DKIM für IONOS einrichten

Schritt-für-Schritt-Anleitung: DKIM-Status prüfen, zwischen drei Konfigurationsoptionen wählen und mit DNS-Befehlen verifizieren — automatische CNAMEs, externes DNS und manueller TXT-Record.

DKIM prüfen Plattform entdecken
IONOS · Schritt für Schritt
Von Wolf-Agents Security Team · Aktualisiert: 6. April 2026

DKIM für IONOS (1&1)

IONOS bietet drei Wege zur DKIM-Konfiguration: automatische CNAME-Records bei IONOS-Nameservern, manuelle CNAME-Replikation bei externem DNS und manuelle TXT-Records für eigene Mailserver. Seit etwa 2024 erstellt IONOS automatisch DKIM-CNAME-Records für Domains, die IONOS-Nameserver verwenden. Bei externem DNS (z.B. Cloudflare, Hetzner DNS) müssen diese CNAMEs manuell repliziert werden.

NIS2 Art. 21 verlangt nachweisbare Schutzmaßnahmen für die E-Mail-Kommunikation. IONOS bietet drei DKIM-Wege — der Wolf-Agents Email Security Check erkennt automatisch, welche Variante bei Ihrer Domain aktiv ist, und prüft Selektor, Schlüsselstärke und Record-Konsistenz auf 22 DKIM-Kriterien.

Hardening-Pfad: Nach DKIM folgt DMARC für IONOS — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht.

Ausführliche Einführung in DKIM

1 Schritt 1 von 3

DKIM-Status prüfen

Prüfen Sie zunächst, welche DKIM-Konfiguration für Ihre Domain gilt. IONOS bietet drei Szenarien — wählen Sie das passende für Ihr Setup.

Option A: IONOS-Nameserver (automatisch)

Wenn Ihre Domain die IONOS-Nameserver verwendet, erstellt IONOS seit ca. 2024 automatisch CNAME-Records für DKIM mit dem Selektor ionos. Prüfen Sie den Status im Kundencenter unter Domain & SSL → DNS-Einstellungen.

Option B: IONOS-Mail mit externem DNS

Sie nutzen IONOS als Mailserver, aber einen externen DNS-Provider (z.B. Cloudflare). Die automatisch generierten CNAME-Records müssen manuell beim externen DNS-Provider repliziert werden.

Option C: Externer Mailserver (manuell)

Sie nutzen einen eigenen Mailserver (z.B. Postfix) und IONOS nur für DNS. Erstellen Sie einen manuellen TXT-Record mit dem Selektor default oder einem eigenen Selektor.

2 Schritt 2 von 3

DNS-Record konfigurieren

Je nach gewählter Option konfigurieren Sie den passenden DNS-Record. Bei Option A ist kein Eingriff nötig — bei Option B und C müssen Sie Records manuell anlegen.

Option B: CNAME bei externem DNS replizieren IONOS Mail 
# CNAME-Records für IONOS-Mail bei externem DNS
ionos._domainkey.ihre-domain.de  CNAME  ionos._domainkey.iomail.ionos.de.
Option C: TXT-Record für eigenen Mailserver Manuell 
# TXT-Record für eigenen DKIM-Schlüssel
default._domainkey.ihre-domain.de  IN  TXT  "v=DKIM1; k=rsa; p=MIIBIjANBgkqhki..."
Nicht mischen: automatisch + manuell

Verwenden Sie niemals gleichzeitig automatische IONOS-CNAME-Records und manuell angelegte TXT-Records für DKIM. Dies führt zu Konflikten und kann dazu führen, dass DKIM-Signaturen ungültig werden.

3 Schritt 3 von 3

DKIM verifizieren

Prüfen Sie den DKIM-Record je nach Konfigurationsoption. Bei IONOS-Nameservern oder repliziertem CNAME verwenden Sie den Selektor „ionos“, bei manuellem TXT-Record den gewählten Selektor.

Terminal Verifikation 
# Option A / B: CNAME-Record prüfen (Selektor: ionos)
dig CNAME ionos._domainkey.ihre-domain.de +short

# Option C: TXT-Record prüfen (Selektor: default)
dig TXT default._domainkey.ihre-domain.de +short

# Windows (PowerShell)
Resolve-DnsName -Name ionos._domainkey.ihre-domain.de -Type CNAME
Resolve-DnsName -Name default._domainkey.ihre-domain.de -Type TXT

Senden Sie anschließend eine Test-E-Mail und prüfen Sie den Header auf DKIM-Signature: ... d=ihre-domain.de; s=ionos (oder Ihren manuellen Selektor). Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — dieser erkennt automatisch den aktiven Selektor und prüft Schlüssellänge sowie Signatur.

Häufige Fehler bei IONOS

Die folgenden drei Fehler treten bei der DKIM-Konfiguration mit IONOS am häufigsten auf. Jeder einzelne kann dazu führen, dass DKIM fehlschlägt oder E-Mails als nicht authentifiziert markiert werden.

Automatische und manuelle DKIM-Records gleichzeitig

Problem: Es existieren sowohl automatisch von IONOS erstellte CNAME-Records (Selektor ionos) als auch manuell angelegte TXT-Records (Selektor default). Empfänger-Server können den falschen Selektor prüfen und die Signatur als ungültig bewerten.

Lösung: Entscheiden Sie sich für eine Option. Wenn Sie IONOS-Mail verwenden, nutzen Sie die automatischen CNAME-Records und entfernen manuelle TXT-Records. Bei eigenem Mailserver deaktivieren Sie die automatischen Records im Kundencenter.

Externes DNS ohne CNAME-Replikation

Problem: Die Domain nutzt IONOS-Mail, aber einen externen DNS-Provider (z.B. Cloudflare). IONOS erstellt die CNAME-Records automatisch — aber nur auf den eigenen Nameservern. Beim externen DNS fehlen sie, DKIM schlägt fehl.

Lösung: Replizieren Sie die CNAME-Records manuell beim externen DNS-Provider: ionos._domainkey.ihre-domain.de CNAME ionos._domainkey.iomail.ionos.de.

Falscher Record-Typ: TXT statt CNAME

Problem: Für IONOS-Mail wird ein TXT-Record statt eines CNAME-Records angelegt. IONOS verwaltet den DKIM-Schlüssel zentral über CNAME-Delegation — ein manueller TXT-Record mit dem Selektor ionos funktioniert nicht, weil IONOS den Schlüssel regelmäßig rotiert.

Lösung: Verwenden Sie für IONOS-Mail immer CNAME-Records. TXT-Records sind nur für eigene Mailserver (Option C) korrekt — dort mit einem eigenen Selektor wie default.

DKIM-Anleitung auch für:

Microsoft 365Google WorkspaceStratoAll-InklHetznerPostfixEximGenerisch

Wie steht Ihre Domain bei DKIM?

Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.

E-Mail Security Check starten