E-Mail-Authentifizierung: Der Praxis-Guide für SPF, DKIM & DMARC

Für wen ist dieser Hub?

• CRM- und Marketing-Teams, die weniger Spam und mehr Inbox wollen
• Produkt- und Newsletter-Verantwortliche mit mehreren Versand-Systemen
• Alle, die gerade „plötzlich“ Zustellprobleme sehen und nicht raten möchten

Warum Authentifizierung heute Pflicht ist

Die sichtbare Absenderadresse lässt sich fälschen. Genau deshalb schauen Mailbox Provider immer stärker auf Authentifizierung. Saubere Signale schützen dich vor Spoofing, stabilisieren deine Zustellbarkeit und helfen langfristig beim Aufbau einer guten Reputation.

Wenn du das Thema Absender-Setup ganzheitlich angehen willst: Absender-Strategie.

Die Bausteine: SPF, DKIM, DMARC (und warum DMARC der Schiedsrichter ist)

SPF: Wer darf überhaupt senden?

SPF sagt: Welche Server dürfen für deine Domain E-Mails versenden? SPF prüft typischerweise den Envelope-Sender (smtp.mailfrom).

• Typische Fehler: fehlendes include, falscher Versandweg, zu viele DNS-Lookups
• Wenn du es vertiefen willst: Detailartikel zu SPF

DKIM: Wurde die Mail unterwegs verändert?

DKIM signiert deine Mail kryptografisch. Der Empfänger prüft: Ist die Signatur gültig und passt sie zur DKIM-Domain (header.d)?

• Typische Fehler: falscher Selector, abgeschnittener Key, Signatur bricht durch Modifikation
• Wenn du es vertiefen willst: Detailartikel zu DKIM
•  

DMARC: Alignment + Policy = Kontrolle

DMARC kombiniert SPF und DKIM und bewertet zusätzlich das Alignment: Passt die sichtbare From-Domain zur SPF- und/oder DKIM-Domain?

• Empfohlener Weg: p=none (messen) → p=quarantine → p=reject

Merksatz: SPF und DKIM sind die Spieler. DMARC ist der Schiedsrichter. Ohne Alignment gibt’s keine Punkte.

Domain Alignment (der Punkt, an dem es oft knallt)

Alignment entscheidet, ob DMARC wirklich „pass“ wird. Wenn du hier einsteigen willst:

Domain Alignment: Erklärung, Beispiele und Praxisfälle

Und wenn du Reputation langfristig stabil halten willst:

Email Domain Reputation aufbauen

Header-Test: So findest du die Wahrheit in 30 Sekunden

Schick dir eine Testmail an Gmail/Outlook/Yahoo und öffne die Originalnachricht. Suche diese Zeile:

Authentication-Results: ...

Dort willst du idealerweise sehen:

• spf=pass
• dkim=pass
• dmarc=pass

Wenn SPF/DKIM „pass“ sind, DMARC aber „fail“: Dann ist fast immer Alignment der Grund.

Checkliste: In 20 Minuten zu „grün“

Hier ist dein Ablauf für den schnellen Status. Grün heißt: technisch sauber. (Reputation und Engagement sind dann das nächste Kapitel.)

0–3 Min: Quick Scan

• SPF/DKIM/DMARC vorhanden?
• Keine offensichtlichen DNS-Patzer?

3–7 Min: SPF

• TXT startet mit v=spf1
• Ende ist sinnvoll: ~all oder -all
• Max. 10 DNS-Lookups (sonst permerror-Risiko)

7–12 Min: DKIM

• Signatur aktiv?
• Selector korrekt?
• Key-Länge: 2048 Bit, wenn möglich

12–17 Min: DMARC

• Record auf _dmarc.deinedomain.tld
• Start: p=none (Reports sammeln)
• Reports: rua=mailto:...

17–20 Min: Realitätscheck

• Testmail an Gmail/Outlook schicken
• Header öffnen: SPF/DKIM/DMARC prüfen
• Alignment grob checken: header.from vs header.d / smtp.mailfrom

BIMI (Nice-to-have, aber erst nach DMARC)

BIMI kann dein Logo in der Inbox sichtbar machen. Klingt nach Rückenwind, ist aber eher die Kür. Erst SPF/DKIM/DMARC + Alignment stabilisieren, dann BIMI angehen.

• Voraussetzung: DMARC dauerhaft auf quarantine oder reject
• Manchmal nötig: VMC-Zertifikat (laufende Kosten)

Wenn du gerade ein Zustellproblem hast

Dann schau dir als nächsten Schritt diese Seite an:

Newsletter kommen nicht an: Diagnose & konkrete Lösungen

Und fürs Monitoring (damit du nicht erst reagierst, wenn es schon brennt):

Google Postmaster Tools Tutorial: Einrichten, Compliance & Fehler lesen

Ergänzende Artikel

• Domain Alignment
• Absender-Strategie
• Email Domain Reputation aufbauen
• Tools für Zustellbarkeit
• Zustellprobleme: Diagnose & Lösungen