DKIM für Hetzner einrichten
Schritt-für-Schritt-Anleitung: DKIM-TXT-Record über die DNS Console oder API anlegen, Mailserver-Signierung konfigurieren und DKIM verifizieren — inklusive Robot-Verwaltung für Dedicated Server.
DKIM für Hetzner (DNS Console & Robot)
Hetzner bietet mit der DNS Console (dns.hetzner.com) und der DNS-API zwei Wege, DKIM-Records anzulegen — bei Dedicated Servern kommt zusätzlich die Robot-Verwaltung ins Spiel. Der Selektor ist frei wählbar, wir empfehlen default als Standard-Konvention. Diese Anleitung deckt alle drei Verwaltungswege ab.
NIS2 Art. 21 und BSI TR-03108 fordern DKIM als technische Schutzmaßnahme für E-Mail-Integrität. In der Hetzner DNS Console oder per API richten Sie den TXT-Record ein — der Wolf-Agents Email Security Check prüft automatisch Selektor, Schlüsselstärke und Signierung als Teil der 165-Punkte-Analyse.
Hardening-Pfad: Nach DKIM folgt DMARC für Hetzner — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht.
DNS-Record anlegen
Erstellen Sie einen TXT-Record mit Ihrem DKIM-Public-Key in der Hetzner DNS Console — alternativ können Sie den Record per API automatisiert anlegen. Beide Wege führen zum gleichen Ergebnis.
Öffnen Sie dns.hetzner.com, wählen Sie Ihre Zone aus und klicken Sie auf Record hinzufügen. Typ: TXT, Name: default._domainkey, Wert: Ihr DKIM-Public-Key, TTL: 3600.
Für Automatisierung oder Infrastructure-as-Code können Sie den Record per API anlegen:
curl -X "POST" "https://dns.hetzner.com/api/v1/records" \
-H "Auth-API-Token: YOUR_API_TOKEN" \
-H "Content-Type: application/json" \
-d '{
"zone_id": "ZONE_ID",
"type": "TXT",
"name": "default._domainkey",
"value": "v=DKIM1; k=rsa; p=MIIBIjANBgkq...",
"ttl": 3600
}'default._domainkey.ihre-domain.de. IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."Mailserver-Signierung konfigurieren
Der DNS-Record veröffentlicht nur den Public Key — Ihr Mailserver muss ausgehende E-Mails mit dem zugehörigen Private Key signieren, damit DKIM funktioniert. Die Konfiguration hängt von Ihrem Setup ab.
Option A: Eigener Mailserver (Dedicated/Cloud Server)
- Installieren Sie OpenDKIM auf Ihrem Hetzner-Server:
apt install opendkim opendkim-tools - Generieren Sie ein Schlüsselpaar mit
opendkim-genkey -s default -d ihre-domain.de - Konfigurieren Sie Postfix für die DKIM-Signierung (milter_default_action, smtpd_milters)
- Hinterlegen Sie den Public Key aus der
.txt-Datei als DNS-Record (Schritt 1)
Wenn Sie einen externen Mailprovider nutzen (z. B. Google Workspace, Microsoft 365) und nur das DNS bei Hetzner verwalten, konfigurieren Sie die Signierung beim Provider und legen den DNS-Record bei Hetzner an. Folgen Sie der jeweiligen Google- oder Microsoft-365-Anleitung.
Bei Dedicated Servern mit Robot-Verwaltung betreiben Sie in der Regel einen eigenen Mailserver. Die DNS-Verwaltung erfolgt entweder über Robot oder die DNS Console — beachten Sie, dass Robot und DNS Console getrennte Verwaltungsoberflächen sind. Folgen Sie der Postfix-Anleitung für die OpenDKIM-Konfiguration.
DKIM verifizieren
Prüfen Sie nach der Einrichtung, dass der TXT-Record korrekt im DNS aufgelöst wird und die DKIM-Signatur bei ausgehenden E-Mails gültig ist. Hetzner DNS-Änderungen propagieren in der Regel innerhalb weniger Minuten.
# Linux / macOS
dig TXT default._domainkey.ihre-domain.de +short
# Erwartete Ausgabe: "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."
# Direkt bei Hetzner-Nameservern prüfen
dig TXT default._domainkey.ihre-domain.de @hydrogen.ns.hetzner.com +short
# Windows (PowerShell)
Resolve-DnsName -Name default._domainkey.ihre-domain.de -Type TXT | Select-Object -ExpandProperty Strings
# Test-E-Mail senden und Header prüfen:
# Authentication-Results: dkim=pass header.d=ihre-domain.deValidieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser prüft DKIM auf 22 Einzelkriterien inklusive Schlüssellänge, Algorithmus und Signatur-Header.
Häufige Fehler bei Hetzner
Die folgenden drei Fehler treten bei Hetzner-DKIM-Konfigurationen am häufigsten auf und führen dazu, dass die DKIM-Validierung fehlschlägt oder der Record nicht aufgelöst werden kann.
Robot und DNS Console verwechselt
Problem: Hetzner betreibt zwei getrennte Verwaltungsoberflächen: die DNS Console (dns.hetzner.com) für Cloud-DNS und den Robot (robot.hetzner.com) für Dedicated Server. DNS-Records, die im Robot angelegt werden, erscheinen nicht in der DNS Console und umgekehrt — der DKIM-Record wird in der falschen Oberfläche gesucht oder angelegt.
Lösung: Prüfen Sie, welche Nameserver für Ihre Domain konfiguriert sind. Nutzen Sie dig NS ihre-domain.de +short — Hetzner-Cloud-Nameserver (hydrogen.ns.hetzner.com) bedeuten DNS Console, Robot-Nameserver bedeuten Robot-Verwaltung. Legen Sie den Record in der richtigen Oberfläche an.
TTL-Einstellung vergessen
Problem: Beim Anlegen des TXT-Records in der DNS Console wird kein TTL-Wert angegeben oder der Standardwert ist zu hoch. Bei einem fehlerhaften Record dauert die Korrektur dann unnötig lange, weil der alte Wert noch in DNS-Caches liegt.
Lösung: Setzen Sie den TTL initial auf 300 Sekunden (5 Minuten), bis die Konfiguration verifiziert ist. Nach erfolgreicher Verifikation können Sie den TTL auf 3600 (1 Stunde) erhöhen. In der DNS Console ist das TTL-Feld direkt beim Erstellen des Records verfügbar.
Falsche Zone oder Domain im API-Call
Problem: Bei der Nutzung der Hetzner DNS-API wird die falsche zone_id verwendet oder der Record-Name enthält den vollen Domain-Namen statt nur den Subdomain-Teil. Die API erstellt den Record dann in der falschen Zone oder mit einem doppelten Domain-Suffix (z. B. default._domainkey.ihre-domain.de.ihre-domain.de).
Lösung: Ermitteln Sie die korrekte Zone-ID per GET /api/v1/zones und verwenden Sie als Record-Name nur default._domainkey — ohne den Domain-Teil. Die DNS Console hängt die Domain automatisch an.
DKIM-Anleitung auch für:
Wie steht Ihre Domain bei DKIM?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.