DKIM für Infomaniak einrichten

Schritt-für-Schritt-Anleitung: DKIM-Aktivierung im Infomaniak Manager via Global Security — automatisch bei Infomaniak-verwalteter DNS-Zone, manuell bei externem DNS-Provider — inklusive Header-Verifikation und Schweizer DSG-Hinweis.

DKIM prüfen Plattform entdecken
Infomaniak · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 14. Mai 2026

DKIM für Infomaniak (Schweiz Cloud + Mail Service)

Infomaniak dokumentiert: „DKIM keys are activated for all our customers with a Mail Service whose domain name has its DNS zone managed by Infomaniak.“ E-Mails aus kMail (Infomaniak-Mail-Web-Client) werden automatisch signiert, sobald die DNS-Zone bei Infomaniak liegt. Bei externer DNS-Zone zeigt das Global Security Tool im Manager den DKIM-Record zur manuellen Übernahme an. Das ist der zentrale Unterschied zu Self-Hosted-Setups (Postfix, Mailcow): Sie müssen weder Schlüsselpaare generieren noch Selector-Namen wählen — Infomaniak übernimmt das vollständig zentral.

NIS2 Art. 21 Abs. 2 lit. h fordert Konzepte und Verfahren für den Einsatz von Kryptografie — DKIM ist genau diese kryptografische Maßnahme auf der Header-Ebene und ergänzt SPF auf der Envelope-Ebene. Schweizer Datenschutz: Infomaniak mit Sitz in Genf untersteht dem revDSG Art. 8 (Datensicherheit/TOM) — analog DSGVO Art. 32. Infomaniak betreibt 100 % seiner Server in eigenen Schweizer Rechenzentren mit erneuerbarer Energie — Schweizer Datensouveränität ist ein USP gegenüber US-Cloud-Providern (kein CLOUD-Act-Zugriff). Der Wolf-Agents Email Security Check prüft, ob der DKIM-Public-Key noch auflösbar ist, validiert die aktuell aktive Schlüsselstärke und meldet Drift, wenn nach einer Domain-Migration der Infomaniak-DKIM-Eintrag verloren gegangen ist.

Hardening-Pfad: Nach DKIM folgt DMARC für Infomaniak — die Policy, die SPF- und DKIM-Ergebnisse bindend macht. Infomaniaks Global Security Tool enthält einen DMARC-Wizard mit „Simple“- und „Advanced“-Modus. Bedrohungs-Cluster: Funktionierendes DKIM ist die Voraussetzung, um Spoofing und insbesondere Echospoofing und Subdomailing (Sender-Routing über kompromittierte Sub-Domain-Stempel; Guardio Labs 2024: über 8.000 betroffene Marken-Subdomains) abzuwehren.

Ausführliche Einführung in DKIM

1 Schritt 1 von 3

DNS-Verwaltung prüfen — Infomaniak oder extern?

Infomaniak aktiviert DKIM automatisch, wenn DNS-Zone und Mail Service beide bei Infomaniak verwaltet werden. Bei externer DNS-Zone (Cloudflare, Gandi, eigener Registrar) ist die manuelle Übernahme des DKIM-Records nötig.

Option A: DNS-Zone bei Infomaniak — DKIM automatisch aktiv

Infomaniak signiert alle ausgehenden Mails automatisch mit zentral verwaltetem DKIM-Schlüssel. Sie müssen nichts konfigurieren — direkt zu Schritt 3 (Verifikation) springen. Der DKIM-Record wird automatisch in die Infomaniak-DNS-Zone eingetragen.

Option B: Externe DNS-Zone — manuell via Global Security

Im Infomaniak Manager unter Mail Service Management → Global Security → DKIM finden Sie den DKIM-Record zur manuellen Übernahme. Die genauen Hostnamen und Werte werden im Tool angezeigt und müssen exakt beim externen DNS-Provider eingetragen werden.

