DKIM für Proton Mail einrichten
Schritt-für-Schritt-Anleitung: DKIM-Aktivierung für Proton Mail Custom Domain — drei CNAME-Records für automatische Schlüssel-Rotation aus dem Proton Account Settings beim externen DNS-Provider eintragen, mit Bridge-Architektur-Hinweis.
DKIM für Proton Mail (Schweiz, E2EE mit Custom Domain)
Proton Mail dokumentiert auf proton.me/support: „We use CNAME records to manage automatic DKIM key rotation, which is an accepted security best practice. We ask you to add and keep three CNAME records.“ Statt einem statischen TXT-Public-Key nutzt Proton drei CNAMEs, die jeweils auf einen aktuellen Key-Selector im Proton-Netz zeigen — bei Schlüssel-Rotation aktualisiert Proton den Ziel-Selector, Ihre DNS-Zone bleibt unverändert. Die exakten CNAME-Hostnamen und Ziel-Werte werden im Proton Account Settings → Domain names → Review → DKIM-Tab pro Domain individuell generiert.
NIS2 Art. 21 Abs. 2 lit. h fordert Konzepte und Verfahren für den Einsatz von Kryptografie — DKIM ist genau diese kryptografische Maßnahme auf der Header-Ebene und ergänzt SPF auf der Envelope-Ebene. Schweizer Datenschutz: Proton AG mit Sitz in Genf untersteht dem revDSG Art. 8 (Datensicherheit/TOM) — analog DSGVO Art. 32. Zusätzlich: End-to-End-Verschlüsselung mit Zero-Access-Architektur (Proton kann die Mail-Inhalte selbst nicht entschlüsseln) — ein USP gegenüber US-Cloud-Mail-Anbietern (kein CLOUD-Act-Zugriff). Der Wolf-Agents Email Security Check prüft alle drei CNAME-Records, validiert die Auflösung auf einen funktionierenden Public-Key-Record und meldet Drift, wenn ein CNAME fehlt oder nicht mehr auflöst.
Hardening-Pfad: Nach DKIM folgt DMARC für Proton Mail — die Policy, die SPF- und DKIM-Ergebnisse für empfangende Server bindend macht. Proton empfiehlt explizit p=quarantine als Sicherheitsverbesserung gegenüber dem Default p=none. Bedrohungs-Cluster: Funktionierendes DKIM ist die Voraussetzung, um Spoofing und insbesondere Echospoofing und Subdomailing (Sender-Routing über kompromittierte Sub-Domain-Stempel; Guardio Labs 2024: über 8.000 betroffene Marken-Subdomains) abzuwehren.
Proton Mail Custom-Domain Trust-Chain — 3 CNAMEs Auto-Rotation
Drei parallele CNAME-Ketten für Proton Mail Custom-Domain DKIM: protonmail._domainkey + protonmail2._domainkey + protonmail3._domainkey, jeweils CNAME auf <selector>.domainkey.<unique-host>.domains.proton.ch. Auto-Rotation zwischen den drei Selektoren — alle drei CNAMEs müssen dauerhaft im DNS bleiben. Zusätzlich: SPF-Include _spf.protonmail.ch + MX mail/mailsec.protonmail.ch Prio 10/20 + DMARC-Empfehlung p=quarantine. Konzern: Proton AG Genf Plan-les-Ouates.
Proton Bridge Architektur — E2EE-Backend + Localhost-Proxy + Mail-Client
Drei-Schichten-Architektur für Proton Mail Bridge: Schicht 1 Proton-Server-Backend (Cloud, E2EE, Zero-Access, MX mail.protonmail.ch + mailsec.protonmail.ch), Schicht 2 Proton Bridge als Localhost-Proxy (entschlüsselt eingehende Mails on-the-fly, signiert ausgehende, IMAP 127.0.0.1:1143 + SMTP 127.0.0.1:1025), Schicht 3 Mail-Client (Thunderbird/Outlook/Apple Mail). Parallel-Pfad: Custom-Domain ohne Bridge (DNS-basierte Features funktionieren ohne lokale Software). Bridge-Version v3.24.2 (20.04.2026). Konzern: Proton AG Genf Plan-les-Ouates.
Voraussetzung: Custom Domain verifiziert
DKIM kann erst konfiguriert werden, nachdem die Domain im Proton Account erfolgreich verifiziert und die MX-Records auf Proton ausgerichtet sind. Bei Custom-Domain-Setup ohne aktivierten Proton-Mail-Plus-Tarif ist DKIM nicht möglich.
