DKIM für Hostpoint einrichten
Schritt-für-Schritt-Anleitung: DKIM-Aktivierung im Hostpoint Control Panel, automatische Konfiguration ab Mai 2024 für Webhosting und Cloud Office, manuelle Aktivierung für ältere Domains — mit Header-Verifikation und Schweizer DSG-Hinweis.
DKIM für Hostpoint (Schweiz Managed Webhosting)
Hostpoint dokumentiert auf support.hostpoint.ch: „Für Domains, die ab Mai 2024 einem Webhosting oder einer Cloud Office-Gruppe zugewiesen werden, wird DKIM automatisch aktiviert.“ Bei älteren Domains erfolgt die Aktivierung manuell mit einem Klick im Hostpoint Control Panel (HCP) — Hostpoint verwaltet den DKIM-Schlüssel zentral, trägt den DNS-Eintrag in die verwaltete DNS-Zone ein und rotiert die Keys eigenständig. Das ist der zentrale Unterschied zu Self-Hosted-Setups (Postfix, Mailcow): Sie müssen weder Schlüsselpaare generieren noch Selector-Namen wählen — Hostpoint übernimmt das vollständig.
NIS2 Art. 21 Abs. 2 lit. h fordert Konzepte und Verfahren für den Einsatz von Kryptografie — DKIM ist genau diese kryptografische Maßnahme auf der Header-Ebene und ergänzt SPF auf der Envelope-Ebene. Schweizer Datenschutz: Hostpoint mit Sitz in Rapperswil-Jona untersteht dem revidierten DSG (revDSG, in Kraft 1. September 2023) — Art. 8 fordert geeignete technische Maßnahmen zur Datensicherheit, analog DSGVO Art. 32. Der Wolf-Agents Email Security Check prüft, ob der DKIM-Public-Key noch auflösbar ist, validiert die aktuell aktive Schlüsselstärke und meldet Drift, wenn nach einer Domain-Migration der Hostpoint-DKIM-Eintrag verloren gegangen ist.
Hardening-Pfad: Nach DKIM folgt DMARC für Hostpoint — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht. Hostpoint aktiviert DMARC seit August 2024 ebenfalls automatisch für neue Domains. Bedrohungs-Cluster: Funktionierendes DKIM ist die Voraussetzung, um Spoofing und insbesondere Echospoofing und Subdomailing (Sender-Routing über kompromittierte Sub-Domain-Stempel; Guardio Labs hat 2024 über 8.000 betroffene Marken-Subdomains aufgedeckt) abzuwehren.
Hostpoint Auto-Aktivierungs-Timeline — DKIM Mai 2024 + DMARC August 2024
Horizontale Timeline mit 4 Meilensteinen der Hostpoint-Provider-Evolution: Vor Mai 2024 (manuelle Konfiguration via HCP), Mai 2024 (DKIM-Auto-Aktivierung für neue Domains mit zeichengenauen Hostpoint-Doku-Zitat), August 2024 (DMARC-Auto-Aktivierung zeichengenau), Heute 2026-05 (beide Auto-Aktivierungen Standard für neue Webhosting-/Cloud-Office-Kunden). Aktionsmarker: Domain-Datum-Check im HCP. Konzern: Hostpoint AG Rapperswil-Jona.
Domain-Status prüfen — bereits automatisch aktiv?
Bei Domains, die seit Mai 2024 einem Webhosting oder Cloud Office bei Hostpoint zugewiesen wurden, ist DKIM laut Hostpoint-Doku automatisch aktiviert. Prüfen Sie zuerst, ob das auf Ihre Domain zutrifft.
DKIM im Hostpoint Control Panel aktivieren
Für ältere Domains aktivieren Sie DKIM mit einem Klick im Hostpoint Control Panel. Hostpoint signiert anschließend alle ausgehenden E-Mails automatisch und trägt — bei Hostpoint-verwalteter DNS-Zone — den nötigen DKIM-Record selbstständig ein.