2 Schritt 2 von 3

DKIM via Infomaniak Manager Global Security konfigurieren

Das Global Security Tool im Infomaniak Manager zeigt SPF-, DKIM- und DMARC-Status in einer Übersicht. Bei externer DNS-Zone listet es die zu übernehmenden Werte. Bei Infomaniak-verwalteter DNS-Zone kann der Auto-Correct-Button die Konfiguration mit einem Klick anwenden.

Menüpfad im Infomaniak Manager

  1. Im Infomaniak Manager auf Mail Service Management navigieren
  2. Den Namen Ihres Mail Service anklicken
  3. In der linken Seitenleiste Global Security auswählen
  4. Den Tab DKIM öffnen
  5. Bei Infomaniak-DNS: Mit Correct automatisch übernehmen
  6. Bei externer DNS: angezeigten Wert kopieren und beim externen Provider eintragen
  7. Nach max. 48 Stunden DNS-Propagation ist DKIM aktiv
kMail vs. externe Mail-Clients (Information-Gain)

Infomaniak signiert alle Mails, die über die eigene MTA-Infrastruktur versendet werden — egal ob über das Web-Frontend kMail, IMAP/SMTP-Clients (Thunderbird, Apple Mail) oder per API. Was Infomaniak NICHT signieren kann: Mails, die externe Tools (Mailchimp, HubSpot, eigene Cron-Skripte) im Namen Ihrer Infomaniak-Domain senden. Diese Tools brauchen eigene DKIM-Konfigurationen — ergänzen Sie deren Includes in den SPF-Record (SPF für Infomaniak) und konfigurieren Sie DKIM beim jeweiligen Tool separat.

100 % CH-Rechenzentren + erneuerbare Energie als Compliance-USP (Information-Gain)

Infomaniak betreibt nach eigenen Angaben 100 % seiner Server in eigenen Schweizer Rechenzentren mit erneuerbarer Energie — eine Kombination, die unter den 15 Q9-Providern einzigartig ist. Für DKIM hat das eine doppelte Compliance-Wirkung: 1) Schweizer Datensouveränität: Der private DKIM-Schlüssel verlässt die Schweizer Rechenzentren nicht (kein CLOUD-Act-Zugriff durch US-Behörden, anders als bei Microsoft 365 oder Google Workspace mit EU-Tenant). 2) revDSG Art. 8 + Energieeffizienz: Die kryptografische Verarbeitung erfüllt nicht nur die Schweizer Datenschutz-Pflichten, sondern auch die ESG-Berichts-Anforderungen (DSGVO Art. 32 in Kombination mit CSRD-Lieferkette). Wolf-Agents-Empfehlung: Wer eigene ESG-Reports erstellt, sollte Infomaniak als CH-Mail-Provider in der Liefer-Kette explizit nennen — die ESG-Argumentation ist Belegbar.

3 Schritt 3 von 3

DKIM verifizieren

Senden Sie eine Test-E-Mail an einen externen Empfänger (z.B. Google- oder Microsoft-Postfach). Im E-Mail-Header sehen Sie unter Authentication-Results das DKIM-Ergebnis. Der Selector wird automatisch von Infomaniak vorgegeben und im Header sichtbar.

Terminal / PowerShell Verifikation 
# Header der Test-E-Mail prüfen — Selector aus header.s ablesen
# Beispiel: dkim=pass header.d=ihre-domain.ch header.s=<infomaniak-selector>

# DKIM-Public-Key-Record prüfen
dig TXT <selector>._domainkey.ihre-domain.ch +short

# Erwartete Ausgabe (Beispiel):
# "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."

Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er erkennt den von Infomaniak gewählten Selector automatisch, validiert die Auflösung auf einen funktionierenden Public-Key-Record und prüft das DKIM-Header-Alignment für DMARC.

Häufige Fehler bei Infomaniak

Diese drei Fehler treten bei Infomaniak-DKIM-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DKIM für Ihre Domain ungültig wird oder Empfänger Ihre E-Mails als nicht authentifiziert behandeln.

