DKIM für All-Inkl einrichten

Schritt-für-Schritt-Anleitung: DKIM-TXT-Record im KAS-Panel anlegen, Selektor konfigurieren und DKIM-Signierung für Postfächer aktivieren — inklusive DNS-Propagierung und Verifikation.

DKIM prüfen Plattform entdecken
All-Inkl · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

DKIM für All-Inkl (KAS-Panel)

All-Inkl verwaltet DNS-Einträge über das KAS-Panel (kas.all-inkl.com), bietet jedoch keine automatische DKIM-Konfiguration — Sie müssen den TXT-Record und die Signierung manuell einrichten. Der Selektor ist frei wählbar, wir empfehlen default als Standard-Konvention. Diese Anleitung führt Sie durch alle Schritte.

Ohne DKIM-Signierung fehlt Ihren E-Mails der kryptographische Integritätsnachweis nach BSI TR-03108. Im KAS-Panel von All-Inkl konfigurieren Sie den TXT-Record und die Signierung manuell — der Wolf-Agents Email Security Check verifiziert anschließend Schlüsselstärke, Selektor-Auflösung und DNS-Konsistenz auf 22 DKIM-Kriterien.

Hardening-Pfad: Nach DKIM folgt DMARC für All-Inkl — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht.

Ausführliche Einführung in DKIM

1 Schritt 1 von 3

DNS-Record im KAS anlegen

Erstellen Sie im KAS-Panel einen TXT-Record mit Ihrem DKIM-Public-Key, damit empfangende Mailserver die Signatur Ihrer ausgehenden E-Mails verifizieren können. Der Public Key wird beim Generieren des DKIM-Schlüsselpaars erzeugt.

Menüpfad im KAS-Panel

  1. Melden Sie sich im KAS-Panel an (kas.all-inkl.com)
  2. Navigieren Sie zu Domain → DNS-Einstellungen bearbeiten
  3. Klicken Sie auf Neuen DNS-Eintrag erstellen
  4. Typ: TXT
  5. Name: default._domainkey
  6. Wert: v=DKIM1; k=rsa; p=MIIBIjANBgkq... (Ihr Public Key)
  7. Speichern und DNS-Propagierung abwarten
DNS TXT-Record All-Inkl 
default._domainkey.ihre-domain.de.  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."
Schlüsselpaar generieren

Falls Sie noch kein DKIM-Schlüsselpaar haben, generieren Sie eines mit OpenSSL: openssl genrsa -out dkim-private.pem 2048 und extrahieren den Public Key mit openssl rsa -in dkim-private.pem -pubout -outform DER | openssl base64 -A.

2 Schritt 2 von 3

Mailserver-Signierung konfigurieren

Der DNS-Record allein reicht nicht aus — Ihr Mailserver muss ausgehende E-Mails auch tatsächlich mit dem DKIM-Private-Key signieren, damit die Authentifizierung funktioniert. Die Konfiguration hängt davon ab, ob Sie den All-Inkl-Mailservice oder einen eigenen Mailserver nutzen.

Option A: All-Inkl Mailservice

  1. Navigieren Sie im KAS zu E-Mail → Postfach
  2. Prüfen Sie, ob eine DKIM-Option verfügbar ist
  3. Aktivieren Sie die DKIM-Signierung für Ihre Postfächer
  4. All-Inkl signiert ausgehende E-Mails automatisch mit dem hinterlegten Schlüssel
Option B: Externer Mailserver

Wenn Sie einen eigenen Mailserver betreiben (z. B. Postfix mit OpenDKIM), konfigurieren Sie die DKIM-Signierung dort und hinterlegen den DNS-Record im KAS. Folgen Sie der Postfix-Anleitung für die serverseitige Konfiguration.

3 Schritt 3 von 3

DKIM verifizieren

Prüfen Sie nach der Einrichtung, dass der TXT-Record korrekt im DNS aufgelöst wird und die DKIM-Signatur bei ausgehenden E-Mails gültig ist. DNS-Änderungen bei All-Inkl können bis zu 24 Stunden dauern.

Terminal / PowerShell Verifikation 
# Linux / macOS
dig TXT default._domainkey.ihre-domain.de +short
# Erwartete Ausgabe: "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."

# Windows (PowerShell)
Resolve-DnsName -Name default._domainkey.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings

# Test-E-Mail senden und Header prüfen:
# Authentication-Results: dkim=pass header.d=ihre-domain.de

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft DKIM auf 22 Einzelkriterien inklusive Schlüssellänge, Algorithmus und Signatur-Header.

Häufige Fehler bei All-Inkl

Die folgenden drei Fehler treten bei All-Inkl-DKIM-Konfigurationen am häufigsten auf und führen dazu, dass die Signatur ungültig wird oder gar nicht erst angelegt wird.

TXT-Record-Konflikt bei gleicher Subdomain

Problem: Das KAS-Panel erlaubt pro Subdomain nur einen TXT-Record. Wenn Sie bereits einen TXT-Record für default._domainkey haben (z. B. von einem früheren Test), wird der neue Eintrag nicht akzeptiert oder überschreibt den bestehenden — Selektor-Konflikte sind die Folge.

Lösung: Löschen Sie veraltete TXT-Records für default._domainkey vor dem Anlegen des neuen Records. Nutzen Sie alternativ einen anderen Selektor (z. B. mail._domainkey), wenn Sie mehrere DKIM-Schlüssel benötigen.

DNS-Record ohne Mailserver-Signierung

Problem: Der TXT-Record mit dem Public Key wurde im KAS angelegt, aber der Mailserver signiert ausgehende E-Mails nicht mit dem Private Key. Empfangende Server finden den Public Key im DNS, erhalten aber keine DKIM-Signatur im E-Mail-Header — der Check schlägt fehl.

Lösung: All-Inkl aktiviert DKIM-Signierung nicht automatisch. Prüfen Sie im KAS unter E-Mail → Postfach, ob die DKIM-Option aktiviert ist. Bei externen Mailservern muss die Signierung dort konfiguriert werden.

KAS zeigt Record, aber opendkim-testkey findet ihn nicht

Problem: Das KAS-Panel zeigt den DKIM-TXT-Record als gespeichert an, aber opendkim-testkey -d ihre-domain.de -s default -vvv oder dig TXT liefern kein Ergebnis. Ursache: Der All-Inkl DNS-Cache hat eine interne Verzögerung von bis zu 15 Minuten — die DNS Console zeigt den Record sofort, der autoritative Nameserver liefert ihn aber noch nicht aus.

Lösung: Prüfen Sie direkt beim All-Inkl-Nameserver: dig TXT default._domainkey.ihre-domain.de @ns1.all-inkl.com +short. Liefert dieser den Record, ist die Konfiguration korrekt und der Cache braucht nur noch wenige Minuten. Liefert auch der NS keinen Record, prüfen Sie den Eintrag im KAS auf Tippfehler im Hostnamen.

DKIM-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei DKIM?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten