DKIM für Netcup einrichten
Schritt-für-Schritt-Anleitung: zwei CNAME-Records (key1 + key2) im Netcup Customer Control Panel anlegen, Netcup verwaltet den DKIM-Schlüssel zentral und rotiert ihn — mit Test-Mail-Verifikation und DMARC-Alignment-Hinweis.
DKIM für Netcup (DACH-DE Managed Webhosting)
Netcup-Webhosting verwaltet den DKIM-Schlüssel zentral und stellt ihn über zwei CNAME-Records bereit — key1._domainkey und key2._domainkey zeigen auf key1._domainkey.webhosting.systems bzw. key2._domainkey.webhosting.systems. Beide Records sind laut helpcenter.netcup.com „für vollständige Sicherheit erforderlich“ — fehlt einer, signiert Netcup zwar weiterhin, der Empfänger kann die Signatur aber nicht verifizieren. Der Selektor wird über die Delegation auf webhosting.systems automatisch verwaltet — Netcup kann den eigentlichen Schlüssel jederzeit rotieren, ohne dass Sie Records in Ihrer DNS-Zone aktualisieren müssen.
NIS2 Art. 21 Abs. 2 lit. h fordert Konzepte und Verfahren für den Einsatz von Kryptografie — DKIM ist genau diese kryptografische Maßnahme auf der Header-Ebene und ergänzt SPF auf der Envelope-Ebene. Der Wolf-Agents Email Security Check erkennt automatisch den Netcup-CNAME-Pattern (key1/key2._domainkey → webhosting.systems), prüft die aktuelle Schlüsselstärke (Netcup rotiert RSA-2048-Keys), validiert das DKIM-DMARC-Alignment (Header-From-Domain matched mit DKIM-d=-Domain) und meldet Drift, wenn nach Tarif-Wechsel nur ein Record migriert wurde.
Hardening-Pfad: Nach DKIM folgt DMARC für Netcup — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht. Bedrohungs-Cluster: Funktionierendes DKIM ist die Voraussetzung, um Spoofing und insbesondere Echospoofing und Subdomailing (Sender-Routing über kompromittierte Sub-Domain-Stempel; Guardio Labs hat 2024 über 8.000 betroffene Marken-Subdomains aufgedeckt) abzuwehren.
DKIM-Key-Rotation Side-by-Side — Netcup Support-Ticket vs Mailcow Admin-UI Dual-Selector
Zwei-Spalten-Workflow-Vergleich der DKIM-Rotation: Netcup (Managed) erfordert 4 Schritte über Support-Ticket mit mehreren Werktagen Wartezeit. Mailcow (Self-Hosted) erlaubt 6-Schritte-Dual-Selector-Pattern via Admin-UI mit Risiko-Annotation auf Schritt 6 (Removal alter Selektor). Konzerne: Netcup GmbH Nürnberg + Mailcow GmbH Bielefeld.
Netcup CCP-DNS-Workflow — Domains → Lupe → DNS-Tab
4-Schritte-UI-Sequence im Netcup Customer Control Panel (CCP): Login ccp.netcup.net, Navigation Domains (linke Sidebar), Klick auf Lupe-Symbol für Domain-Detail, Tab DNS mit den Spalten Gültig und Geändert. Wiederverwendbar in 6 Netcup-Provider-Seiten. Konzern: Netcup GmbH Nürnberg.
Tarif-Typ prüfen — Webhosting oder vServer?
Netcup bietet zwei komplett verschiedene Hosting-Modelle, die DKIM unterschiedlich handhaben. Bestimmen Sie zuerst, welches für Sie zutrifft — die folgenden Schritte gelten ausschließlich für Webhosting.
Zwei CNAME-Records im Netcup CCP anlegen
Das Netcup Customer Control Panel benötigt zwei CNAME-Einträge — einen pro Schlüssel-Selektor. Beide sind Pflicht: Netcup signiert ausgehende E-Mails mit dem aktuell aktiven Schlüssel (key1 oder key2) und kann während Rotationen kurzfristig beide nutzen.
# Host: key1._domainkey
# Typ: CNAME
# Destination: key1._domainkey.webhosting.systems
# Host: key2._domainkey
# Typ: CNAME
# Destination: key2._domainkey.webhosting.systems
# Wichtig: Destination OHNE abschließenden Punkt (laut Netcup-Helpcenter)Menüpfad im Netcup CCP
- Melden Sie sich im Customer Control Panel (CCP) an
- Navigieren Sie zu Domains
- Klicken Sie auf das Lupe-Symbol links neben Ihrer Domain
- Öffnen Sie den DNS-Reiter
- Eintrag 1: Host
key1._domainkey· TypCNAME· Destinationkey1._domainkey.webhosting.systems - Eintrag 2: Host
key2._domainkey· TypCNAME· Destinationkey2._domainkey.webhosting.systems - Klicken Sie auf DNS Records speichern — beide Einträge müssen anschließend Gültig = yes anzeigen
Laut helpcenter.netcup.com funktionieren die CNAMEs nur, wenn die Standard-DNS-Einstellungen aktiv sind und der Versand ausschließlich über den Produkt-Mailserver läuft. Wer eigene MX-Records auf externe Mailserver setzt, verliert das Netcup-DKIM — dort braucht es separate DKIM-Konfiguration auf dem externen Mailserver.
