Zum Hauptinhalt springen
Tipps und Tricks

SPF DKIM DMARC richtig einrichten und Spam vermeiden

Warum E-Mails im Spam landen und wie SPF, DKIM und DMARC das verhindern. Leser erhalten konkrete Schritte für bessere Zustellbarkeit und Schutz der Domain.

33 Min.
MP
Marcel PötschkeWebentwickler
E-Mail fliegt in einen geschützten Ordner, gesichert durch SPF-, DKIM- und DMARC-Einträge.

Warum E-Mails oft im Spam landen – und wie man das verhindert

(SPF, DKIM, DMARC einfach erklärt)

E-Mails gehören zum Alltag – im privaten Bereich genauso wie im Unternehmen. Umso ärgerlicher ist es, wenn wichtige Nachrichten im Spam-Ordner landen oder gar nicht erst gesehen werden.

Die gute Nachricht: In vielen Fällen liegt das nicht an „bösen“ Spamfiltern, sondern an fehlenden oder falsch konfigurierten technischen Einstellungen. Die wichtigsten Bausteine heißen:

  • SPF
  • DKIM
  • DMARC

Dieses Tutorial erklärt verständlich:

  • warum E-Mails überhaupt im Spam landen,
  • was SPF, DKIM und DMARC tun,
  • und welche Schritte Sie für Ihre eigene Domain umsetzen sollten.

1. Typische Gründe, warum E-Mails im Spam landen

Spamfilter bewerten E-Mails anhand vieler Kriterien. Häufige Ursachen dafür, dass legitime Nachrichten im Spam landen, sind:

  1. Fehlende Authentifizierung Ihre Domain hat kein oder falsch konfiguriertes SPF, DKIM oder DMARC. Für viele Provider ist das ein Warnsignal.
  2. Widersprüchliche technische Signale
  • SPF prüft: „Darf dieser Server für diese Domain senden?“
  • DKIM prüft: „Wurde die Mail unterwegs verändert?“
  • DMARC prüft: „Passen die Ergebnisse von SPF/DKIM zur sichtbaren Absenderadresse?“ Wenn hier etwas nicht zusammenpasst, sinkt das Vertrauen in Ihre Nachricht.
  1. Schlechte Absender-Reputation Von der Domain oder IP-Adresse wurde in der Vergangenheit Spam versendet oder viele Empfänger haben „Spam melden“ geklickt.
  2. Inhaltliche Faktoren Übertrieben viele Links, extrem werbliche Betreffzeilen, nur Bilder ohne Text, seltsame Absendernamen – all das kann zusätzlich misstrauisch machen.

Wichtig ist: Inhalt ist nur ein Teil der Bewertung. Ohne saubere technische Basis (SPF, DKIM, DMARC) wird es dauerhaft schwer, zuverlässig im Posteingang zu landen.

2. SPF – Welche Server dürfen für meine Domain senden?

SPF steht für Sender Policy Framework. Damit teilen Sie der Welt mit, welche Server berechtigt sind, E-Mails im Namen Ihrer Domain zu versenden.

Technisch ist SPF ein TXT-Eintrag im DNS Ihrer Domain.

2.1 Wie SPF geprüft wird

Wenn Sie z.B. eine Mail von info@meine-domain.de schicken, passiert beim Empfänger grob Folgendes:

  1. Der empfangende Server sieht die IP-Adresse des sendenden Servers.
  2. Er fragt im DNS von meine-domain.de den SPF-TXT-Eintrag ab.
  3. In diesem Eintrag steht, welche IP-Adressen bzw. Server für diese Domain E-Mails verschicken dürfen.
  4. Passt die IP zur SPF-Regel – Ergebnis: SPF pass. Passt sie nicht – Ergebnis: SPF fail.

SPF selbst entscheidet noch nicht, ob eine Mail direkt abgelehnt wird. Das hängt u. a. vom Spamfilter und von Ihrer zusätzlichen DMARC-Policy ab. Trotzdem ist ein korrektes SPF die Grundlage für eine gute Zustellbarkeit.

2.2 Typische SPF-Probleme

Häufige Fehler sind:

  • Kein SPF-Eintrag: Viele Provider werten das als unprofessionell oder unsicher.
  • Mehrere SPF-Einträge: Die Spezifikation erlaubt nur einen SPF-Eintrag pro Domain. Mehrere Einträge sind formal ungültig.
  • Drittanbieter vergessen: Newsletter-Tools, Shops, Ticket-Systeme oder CRM-Lösungen senden oft im Namen Ihrer Domain – diese müssen im SPF berücksichtigt werden.
  • Zu viele DNS-Lookups: SPF limitiert die Anzahl externer Lookups (z. B. durch include:) auf 10. Wird das überschritten, kann SPF automatisch fehlschlagen.

