Welche E-Mail-Adressen sind für die Domainvalidierung erlaubt?

Für die E-Mail-Validierung sind ausschließlich fünf vordefinierte Adressen zulässig: admin@, administrator@, webmaster@, hostmaster@ und postmaster@, jeweils auf der zu validierenden Domain. Weitere Adressen — auch Geschäftsführer-Mails oder die im Impressum angegebene Kontaktadresse — sind nicht erlaubt.

Die Liste ist im CA/Browser-Forum unter den Baseline Requirements (Method 3.2.2.4.4 / E-Mail to Domain Contact) festgelegt und für alle öffentlich vertrauten Zertifizierungsstellen verbindlich. Frühere Verfahren wie die Validierung über die WHOIS-Kontaktadresse wurden 2022 abgeschafft. E-Mail ist eine von drei Methoden der Domain-Validierung, neben HTTP- und DNS-Validierung.

Die fünf zulässigen Adressen im Überblick:

Wichtig zu beachten:

• Genau diese fünf Adressen, keine Varianten. Schreibweisen wie admins@, web-master@ oder info@ werden abgelehnt.
• Adresse muss eingerichtet sein. Existiert das Postfach nicht oder wird die Mail abgewiesen, schlägt die Validierung fehl. Ein Alias auf eine bestehende Mailbox reicht aus.
• Die Bestätigungsmail wird genau einmal verschickt. Der Bestätigungslink hat eine begrenzte Gültigkeit (je nach CA meist 7 bis 30 Tage). Verfällt er, müssen Sie die Validierung neu anstoßen.
• Spam-Filter prüfen. Die Mails kommen von der CA (z.B. noreply@sectigo.com, noreply@digicert.com) und landen häufig im Spam-Ordner.

Sonderfälle bei Subdomains:

• Bei einem Zertifikat für shop.meine-domain.de akzeptiert die CA E-Mail-Adressen sowohl auf der Subdomain (admin@shop.meine-domain.de) als auch auf der Hauptdomain (admin@meine-domain.de).
• Bei einem Wildcard-Zertifikat *.meine-domain.de sind nur Adressen auf der Hauptdomain selbst zulässig — also admin@meine-domain.de usw. Adressen auf einzelnen Subdomains scheiden aus.

Was tun, wenn keine der fünf Adressen eingerichtet ist:

1. Im E-Mail-System einen Alias auf eine bestehende Mailbox anlegen — etwa admin@meine-domain.de auf das tatsächlich genutzte Postfach umleiten. Dauert in den meisten Hosting-Panels wenige Minuten.
2. Alternativ auf HTTP-Validierung oder DNS-Validierung ausweichen — beide funktionieren ohne E-Mail-Konfiguration und sind oft schneller.

Bei Wildcard-Zertifikaten ist die Wahl ohnehin entschieden: Die E-Mail-Validierung ist für *.meine-domain.de zwar formal zulässig, in der Praxis verlangen die meisten CAs aber DNS-Validierung. Das ist der Standardweg und in der Regel die zuverlässigste Methode.