Drei CNAME-Records beim DNS-Provider anlegen
Im Proton Account zeigt der DKIM-Tab drei pro Domain individuell generierte CNAME-Records — Hostnamen und Ziel-Werte sind eindeutig und werden direkt aus dem Proton-Account übernommen. Die drei Records ermöglichen Proton's automatische Schlüssel-Rotation: während Proton einen neuen Schlüssel deployt, bleiben die anderen aktiv — Sie müssen nichts manuell rotieren.
# Drei CNAME-Records aus dem Proton Account übernehmen
# (genaue Hostnamen + Ziel-Werte werden pro Domain im
# Proton Account Settings → Domain names → Review → DKIM-Tab angezeigt)
Hostname: <proton-selector-1>._domainkey
Typ: CNAME
Ziel: <proton-target-1>.domains.proton.ch
Hostname: <proton-selector-2>._domainkey
Typ: CNAME
Ziel: <proton-target-2>.domains.proton.ch
Hostname: <proton-selector-3>._domainkey
Typ: CNAME
Ziel: <proton-target-3>.domains.proton.chMenüpfad im Proton Account
- Im Proton Account auf Settings → All settings → Organization → Domain names navigieren
- Neben Ihrer Domain auf Review klicken
- Den DKIM-Tab öffnen
- Die drei CNAME-Hostnamen und Ziel-Werte kopieren
- Beim externen DNS-Provider als CNAME-Records eintragen
- Nach 10-30 Minuten Propagation im Proton Account auf Verify klicken — grünes Häkchen bestätigt
Proton dokumentiert explizit: „We ask you to add and keep three CNAME records“. Auch wenn aktuell nur ein Schlüssel aktiv ist, halten Sie alle drei dauerhaft in der DNS-Zone — Proton aktiviert die anderen während automatischer Rotationen. Wer im DNS „aufräumt“ und einen Record löscht, riskiert, dass bei der nächsten Rotation kein gültiger Public-Key auflösbar ist und DKIM komplett bricht. Quelle: proton.me/support/anti-spoofing-custom-domain (abgerufen 2026-05-14).
Proton Bridge ist eine lokale Anwendung, die IMAP/SMTP zwischen Mail-Client und Proton-Server vermittelt — sie ist für die DKIM-Signierung von Custom-Domain-Mails NICHT nötig. Proton signiert alle ausgehenden Mails einer Custom Domain automatisch auf den Proton-Servern, sobald die drei CNAME-Records aktiv sind. Bridge wird nur dann gebraucht, wenn Sie Proton-Mails in einem Desktop-Client (Thunderbird, Apple Mail) per IMAP lesen wollen.
Die Ziel-Domain .domains.proton.ch im Code-Beispiel ist als Pattern-Platzhalter zu lesen — die tatsächlichen CNAME-Ziel-Werte werden im Proton Account pro Domain individuell generiert. Proton dokumentiert dazu: „Proton Mail will generate the host names and values you will need“. Übernehmen Sie immer die exakten Werte aus dem DKIM-Tab im Proton Account, nicht aus dem Code-Beispiel. Die Ziel-Domain könnte je nach Proton-Account-Region (Schweiz, EU-Niederlassung etc.) variieren — vertrauen Sie dem Account, nicht der Doku-Vorlage.
Für besonders schützenswerte Accounts bietet Proton mit dem Proton Sentinel-Programm eine erweiterte Account-Hardening-Schicht — gedacht für Journalisten, Aktivisten, Politiker, Führungskräfte. Sentinel erschwert Account-Takeover durch zusätzliche Bot-Erkennung, manuelle Login-Reviews bei verdächtigen Sessions und verschärfte Recovery-Prozesse. Wer Custom Domain mit besonders sensiblen Compliance-Daten kombiniert (z.B. NIS2-Whistleblower-Postfach, Compliance-Reports per E-Mail), kann Sentinel als zusätzliche Schicht aktivieren. Verfügbarkeit (zeichengenau aus proton.me/blog/sentinel-high-security-program, abgerufen 2026-05-14): Visionary, Lifetime, Family, Unlimited, Business und Pass Plus. Aktivierung im Proton Account unter Settings → All settings → Account → Security and Privacy. Sentinel ändert nicht die DKIM-/SPF-/DMARC-Konfiguration, sondern härtet den Account selbst.
DKIM verifizieren
Im Proton Account zeigt der DKIM-Tab nach erfolgter DNS-Propagation ein grünes Häkchen. Senden Sie zusätzlich eine Test-E-Mail an einen externen Empfänger und prüfen Sie den Header auf dkim=pass.