2.3 Beispiel für einen SPF-Eintrag

Ein einfacher SPF-Eintrag könnte z. B. so aussehen:

```txt
v=spf1 ip4:203.0.113.10 include:mailanbieter.example -all
```

Bedeutung:

  • v=spf1 – Version von SPF
  • ip4:203.0.113.10 – diese IPv4-Adresse darf Mails für die Domain senden
  • include:mailanbieter.example – Regeln eines externen Mailanbieters werden mit einbezogen
  • -all – alle anderen Server sind nicht autorisiert (harter Fail)

Gerade zu Beginn verwenden viele Administratoren ~all (Softfail). Wenn alle legitimen Systeme eingetragen und getestet sind, wird oft auf -all (Hardfail) gewechselt.

3. DKIM – Digitale Signatur für Ihre E-Mails

DKIM steht für DomainKeys Identified Mail. Hier wird jede ausgehende E-Mail mit einer Art „digitaler Unterschrift“ versehen.

Diese Signatur wird mit einem privaten kryptografischen Schlüssel erstellt. Der dazugehörige öffentliche Schlüssel wird als TXT-Eintrag im DNS Ihrer Domain hinterlegt.

3.1 Wie DKIM funktioniert

  • Ihr Mailserver signiert bestimmte E-Mail-Header (z. B. From, Subject) und Teile des Inhalts mit dem privaten Schlüssel.
  • Die Signatur wird im Mail-Header gespeichert (z. B. als DKIM-Signature:).
  • Der empfangende Server liest die Angaben aus dieser Signatur, u. a.:
  • die Domain (d=),
  • den sogenannten Selector (s=).
  • Anhand von Domain und Selector holt er sich den entsprechenden DKIM-Schlüssel aus dem DNS.
  • Stimmt die Signatur mit Inhalt und Headern überein, gilt:
  • die Mail wurde unterwegs nicht verändert,
  • sie stammt von einem System, das Zugriff auf den privaten Schlüssel dieser Domain hat.

3.2 Warum DKIM wichtig ist

DKIM schützt vor Manipulation unterwegs und ist ein starkes Vertrauenssignal. Viele große Mail-Anbieter gewichten DKIM sehr hoch – insbesondere in Kombination mit DMARC.

3.3 Praktische Hinweise zu DKIM

  • Verwenden Sie nach Möglichkeit 2048-Bit-Schlüssel, sofern Ihr System das unterstützt.
  • Nutzen Sie pro System / Dienst (z. B. Office 365, Newsletter-Tool) möglichst eigene DKIM-Selector.
  • Entfernen Sie alte oder nicht mehr genutzte DKIM-Schlüssel aus dem DNS, um die Angriffsfläche klein zu halten.

4. DMARC – Die Regelzentrale für SPF und DKIM

DMARC steht für Domain-based Message Authentication, Reporting and Conformance. DMARC baut auf SPF und DKIM auf und definiert, wie mit Mails umgegangen werden soll, die diese Prüfungen nicht bestehen.

DMARC beantwortet im Kern zwei Fragen:

  1. Hat mindestens eine der Prüfungen (SPF oder DKIM) erfolgreich bestanden?
  2. Passt die für SPF/DKIM verwendete Domain zur Domain im sichtbaren From:-Header (Alignment)?

Auf Basis dieser Informationen wird dann nach Ihrer DMARC-Policy entschieden, wie mit der E-Mail verfahren wird.

4.1 DMARC im DNS

DMARC wird als TXT-Eintrag unter dem speziellen Hostnamen _dmarc.ihre-domain.de angelegt.

Ein typischer Start-Eintrag (Beobachtungsmodus) sieht z. B. so aus:

```txt
v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de
```

Bedeutung:

  • v=DMARC1 – Version
  • p=none – Policy: keine direkte Auswirkung auf die Zustellung, nur Berichte
  • rua=mailto:… – Adresse für die Aggregatberichte (DMARC-Reports)

4.2 DMARC-Policies

Der Parameter p= steuert, wie streng DMARC durchgesetzt wird:

  • p=none Nur überwachen, keine Änderung am Zustellverhalten. Ideal für den Einstieg und die Analyse.
  • p=quarantine Verdächtige Mails (die DMARC nicht bestehen) können z. B. im Spam-Ordner landen.
  • p=reject Mails, die DMARC nicht bestehen, sollen abgewiesen werden.

In der Praxis startet man meist mit p=none, wertet die Berichte aus und schärft dann schrittweise auf quarantine und später reject nach.

4.3 Alignment – passt die Domain wirklich?

DMARC verlangt, dass die Domain im sichtbaren From:-Header in einem sinnvollen Verhältnis zu der Domain steht, die in SPF oder DKIM verwendet wird. Das nennt sich Alignment.

Es gibt zwei Modi:

  • Relaxed (Standard) Subdomains gelten als passend. Beispiel: newsletter.meine-domain.de wird zu meine-domain.de als passend gewertet.
  • Strict Nur exakt gleiche Domains gelten als passend. Beispiel: meine-domain.de passt nur zu meine-domain.de, aber nicht zu newsletter.meine-domain.de.