Anders als bei Microsoft 365 oder Google Workspace ist Bring-your-own-DKIM bei Netcup-Webhosting nicht direkt unterstützt — Netcup signiert ausgehende Mails ausschließlich mit den zentral verwalteten key1/key2-Schlüsseln, die über webhosting.systems aufgelöst werden. Custom DKIM-Keys mit eigenem Selektor sind nur bei vServer/Root-Server-Tarifen möglich, wo Sie einen eigenen Mailserver (Postfix, Mailcow) betreiben. Wer Custom-DKIM bei Webhosting braucht, muss zur Self-Hosted-Variante migrieren — siehe DKIM für Postfix oder DKIM für Mailcow. Quelle: netcup.com/en/helpcenter/documentation/web-hosting/webhosting-dns (abgerufen 2026-05-13, keine Bring-your-own-DKIM-Option dokumentiert).
DKIM verifizieren
Prüfen Sie beide CNAME-Records und senden Sie eine Test-E-Mail an einen externen Empfänger (z.B. ein Google- oder Microsoft-Postfach). Im E-Mail-Header sehen Sie unter Authentication-Results das DKIM-Ergebnis.
# Linux / macOS — beide CNAMEs prüfen
dig CNAME key1._domainkey.ihre-domain.de +short
dig CNAME key2._domainkey.ihre-domain.de +short
# Windows (PowerShell)
Resolve-DnsName -Name key1._domainkey.ihre-domain.de -Type CNAME
Resolve-DnsName -Name key2._domainkey.ihre-domain.de -Type CNAME
# Erwartete Ausgabe:
# key1._domainkey.webhosting.systems.
# key2._domainkey.webhosting.systems.
# Anschließend Ziel-TXT-Record prüfen (Netcup hält den Public Key dort)
dig TXT key1._domainkey.webhosting.systems +short
# v=DKIM1; k=rsa; p=MIIBIjANBgkqhki...
Senden Sie anschließend eine Test-E-Mail und prüfen Sie den Header auf dkim=pass header.d=ihre-domain.de. Der Wolf-Agents Email Security Check validiert beide CNAMEs, die Auflösung auf einen funktionierenden Public-Key-Record und das DKIM-Header-Alignment für DMARC.
Häufige Fehler bei Netcup
Diese drei Fehler treten bei Netcup-DKIM-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DKIM für Ihre Domain ungültig wird oder Empfänger Ihre E-Mails als nicht authentifiziert behandeln.
Nur einer der beiden CNAMEs angelegt
Problem: Eine häufige Vereinfachung lautet „ein DKIM-Record reicht doch“. Bei Netcup ist das falsch: Das helpcenter.netcup.com beschreibt explizit, dass beide Records (key1 und key2) für vollständige Sicherheit erforderlich sind. Während einer Schlüssel-Rotation signiert Netcup mit dem jeweils neuen Selektor — fehlt dieser im DNS, schlägt die DKIM-Verifikation der signierten Mails fehl.
Lösung: Beide CNAMEs anlegen — key1._domainkey und key2._domainkey. Mit dig CNAME key1._domainkey.ihre-domain.de +short und dig CNAME key2._domainkey.ihre-domain.de +short beide einzeln prüfen.
Abschließender Punkt in der Destination
Problem: In der Destination wird ein abschließender Punkt ergänzt (z.B. key1._domainkey.webhosting.systems.). Das Netcup-CCP erlaubt im Destination-Feld keinen abschließenden Punkt — der Record wird trotz Speicherung als nicht auflösbar markiert. Empfänger erkennen kein DKIM.
Lösung: Die Destination ohne abschließenden Punkt eingeben: key1._domainkey.webhosting.systems (laut Netcup-Helpcenter explizit dokumentiert). Nach dem Speichern muss in der CCP-Spalte Gültig der Wert yes stehen.
DKIM-CNAMEs trotz externer MX-Server angelegt
Problem: Die Domain verwendet externe MX-Records (z.B. Microsoft 365, Google Workspace, mailbox.org), aber zusätzlich werden die Netcup-DKIM-CNAMEs angelegt. Das ist wirkungslos: Wenn der Versand nicht über den Netcup-Mailserver läuft, signiert Netcup nichts. Im DNS stehen DKIM-Records, die nie verwendet werden, während der eigentliche Versender (z.B. Microsoft 365) seine eigenen DKIM-Selektoren benötigt.
Lösung: Bei externen Mailservern die Netcup-DKIM-CNAMEs entfernen und stattdessen die DKIM-Records des tatsächlichen Versenders konfigurieren — siehe DKIM für Microsoft 365 oder DKIM für Google Workspace.
NIS2, BSI TR-03108 und DSGVO Art. 32: DKIM bei Netcup-Webhosting
DKIM ist eine kryptografische Sender-Authentifizierung — die Header-From-Domain wird mit einem privaten RSA-Schlüssel signiert, der Empfänger verifiziert mit dem korrespondierenden Public Key im DNS. NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) macht diese Authentifizierung für wesentliche und wichtige Einrichtungen verbindlich. BSI TR-03108 nennt DKIM als Mindestanforderung für sicheren E-Mail-Transport. DSGVO Art. 32 verlangt Verschlüsselung als technische Maßnahme — die DKIM-Signatur über kryptografisch verifizierbare Header-Felder ist genau diese Maßnahme. Netcup als Auftragsverarbeiter (DSGVO Art. 28) verwaltet den Schlüssel zentral und rotiert ihn automatisch — der AV-Vertrag dokumentiert diese Verantwortung. Der Wolf-Agents Email Security Check bewertet DKIM mit bis zu 22 Punkten der 165-Punkte-Gesamtanalyse.
DKIM-Anleitung auch für:
Wie steht Ihre Domain bei DKIM?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.