Domain Alignment erklärt: SPF, DKIM und DMARC

Q: Was bedeutet RFC5321.MailFrom?

RFC5321.MailFrom ist der Envelope From im SMTP-Protokoll. Viele nennen ihn Return-Path. Diese Domain ist häufig relevant für SPF.

Q: Warum scheitert SPF Alignment bei Weiterleitungen so oft?

Bei Weiterleitungen versendet ein anderer Mailserver im Namen der ursprünglichen Domain. SPF prüft aber, ob der sendende Host zur MailFrom-Domain passt. Das bricht bei Forwarding häufig.

Q: Wann sollte ich Strict Alignment verwenden?

Strict Alignment ist sinnvoll, wenn du Subdomains konsequent und kontrolliert nutzt und bewusst verhindern willst, dass Subdomains als aligned gelten. Für viele Setups ist Relaxed pragmatischer.

Q: Brauche ich Domain Alignment für BIMI?

Indirekt ja: BIMI setzt in der Regel DMARC mit einer durchsetzenden Policy voraus. Und DMARC setzt Alignment voraus.

Frank
Aktualisiert am 11. Februar 2026

Die E-Mail hat einen Geburtsfehler: Die sichtbare Absenderadresse lässt sich relativ leicht fälschen. Spammer und Scammer freuen sich darüber wie Robben über Heringe. Domain Alignment ist deshalb ein zentraler Baustein, wenn du Domain-Missbrauch verhindern und DMARC zuverlässig bestehen willst.

In diesem Artikel zeige ich dir verständlich:

☑️ was Domain Alignment genau ist
☑️ was SPF Alignment und DKIM Alignment bedeuten
☑️ was RFC5321.MailFrom (Return-Path) damit zu tun hat
☑️ und wann Strict vs Relaxed Alignment sinnvoll ist

Domain Alignment in 30 Sekunden

Domain Alignment heißt: Die Domains, die eine E-Mail „belegen“, gehören zusammen. Gemeint sind vor allem:

RFC5322.From (die sichtbare Absenderdomain im Header)
RFC5321.MailFrom (Envelope-From / Return-Path Domain)
DKIM d= (Signatur-Domain)

Wenn diese Domains nicht „aligned“ sind, kann DMARC scheitern, selbst wenn SPF oder DKIM technisch ein PASS liefern.

Welche Domains müssen aligned sein?

1) RFC5322.From (Header From)

Das ist die Domain, die deine Empfänger sehen. Beispiel: [email protected]. Diese Domain ist der zentrale Bezugspunkt für DMARC.

2) RFC5321.MailFrom (Envelope From / Return-Path)

Das ist die Domain, die im SMTP-Versand für die technische Absenderadresse genutzt wird. Viele nennen sie „Return-Path“. Beispiel: [email protected].

Wichtig: SPF prüft in der Praxis häufig diese MailFrom-Domain (bzw. den Envelope-From). Genau deshalb ist SPF Alignment ein Thema.

3) DKIM d= Domain

DKIM signiert die Nachricht kryptografisch. Die Domain steht im DKIM-Signatur-Parameter d= (z. B. d=deinefirma.de).

4) Reply-To

Reply-To ist für Alignment nicht der wichtigste Hebel, kann aber bei Vertrauen und Support-Prozessen relevant sein. Für DMARC zählt primär: From muss zu SPF oder DKIM aligned sein.

DMARC Alignment: warum es ohne Alignment kein „Pass“ gibt

DMARC ist kein drittes Auth-Verfahren, sondern eine Regel: Eine E-Mail besteht DMARC, wenn SPF oder DKIM bestehen und die dabei verwendete Domain zur From-Domain aligned ist.

Merksatz: PASS ohne Alignment ist wie ein Regenschirm ohne Stoff. Sieht gut aus, bringt aber nix.

SPF Alignment

SPF Alignment bedeutet: Die Domain aus RFC5322.From (sichtbarer Absender) und die Domain aus RFC5321.MailFrom (Envelope/Return-Path) müssen zusammenpassen.

Typische Stolperfallen:

Weiterleitungen (Forwarding): Ein anderer Host verschickt weiter, SPF fällt um.
ESPs: Viele Tools setzen standardmäßig eine eigene Bounce-Domain, die nicht aligned ist.
SPF-Lookups: Zu viele DNS-Lookups oder schlechte SPF-Struktur führen zu Ausfällen.

Praxis-Tipp: Wenn du SPF Alignment nicht sauber hinbekommst, sorge dafür, dass DKIM Alignment bombenfest sitzt. Das ist oft der stabilere Rettungsanker.