Menüpfad im Hostpoint Control Panel
- Anmelden mit Ihrer Hostpoint ID
- Im oberen Menü auf Domains klicken
- Gewünschte Domain auswählen
- Im Bereich E-Mail-Sicherheit auf E-Mail-Sicherheit konfigurieren klicken
- DKIM aktivieren — Hostpoint trägt den DNS-Eintrag automatisch ein
- Nach 5-10 Minuten ist der Public-Key in der DNS-Zone aktiv
Wenn Ihre DNS-Zone bei einem externen Provider (Cloudflare, Gandi etc.) liegt, kann Hostpoint den DKIM-Eintrag nicht selbst anlegen. Im HCP unter E-Mail-Sicherheit konfigurieren zeigt Hostpoint dann den zu übernehmenden Wert an — Hostname und Wert kopieren und beim externen DNS-Provider als CNAME (oder TXT, je nach Hostpoint-Vorgabe) eintragen. Quelle: support.hostpoint.ch/.../dkim-fuer-externe-domains-aktivieren (abgerufen 2026-05-14).
Hostpoint verwaltet den DKIM-Schlüssel zentral und rotiert ihn eigenständig — Bring-your-own-DKIM (eigenes Schlüsselpaar mit eigenem Selector) ist beim Standard-Webhosting nicht dokumentiert. Wer eigene Selectoren braucht (z.B. für Compliance-Auditing mit dediziertem Schlüssel), nutzt am besten eine externe Mail-Plattform wie Microsoft 365 oder Google Workspace mit eigener DKIM-Verwaltung — Hostpoint hostet dann nur Webspace + DNS. Die SPF/DMARC-Records bleiben in der Hostpoint-DNS-Zone, die DKIM-Records kommen vom externen Mail-Provider.
Wenn die Domain bei einem externen DNS-Provider liegt, dokumentiert Hostpoint einen separaten Workflow „DKIM für externe verwaltete Domains aktivieren“. Die Verifikation läuft in vier Schritten: (1) Im HCP unter E-Mail-Sicherheit konfigurieren den DKIM-Aktivierungs-Schalter setzen, (2) Hostpoint zeigt den DKIM-Wert (Hostname + Wert als TXT oder CNAME) zur manuellen Übernahme an, (3) den Eintrag beim externen DNS-Provider mit exakt diesem Wert anlegen, (4) im HCP über den Verifikations-Button die Auflösbarkeit prüfen lassen. Diese Trennung zwischen Mail-Provider und DNS-Provider ist häufig bei Kunden, die ihre Domain bei Cloudflare oder Gandi verwalten und Hostpoint nur als Mail-Service nutzen. Quelle: support.hostpoint.ch DKIM externe Domains (abgerufen 2026-05-14).
DKIM verifizieren
Senden Sie eine Test-E-Mail an einen externen Empfänger (z.B. ein Google- oder Microsoft-Postfach). Im E-Mail-Header sehen Sie unter Authentication-Results das DKIM-Ergebnis. Der genaue DKIM-Selektor (Hostname-Teil vor ._domainkey) wird dabei von Hostpoint vorgegeben und im Header sichtbar.
# Header der Test-E-Mail prüfen
# Erwarteter Eintrag im Authentication-Results-Header:
# dkim=pass header.d=ihre-domain.ch header.s=<hostpoint-selector>
# Den von Hostpoint gewählten Selector aus dem Mail-Header ablesen
# und den Public-Key-Record im DNS prüfen:
dig TXT <selector>._domainkey.ihre-domain.ch +short
# Erwartete Ausgabe (Beispiel):
# "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er erkennt den von Hostpoint gewählten Selector automatisch, validiert die Auflösung auf einen funktionierenden Public-Key-Record und prüft das DKIM-Header-Alignment für DMARC.
Häufige Fehler bei Hostpoint
Diese drei Fehler treten bei Hostpoint-DKIM-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DKIM für Ihre Domain ungültig wird oder Empfänger Ihre E-Mails als nicht authentifiziert behandeln.
