschließlich aus dem Proton-Mail-Webclient/App über die verifizierte Custom-Domain senden und bei Gmail/Apple/Yahoo prüfen.

DKIM-CNAMEs unvollständig — nur einer von drei Selectors gesetzt

Problem: BIMI-Record ist gesetzt, DMARC-Policy ist p=quarantine, trotzdem kein Logo. Ursache: Proton signiert mit drei DKIM-Selectors (protonmail._domainkey, protonmail2._domainkey, protonmail3._domainkey), aber nur einer der drei CNAMEs ist im externen DNS gesetzt — DMARC fällt durch, BIMI wird ignoriert. Lösung: Alle drei DKIM-CNAMEs gemäß Proton-Doku im externen DNS anlegen und mit dig CNAME protonmail._domainkey.ihre-domain.com verifizieren.

Compliance · NIS2 · revDSG · Anti-CLOUD-Act

Compliance: NIS2 lit. a + lit. h, revDSG, CH Art. 271 StGB (Anti-CLOUD-Act)

Eine korrekt konfigurierte BIMI-Plus-VMC-Kombination auf einer Proton-Custom-Domain erfüllt vier Compliance-Schichten gleichzeitig: NIS2 Art. 21 Abs. 2 lit. a (Risikoanalyse und Sicherheit für Informationssysteme) durch die visuelle Brand-Identity-Authentifizierung, NIS2 lit. h (Kryptografie und Verschlüsselung) durch die X.509-PKI-Logo-Bindung im VMC sowie durch Protons native E2E-Verschlüsselung, das revidierte Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023) und den Anti-CLOUD-Act-Schutz über CH Art. 271 StGB (Verbot von Handlungen für einen fremden Staat — relevante Hürde für US-Behörden-Zugriff). BIMI mit VMC ist Stand der Technik nach IETF Internet-Draft Version 14 (1. Mai 2026).

Proton-BIMI-Compliance-Stack: NIS2 lit. a (Brand-Identity-Authentifizierung) + NIS2 lit. h (VMC-Kryptografie und E2E-Verschlüsselung) + revDSG Art. 8 (Schweizer TOM, in Kraft seit 1. September 2023) + Anti-CLOUD-Act via CH Art. 271 StGB + BSI TR-03108 (DMARC-Enforcement-Voraussetzung). Wolf-Agents-USP: Der Email Security Check erkennt Proton-MX-Hostnamen automatisch (*.protonmail.ch Stack-Detection), prüft die kombinierte DMARC-DNSSEC-BIMI-VMC-Kette inklusive aller drei DKIM-Selectors, validiert SVG-Tiny-PS-Konformität, warnt vor abgelaufenen VMCs (Standardlaufzeit 397 Tage) und dokumentiert die Outlook-BIMI-Lücke. Cross-Verweis: Email-Spoofing und Phishing.

BIMI-Anleitung für weitere Provider:

Microsoft 365 Google Workspace IONOS Strato All-Inkl Hetzner Netcup Hostpoint Infomaniak World4You Proton Mail Postfix Exim Mailcow Cloudflare DNS Hetzner DNS

Wie steht Ihre Domain bei BIMI · Proton Mail?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten