DNS-Einstellungen fĂĽr Open-Xchange Cloud
Letzte Aktualisierung: 24.04.2026
Um die Open-Xchange Cloud nutzen zu können, benötigen Sie zwingend eine eigene Domain. Hier zeigen wir Ihnen, welche DNS Datensätze angelegt oder angepasst werden müssen, um Ihre Domain mit OX zu nutzen.
Verification (Pflicht)
Vor der Nutzung Ihrer Domain mit Open-Xchange ist eine Bestätigung Ihrer Eigentümerschaft gegenüber OX erforderlich. Sie erhalten dazu von uns ein TXT-Eintrag bereitgestellt, den Sie bei Ihrem DNS-Betreiber hinterlegen müssen. Der Eintrag ist wie folgt aufgebaut:
| Name / Host / Alias | TTL | Wert / Ziel / Text |
| ihredomain.net. | 3600 | fuago-site-verification=dh8AVOlHTBHojLX5KCOlMOopD7VLJ2GZhdnmekkIIT5684496868uzD |
Die Bestätigung der Eigentümerschaft ist immer dann notwendig, wenn Sie eine neue Domain inerhalb von OX nutzen möchten.
- Sollten Sie eine neue Open-Xchange-Umgebung bei uns gebucht haben, dann werden wir Ihnen im Laufe des Setup-Prozesses eine E-Mail mit entsprechendem TXT-Datensatz zukommen lassen. Bitte bestätigen Sie die vorgenommene Änderung mittels Antwort auf diese E-Mail.
- Sollten Sie eine weitere Domain an Ihre Open-Xchange-Umgebung hinzufügen wollen, dann kontaktieren Sie dazu bitte unseren Helpdesk (service@laufzeit.net) und nennen uns die jeweilige Domain(s). Wir generieren im Anschluss die notwendigen TXT-Einträge und stellen Ihnen diese per E-Mail zur verfügung.
MX-Einträge (Pflicht)
Um den Empfang von E-Mails über Open-Xchange zu ermöglichen, müssen Sie MX-DNS-Einträge für Ihre Domain konfigurieren. Löschen sie dazu alle vorhandenen Einträge und fügen die in der folgenden Tabelle gelisteten DNS-Datensätze hinzu.
Die Vorgehensweise unterscheidet sich etwas, je nach dem, ob es sich um eine bereits genutzte Domain oder eine frisch registrierte Domain handelt:
- Bereits genutzte Domain: Wir empfehlen vor der Umstellung der MX-Einträge eine Datenübernahme Ihrer Postfachdaten vom bestehenden Provider. Erst nach dem Ihre Postfachdaten in einem ersten Schritt übernommen wurden, sollten Sie nun die Änderungen der MX-Einträge vornehmen. Nach Ablauf der TTL, und somit Sicherstellung, dass alle E-Mails nun zu Open-Xchange geroutet werden, können Sie eine abschließende Datenübernahme durchführen. Bitte lesen Sie dazu auch unseren Artikel zur Postfachmigration.
- Sollte Ihre Domain frisch registriert und eine Postfachmigration somit nicht notwendig sein, können Sie die MX-Datensätze jederzeit setzen, ohne eine Schrittreihenfolge zu beachten.
| Name / Host / Alias | TTL | Priorität | Wert / Ziel |
| @ (oder leer) | 3600 | 10 | mx001.cloudeu.xion.oxcs.net. |
| @ (oder leer) | 3600 | 10 | mx002.cloudeu.xion.oxcs.net. |
| @ (oder leer) | 3600 | 10 | mx003.cloudeu.xion.oxcs.net. |
| @ (oder leer) | 3600 | 10 | mx004.cloudeu.xion.oxcs.net. |
SPF-Einträge (empfohlen)
SPF-Einträge legen fest, welche Mailserver berechtigt sind, E-Mails mit Ihrer Domain zu versenden. Sollte Open-Exchange der einzige Dienst sein, der Mails mit Ihrer Domain versendet, dann können Sie den nachfolgenden Wert setzen.
| Name / Host / Alias | TTL | Wert / Ziel / Text |
| @ (oder leer) | 3600 | v=spf1 include:spf.cloudeu.xion.oxcs.net -all |
DKIM-Konfiguration (empfohlen)
DKIM (DomainKeys Identified Mail) wird verwendet, um die Authentizität einer E-Mail zu verifizieren. Es ermöglicht dem empfangenden Mailserver, zu überprüfen, ob eine E-Mail tatsächlich von der angegebenen Domain gesendet wurde und ob sie während der Übertragung verändert wurde. Dies wird durch eine digitale Signatur erreicht, die im Header der E-Mail enthalten ist. DKIM hilft dabei, Phishing-Angriffe und Spam zu reduzieren, indem es sicherstellt, dass E-Mails von vertrauenswürdigen Quellen stammen.
Um DKIM mit Ihrer Domain zu nutzen, hinterlegen Sie bitte folgenden DNS-Eintrag:
| Name / Host / Alias | TTL | CNAME Ziel |
| mail1._domainkey.ihredomain.net. | 3600 | mail1._domainkey.cloudeu.xion.oxcs.net. |
DMARC-Konfiguration (empfohlen)
Gefälschte Absenderadressen gehören zu den häufigsten Methoden bei Phishing und Betrugsversuchen per E-Mail. Dabei sieht es für Empfänger so aus, als käme eine Nachricht von einer vertrauenswürdigen Domain — tatsächlich wurde sie aber über fremde oder nicht autorisierte Systeme verschickt.
Mit DMARC lässt sich dieses Risiko deutlich reduzieren. Die Domain erhält damit eine klare Regel, wie andere Mailserver mit verdächtigen oder nicht korrekt geprüften Nachrichten umgehen sollen.
Warum sollte DMARC eingerichtet werden?
Ohne DMARC kann eine Domain leichter für gefälschte E-Mails missbraucht werden. Angreifer können versuchen, Nachrichten im Namen eines Unternehmens zu versenden — etwa mit gefälschten Rechnungen, angeblichen Passwortwarnungen oder anderen Phishing-Inhalten.
Ein sauber eingerichteter DMARC-Eintrag hilft dabei,
- die eigene Domain vor Missbrauch zu schĂĽtzen,
- die Zustellqualität legitimer E-Mails zu verbessern,
- Phishing-Versuche mit gefälschtem Absender zu erschweren,
- und Transparenz darĂĽber zu schaffen, welche Systeme E-Mails im Namen der Domain versenden.
Gerade Unternehmen, die regelmäßig mit Kunden, Lieferanten oder Partnern per E-Mail kommunizieren, sollten DMARC als festen Bestandteil ihrer E-Mail-Sicherheitsstrategie betrachten.
Welche DMARC-Richtlinien gibt es?
DMARC wird über einen DNS-Eintrag der jeweiligen Domain veröffentlicht. Darin wird unter anderem definiert, wie streng empfangende Mailserver mit fehlerhaften Nachrichten umgehen sollen.
Es gibt drei grundlegende Richtlinien:
Keine Aktion: p=none
Diese Einstellung dient vor allem zur Beobachtung. Nachrichten werden nicht blockiert oder verschoben, auch wenn sie die DMARC-PrĂĽfung nicht bestehen. Die Domain sammelt aber Informationen darĂĽber, welche Systeme E-Mails in ihrem Namen versenden.
Diese Variante eignet sich gut fĂĽr den Einstieg.
In Quarantäne verschieben: p=quarantine
Bei dieser Einstellung sollen verdächtige Nachrichten nicht normal im Posteingang landen. Je nach empfangendem Mailserver werden sie zum Beispiel in den Spam- oder Junk-Ordner verschoben.
Diese Stufe ist sinnvoll, wenn die eigenen Versandwege bereits geprĂĽft wurden.
Ablehnen: p=reject
Dies ist die strengste Variante. Nachrichten, die DMARC nicht bestehen, sollen vom empfangenden Mailserver abgewiesen werden.
Diese Einstellung bietet den höchsten Schutz, sollte aber erst aktiviert werden, wenn sichergestellt ist, dass alle legitimen Versandsysteme korrekt per SPF und/oder DKIM eingebunden sind.
Empfohlenes Vorgehen
DMARC sollte nicht unĂĽberlegt direkt mit der strengsten Einstellung aktiviert werden. Sinnvoll ist ein schrittweiser Aufbau:
Zuerst wird DMARC mit p=none eingerichtet. In dieser Phase werden Berichte gesammelt und ausgewertet. So lässt sich erkennen, welche Dienste E-Mails im Namen der Domain versenden.
Danach kann auf p=quarantine umgestellt werden. Verdächtige Nachrichten werden dann nicht mehr regulär zugestellt, sondern landen eher im Spam- oder Junk-Bereich.
Wenn alle berechtigten Systeme sauber konfiguriert sind, kann abschlieĂźend p=reject eingesetzt werden. Damit werden nicht autorisierte Nachrichten konsequent abgelehnt.
DMARC-Berichte nutzen
Ein wichtiger Vorteil von DMARC sind die Berichte. Sie zeigen, welche Server E-Mails fĂĽr eine Domain versenden und ob diese Nachrichten die PrĂĽfungen bestehen.
Dafür kann im DMARC-Eintrag eine eigene Empfängeradresse hinterlegt werden, zum Beispiel:
dmarc-reports@ihredomain.de
In der Praxis empfiehlt es sich, hierfür ein separates Postfach oder einen spezialisierten Auswertungsdienst zu verwenden, da DMARC-Berichte technisch aufgebaut sind und regelmäßig eintreffen können.
Beispiel fĂĽr einen DMARC-Eintrag
Ein einfacher DMARC-Eintrag kann zum Beispiel so aussehen:
v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de;
Der DNS-Eintrag wird als TXT-Eintrag unterhalb der Domain angelegt, ĂĽblicherweise unter:
| Name / Host / Alias | TTL | Wert / Ziel / Text |
| @ (oder leer) | 3600 | v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.de; |