DKIM-Eintrag nach DNS-Migration zu externem Provider verloren
Problem: Eine Domain wird von der Hostpoint-DNS-Zone auf einen externen Provider (Cloudflare, Gandi) migriert. Die Mail-Funktion bleibt bei Hostpoint, aber der von Hostpoint automatisch angelegte DKIM-Record wird beim DNS-Export nicht mitübernommen. Hostpoint signiert weiter, der Empfänger kann den Public-Key aber nicht mehr auflösen — DKIM schlägt mit dkim=permerror fehl.
Lösung: Im Hostpoint Control Panel den Pfad E-Mail-Sicherheit für externe Domains öffnen und den dort angezeigten DKIM-Wert (Hostname + Wert) beim externen DNS-Provider eintragen. Dasselbe gilt für den SPF-Record. Mit dig TXT <selector>._domainkey.ihre-domain.ch +short verifizieren, dass der Public-Key auflösbar ist.
Alte Domain ohne aktiviertes DKIM
Problem: Domains, die vor Mai 2024 einem Webhosting bei Hostpoint zugewiesen wurden, haben DKIM nicht automatisch aktiviert. Die Mail-Funktion läuft, aber alle ausgehenden Mails werden ohne DKIM-Signatur versendet. Empfänger melden die Mails als „nicht authentifiziert“ und die Domain-Reputation sinkt langfristig — bei DMARC mit p=quarantine oder p=reject bedeutet das direkten Mail-Verlust.
Lösung: Im HCP unter Domains → ihre-domain.ch → E-Mail-Sicherheit → E-Mail-Sicherheit konfigurieren den DKIM-Schalter aktivieren. Hostpoint trägt den Record automatisch in die DNS-Zone ein. Anschließend eine Test-E-Mail senden und den Header auf dkim=pass prüfen.
DKIM aktiviert, aber MX zeigt auf externen Mailserver
Problem: DKIM ist im HCP aktiviert (Hostpoint zeigt den DKIM-Record in der DNS-Zone), aber die Mail-Zustellung läuft bereits über einen externen Mailserver (Microsoft 365, Proton Mail Custom Domain). In diesem Fall signiert Hostpoint nichts — der DKIM-Record in der DNS-Zone ist tot, der externe Provider braucht seine eigenen DKIM-Records.
Lösung: Den Hostpoint-DKIM-Record entfernen und stattdessen die DKIM-Records des tatsächlichen Versenders konfigurieren — siehe DKIM für Microsoft 365 oder DKIM für Proton Mail.
NIS2, BSI TR-03108, DSGVO Art. 32 und Schweizer DSG: DKIM bei Hostpoint
DKIM ist eine kryptografische Sender-Authentifizierung — die Header-From-Domain wird mit einem privaten Schlüssel signiert, der Empfänger verifiziert mit dem korrespondierenden Public Key im DNS. NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) macht diese Authentifizierung für wesentliche und wichtige Einrichtungen verbindlich. BSI TR-03108 nennt DKIM als Mindestanforderung für sicheren E-Mail-Transport. DSGVO Art. 32 verlangt Verschlüsselung als technische Maßnahme — die DKIM-Signatur ist genau diese Maßnahme. Schweizer Datenschutz: Hostpoint als Auftragsbearbeiter im Sinne von Art. 9 revDSG verwaltet den Schlüssel zentral und rotiert ihn automatisch — der entsprechende Auftragsbearbeitungs-Vertrag dokumentiert diese Verantwortung. Schweizer Datensouveränität gegenüber US-Cloud-Anbietern (kein CLOUD-Act-Zugriff) ist ein USP. Wolf-Agents-Kunden mit EU-Geschäft müssen zusätzlich DSGVO + NIS2 einhalten. Der Wolf-Agents Email Security Check bewertet DKIM mit bis zu 22 Punkten der 165-Punkte-Gesamtanalyse.
Wie steht Ihre Domain bei DKIM?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.