DKIM Alignment

DKIM Alignment bedeutet: Die Domain im DKIM-Parameter d= passt zur Domain in RFC5322.From.

Warum DKIM oft zuverlässiger ist:

Weiterleitungen brechen DKIM seltener als SPF (abhängig davon, was verändert wird).
Du kannst DKIM gezielt auf deiner eigenen Domain setzen, auch wenn ein ESP versendet.

Empfehlung: Für größere Volumina solltest du DKIM Alignment als Pflicht ansehen. SPF ist nett, DKIM ist der Leuchtturm an der Küste.

Strict vs Relaxed Alignment (aspf/adkim)

DMARC kennt zwei Modi für Alignment, jeweils getrennt für SPF und DKIM:

Relaxed (r): Root-Domain muss passen, Subdomains sind erlaubt.
Strict (s): Domain muss exakt identisch sein.

Relaxed Alignment (Standard)

Beispiel:

From: news.deinefirma.de
DKIM d=: deinefirma.de

→ relaxed aligned (Root passt: deinefirma.de).

Strict Alignment

Beispiel:

From: news.deinefirma.de
DKIM d=: deinefirma.de

→ nicht strict aligned (Domains sind nicht identisch).

Praxis-Tipp: Strict ist sinnvoll, wenn du deine Subdomain-Struktur extrem sauber und konsequent betreibst. Sonst erzeugt es unnötig Fehler, besonders bei ESP-Setups.

Praxisbeispiele: gut, okay, Kuddelmuddel

Setup	RFC5322.From	RFC5321.MailFrom	DKIM d=	Erwartung (DMARC)
Gut	`deinefirma.de`	`deinefirma.de`	`deinefirma.de`	Sehr stabil
Okay (ESP Subdomain)	`deinefirma.de`	`bounce.deinefirma.de`	`deinefirma.de`	Stabil (relaxed)
Kuddelmuddel	`deinefirma.de`	`esp-mail.net`	`esp-mail.net`	Wackelig bis fail

Häufige Fehler (Checkliste)

From-Domain ist Marke, aber DKIM wird auf ESP-Domain signiert.
Return-Path (MailFrom) zeigt auf eine fremde Domain, SPF Alignment ist unmöglich.
Strict Alignment aktiviert, aber Subdomains werden uneinheitlich genutzt.
Mehrere Absenderdomains ohne klare Domain-Strategie und ohne Monitoring.

FAQ

Was ist der Unterschied zwischen SPF Alignment und DKIM Alignment?

SPF Alignment bezieht sich auf die MailFrom/Return-Path Domain (RFC5321.MailFrom) im Verhältnis zur sichtbaren From-Domain. DKIM Alignment bezieht sich auf die DKIM d= Domain im Verhältnis zur sichtbaren From-Domain.

Was bedeutet RFC5321.MailFrom?

RFC5321.MailFrom ist der „Envelope From“ im SMTP-Protokoll. Viele nennen ihn Return-Path. Diese Domain ist häufig relevant für SPF.

Warum scheitert SPF Alignment bei Weiterleitungen so oft?

Weil bei Weiterleitungen ein anderer Mailserver im Namen der ursprünglichen Domain versendet. SPF bewertet aber, ob der sendende Host zur MailFrom-Domain passt. Das kippt bei Forwarding schnell.

Wann sollte ich Strict Alignment verwenden?

Wenn du deine Absenderdomains und Subdomains extrem sauber im Griff hast und bewusst verhindern willst, dass Subdomains als „aligned“ gelten. Für viele Setups ist Relaxed pragmatischer.

Brauche ich Domain Alignment für BIMI?

Ja, indirekt: BIMI setzt in der Regel DMARC mit einer durchsetzenden Policy voraus. Und DMARC setzt Alignment voraus.

Next Steps

Alignment ist die Basis. Wirklich entscheidend wird es langfristig mit deiner Domain Reputation und sauberem Monitoring. Wenn du willst, schaue ich mir dein Setup an und sage dir in 15 Minuten, wo Alignment, DMARC und DKIM klemmen.

Gratis Quickcheck starten

Ergänzende Artikel

Fazit

Domain Alignment macht den E-Mail-Versand sicherer und zuverlässiger. Vor allem im Hinblick auf die verschärften Sender Guidelines von Google und Co, die immer stärker auf eine saubere Authentifizierung per DKIM und SPF achten. Je konsequenter deine Domains ausgerichtet sind, desto besser kannst du deine Domain Reputation aufbauen und nutzen.