# Alle drei CNAME-Records prüfen — Hostnamen aus Proton Account übernehmen
dig CNAME <proton-selector-1>._domainkey.ihre-domain.ch +short
dig CNAME <proton-selector-2>._domainkey.ihre-domain.ch +short
dig CNAME <proton-selector-3>._domainkey.ihre-domain.ch +short
# Header der Test-E-Mail prüfen — erwartet:
# dkim=pass header.d=ihre-domain.ch header.s=<proton-selector>Validieren Sie zusätzlich mit dem Wolf-Agents Email Security Check — er prüft alle drei CNAME-Records, validiert die Auflösung der jeweils aktiven Schlüssel und meldet Drift bei einem fehlenden Record.
Häufige Fehler bei Proton Mail
Diese drei Fehler treten bei Proton-Mail-DKIM-Konfigurationen besonders häufig auf — jeder einzelne kann dazu führen, dass DKIM für Ihre Domain ungültig wird oder Empfänger Ihre E-Mails als nicht authentifiziert behandeln.
Nur einer der drei CNAME-Records angelegt
Problem: Eine häufige Vereinfachung lautet „ein DKIM-Record reicht doch“. Bei Proton ist das falsch: Proton dokumentiert explizit, dass alle drei CNAMEs dauerhaft in der DNS-Zone bleiben müssen. Während einer Schlüssel-Rotation aktiviert Proton einen anderen Selector — fehlt dieser im DNS, schlägt die DKIM-Verifikation der signierten Mails fehl.
Lösung: Alle drei CNAMEs aus dem Proton-Account-DKIM-Tab anlegen. Mit dig CNAME <selector>._domainkey.ihre-domain.ch +short alle drei einzeln verifizieren. Im Proton Account zeigt der DKIM-Tab grünes Häkchen, sobald alle drei aufgelöst werden.
DKIM-Records nach DNS-Migration verloren
Problem: Eine Domain wird von einem DNS-Provider zum anderen migriert. Die drei Proton-DKIM-CNAMEs werden beim DNS-Export nicht mitgenommen. Proton signiert weiter, der Empfänger kann den Public-Key aber nicht mehr auflösen — DKIM schlägt mit dkim=permerror fehl.
Lösung: Vor jeder DNS-Migration die drei DKIM-CNAMEs aus dem Proton Account exportieren und beim neuen DNS-Provider als CNAME-Records eintragen. Im Proton Account auf Verify klicken und auf grünes Häkchen warten.
Tarif-Downgrade auf Kostenlos — DKIM tot
Problem: Proton Mail Plus wurde gekündigt oder auf Kostenlos heruntergestuft. Custom Domain ist im Kostenlos-Tarif nicht verfügbar — Proton stellt die Mail-Annahme ein und entfernt die DKIM-Schlüssel im Hintergrund. Die CNAMEs in der DNS-Zone zeigen ins Leere; Empfänger können den Public-Key nicht mehr auflösen.
Lösung: Bei Tarif-Downgrade entscheiden: a) Custom Domain bleibt nötig → Tarif wieder auf Plus erhöhen oder b) Mail-Anbieter wechseln → MX/SPF/DKIM/DMARC-Records auf den neuen Anbieter umstellen, nicht „verwaisen“ lassen. Wolf-Agents Email Monitoring erkennt diesen Drift in 6-Stunden-Intervallen.
NIS2, BSI TR-03108, DSGVO Art. 32 und Schweizer DSG: DKIM bei Proton Mail
DKIM ist eine kryptografische Sender-Authentifizierung — die Header-From-Domain wird mit einem privaten Schlüssel signiert, der Empfänger verifiziert mit dem korrespondierenden Public Key im DNS. NIS2 Art. 21 Abs. 2 lit. h (Konzepte und Verfahren für den Einsatz von Kryptografie und Verschlüsselung) macht diese Authentifizierung für wesentliche und wichtige Einrichtungen verbindlich. BSI TR-03108 nennt DKIM als Mindestanforderung. DSGVO Art. 32 verlangt Verschlüsselung als technische Maßnahme. Schweizer Datenschutz: Proton AG als Auftragsbearbeiter im Sinne von Art. 9 revDSG rotiert die DKIM-Schlüssel automatisch via CNAME-Pattern — der Auftragsbearbeitungs-Vertrag dokumentiert diese Verantwortung. Schweizer Datensouveränität (kein US-CLOUD-Act-Zugriff) plus End-to-End-Verschlüsselung mit Zero-Access-Architektur ist Proton's spezifischer USP. Wolf-Agents-Kunden mit EU-Geschäft müssen zusätzlich DSGVO + NIS2 einhalten. Der Wolf-Agents Email Security Check bewertet DKIM mit bis zu 22 Punkten der 165-Punkte-Gesamtanalyse.
Wie steht Ihre Domain bei DKIM?
Prüfen Sie es jetzt — kostenlos, ohne Registrierung, mit 165 Prüfpunkte.