Gesteuert wird das Alignment u. a. über Parameter wie adkim (für DKIM) und aspf (für SPF), z. B.:

```txt
v=DMARC1; p=quarantine; adkim=s; aspf=s; rua=mailto:dmarc-reports@ihre-domain.de
```

adkim=s; aspf=s bedeutet hier: strenges Alignment für DKIM und SPF.

5. Schritt-für-Schritt: Was Sie konkret tun sollten

Wenn Ihre Mails häufig im Spam landen oder Sie Ihre Domain sauber aufstellen möchten, können Sie wie folgt vorgehen:

Schritt 1: Bestandsaufnahme

  • Prüfen Sie, von welchen Systemen in Ihrem Namen Mails verschickt werden:
  • eigener Mailserver / Hosting-Paket
  • Microsoft 365 / Google Workspace
  • Newsletter-Tool (z. B. Mailjet, Sendinblue, Mailchimp, …)
  • Shopsystem, CRM, Ticket-System etc.
  • Senden Sie Testmails an verschiedene Freemail-Anbieter (Gmail, GMX, Outlook.com) und prüfen Sie dort die Kopfzeilen bzw. die Zustellungsanalyse (oft sehen Sie dort direkt SPF/DKIM/DMARC-Ergebnisse).

Schritt 2: SPF sauber einrichten

  • Erstellen oder korrigieren Sie einen einzigen SPF-TXT-Eintrag im DNS Ihrer Domain.
  • Tragen Sie alle legitimen Sendesysteme ein (ip4:, ip6:, include:).
  • Vermeiden Sie doppelte oder überflüssige Einträge.
  • Achten Sie auf die Begrenzung von maximal 10 DNS-Lookups.

Schritt 3: DKIM für alle relevanten Systeme aktivieren

  • Aktivieren Sie DKIM bei Ihrem Mail-Provider / Server.
  • Hinterlegen Sie die bereitgestellten öffentlichen Schlüssel als TXT-Einträge im DNS (oft unter selector._domainkey.ihre-domain.de).
  • Senden Sie Testmails und prüfen Sie, ob die DKIM-Signatur als „pass“ bewertet wird.

Schritt 4: DMARC im Beobachtungsmodus starten

  • Legen Sie einen DMARC-TXT-Eintrag an, z. B.:

```txt
v=DMARC1; p=none; rua=mailto:dmarc-reports@ihre-domain.de
```

  • Warten Sie einige Tage bis Wochen und werten Sie die an rua gesendeten Berichte aus (hier gibt es Tools, die die XML-Berichte grafisch aufbereiten).

Schritt 5: Policy schrittweise verschärfen

  • Wenn SPF und DKIM korrekt funktionieren und die Berichte gut aussehen, können Sie zu einer strengeren Policy wechseln:
  • zunächst p=quarantine, später ggf. p=reject.
  • Beginnen Sie lieber vorsichtig, damit keine legitimen Mails unerwartet abgewiesen werden.

6. Weitere technische Aspekte

Neben SPF, DKIM und DMARC spielen noch weitere Punkte eine Rolle:

  • Reverse DNS (PTR) Die IP-Adresse Ihres Mailservers sollte einen passenden Reverse-DNS-Eintrag besitzen, der zu Ihrem Hostnamen passt.
  • Saubere HELO/EHLO-Identität Der Name, mit dem sich Ihr Server beim Versand meldet, sollte existieren und zur Konfiguration passen.
  • TLS-Verschlüsselung Auch wenn sie nicht direkt über Spam oder Nicht-Spam entscheidet, ist verschlüsselte Übertragung heute Standard und wird erwartet.

7. Fazit

SPF, DKIM und DMARC sind keine „optional nette Spielerei“, sondern die technische Grundlage dafür, dass Ihre E-Mails als vertrauenswürdig gelten.

Kurz zusammengefasst:

  • SPF legt fest, welche Server für Ihre Domain E-Mails versenden dürfen.
  • DKIM sorgt dafür, dass E-Mails unterwegs nicht unbemerkt verändert werden können und eindeutig einer Domain zugeordnet sind.
  • DMARC definiert, wie streng Empfänger SPF- und DKIM-Ergebnisse auswerten sollen – und liefert Berichte, mit denen Sie Ihre Konfiguration ständig verbessern können.

Wenn Sie diese drei Bausteine sauber einrichten, erhöhen Sie die Chance deutlich, dass Ihre Nachrichten dort landen, wo sie hingehören: im Posteingang – und nicht im Spam.

Zurück zur Übersicht

Haftungsausschluss

Inhalte dienen nur der Information und stellen keine Rechts-, Finanz-, Steuer-, Technik- oder Beratungsleistung dar. Keine Garantie oder Zusage für Ergebnisse. Nutzung und Umsetzung erfolgen auf eigenes Risiko. Es wird keine Haftung für unmittelbare, mittelbare oder Folgeschäden übernommen (z. B. Datenverlust, Hardware-Defekte, Betriebsunterbrechungen); Angaben ohne Gewähr auf Vollständigkeit, Richtigkeit oder Aktualität; keine Haftung für Inhalte externer Links.

Weiterlesen

Ähnliche Beiträge

Alle Beiträge ansehen