DKIM-Eintrag nach DNS-Migration verloren

Problem: Eine Domain wird von der Infomaniak-DNS-Zone auf einen externen Provider (Cloudflare, Gandi) migriert. Die Mail-Funktion bleibt bei Infomaniak, aber der automatisch angelegte DKIM-Record wird beim DNS-Export nicht mitübernommen. Infomaniak signiert weiter, der Empfänger kann den Public-Key aber nicht mehr auflösen — DKIM schlägt mit dkim=permerror fehl.

Lösung: Im Infomaniak Manager den Pfad Mail Service Management → Global Security → DKIM öffnen und den dort angezeigten DKIM-Wert (Hostname + Wert) beim externen DNS-Provider eintragen. Mit dig TXT <selector>._domainkey.ihre-domain.ch +short verifizieren, dass der Public-Key auflösbar ist.

Mail-Plus-Tarif ohne aktiviertes DKIM

Problem: Bei einem reinen Mail-Plus-Tarif (Mail ohne Webhosting) wird die Domain häufig bei einem externen Registrar verwaltet. Das Global Security Tool zeigt einen aktivierbaren DKIM-Tab, aber der Anwender klickt nur „Verify“ statt den DKIM-Record beim externen DNS-Provider tatsächlich einzutragen. Ergebnis: Tool meldet „DKIM nicht gefunden“, obwohl Infomaniak alle Konfigurations-Werte bereitstellt.

Lösung: Im DKIM-Tab des Global Security Tools die angezeigten Hostnamen und Werte manuell beim externen DNS-Provider als CNAME (oder TXT, je nach Infomaniak-Vorgabe) eintragen. Dann erst zeigt der Tab den grünen Check-Status.

DKIM aktiviert, aber MX zeigt auf externen Mailserver

Problem: DKIM ist im Manager aktiviert (Infomaniak zeigt grünen Status), aber die Mail-Zustellung läuft bereits über einen externen Mailserver (Microsoft 365, Proton Mail Custom Domain). In diesem Fall signiert Infomaniak nichts — der DKIM-Record in der DNS-Zone ist tot, der externe Provider braucht seine eigenen DKIM-Records.

Lösung: Den Infomaniak-DKIM-Record entfernen und stattdessen die DKIM-Records des tatsächlichen Versenders konfigurieren — siehe DKIM für Microsoft 365 oder DKIM für Proton Mail.

NIS2, BSI TR-03108, DSGVO Art. 32 und Schweizer DSG: DKIM bei Infomaniak

DKIM ist eine kryptografische Sender-Authentifizierung — die Header-From-Domain wird mit einem privaten Schlüssel signiert, der Empfänger verifiziert mit dem korrespondierenden Public Key im DNS. NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) macht diese Authentifizierung für wesentliche und wichtige Einrichtungen verbindlich. BSI TR-03108 nennt DKIM als Mindestanforderung. DSGVO Art. 32 verlangt Verschlüsselung als technische Maßnahme. Schweizer Datenschutz: Infomaniak als Auftragsbearbeiter im Sinne von Art. 9 revDSG verwaltet den Schlüssel zentral — der Auftragsbearbeitungs-Vertrag dokumentiert diese Verantwortung. Schweizer Datensouveränität gegenüber US-Cloud-Anbietern (kein CLOUD-Act-Zugriff) ist ein USP — bei Infomaniak verstärkt durch 100 % Schweizer Rechenzentren mit erneuerbarer Energie. Wolf-Agents-Kunden mit EU-Geschäft müssen zusätzlich DSGVO + NIS2 einhalten. Der Wolf-Agents Email Security Check bewertet DKIM mit bis zu 22 Punkten der 165-Punkte-Gesamtanalyse.

DKIM-Anleitung auch für:

Microsoft 365Google WorkspaceIONOSStratoAll-InklHetznerNetcupHostpointWorld4YouProton MailPostfixEximMailcowGenerisch

Wie steht Ihre Domain bei DKIM?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten