SPF, DKIM und DMARC: Der komplette Guide zur E-Mail-Authentifizierung
Guide zu den drei Säulen der E-Mail-Authentifizierung. Wie SPF, DKIM und DMARC zusammenarbeiten, um deine Domain und Inbox-Platzierung zu schützen.
Die drei Säulen des E-Mail-Vertrauens#
Jede E-Mail, die du versendest, wird vom empfangenden Server bewertet, bevor sie in irgendjemandes Posteingang landet. Die Bewertung läuft auf eine einzige Frage hinaus: Kommt diese E-Mail wirklich von dem, von dem sie zu kommen behauptet?
Drei DNS-basierte Protokolle beantworten diese Frage: SPF, DKIM und DMARC. Jedes davon kümmert sich um einen anderen Aspekt der Authentifizierung, und gemeinsam bilden sie das Fundament der E-Mail-Deliverability. Fehlt eines von ihnen oder ist es falsch konfiguriert, riskieren deine E-Mails, gefiltert, in Quarantäne verschoben oder komplett abgelehnt zu werden.
Dieser Guide erklärt, was jedes Protokoll macht, wie sie zusammenspielen und wie du deine Konfiguration überprüfst.
SPF: Wer darf senden?#
Was SPF macht#
SPF (Sender Policy Framework) ist ein DNS-TXT-Record, der auflistet, welche Mailserver berechtigt sind, im Namen deiner Domain E-Mails zu versenden. Wenn ein empfangender Server eine E-Mail erhält, die angeblich von yourcompany.com stammt, prüft er den SPF-Record, um zu sehen, ob der sendende Server auf der freigegebenen Liste steht.
Wie SPF funktioniert#
- Du veröffentlichst einen SPF-Record im DNS deiner Domain (z. B.
v=spf1 include:_spf.google.com -all) - Jemand sendet eine E-Mail von deiner Domain
- Der empfangende Server schlägt deinen SPF-Record nach
- Er vergleicht die IP-Adresse des sendenden Servers mit der freigegebenen Liste
- Ist die IP autorisiert, besteht die SPF-Prüfung. Andernfalls schlägt sie fehl
Wichtige SPF-Konzepte#
include:-Mechanismus — Verweist auf den SPF-Record einer anderen Domain. Wird genutzt, um Drittanbieter wie Google Workspace oder SendGrid zu autorisieren.-allvs.~all— Das-all(Hard Fail) weist Empfänger an, nicht autorisierte Sender abzulehnen. Das~all(Soft Fail) empfiehlt, sie als verdächtig zu markieren, aber nicht zu blockieren. Verwende-allfür stärkeren Schutz.- Limit von 10 DNS-Lookups — SPF-Records dürfen maximal 10 DNS-Lookups auslösen. Wird dieses Limit überschritten, schlägt SPF komplett fehl. Das ist ein häufiges Problem bei Domains, die viele E-Mail-Dienste nutzen.
Häufige SPF-Fehler#
- Vergessen, einen neuen E-Mail-Dienst zum SPF-Record hinzuzufügen
- Das 10-Lookup-Limit überschreiten, weil zu viele Dienste eingebunden sind
+allverwenden, was alle autorisiert (und SPF damit faktisch deaktiviert)- Mehrere SPF-Records haben (pro Domain ist nur einer erlaubt)
Prüfe deine SPF-Konfiguration mit dem kostenlosen SPF Checker.
DKIM: Wurde die E-Mail manipuliert?#
Was DKIM macht#
DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden E-Mail eine kryptografische Signatur hinzu. Diese Signatur beweist zwei Dinge: Die E-Mail kommt tatsächlich von deiner Domain, und ihr Inhalt wurde während der Übertragung nicht verändert.
Wie DKIM funktioniert#
- Dein E-Mail-Server erzeugt ein Schlüsselpaar aus öffentlichem und privatem Schlüssel
- Der öffentliche Schlüssel wird als DNS-TXT-Record unter
selector._domainkey.yourdomain.comveröffentlicht - Beim Versand signiert dein Server einen Hash der E-Mail-Header und des Bodys mit dem privaten Schlüssel
- Die Signatur wird als
DKIM-Signature-Header zur E-Mail hinzugefügt - Der empfangende Server holt deinen öffentlichen Schlüssel aus dem DNS und verifiziert die Signatur
- Stimmt die Signatur überein, ist die E-Mail authentifiziert und unverändert
Wichtige DKIM-Konzepte#
- Selectors — Jeder DKIM-Schlüssel hat einen Selector-Namen (etwa
google,s1oderdefault). Dadurch kann eine Domain mehrere DKIM-Schlüssel für verschiedene E-Mail-Dienste haben. - Schlüsselrotation — Best Practice ist, DKIM-Schlüssel regelmäßig zu rotieren. Selectors machen das ohne Service-Unterbrechung möglich.
- Signaturumfang — DKIM signiert bestimmte Header und den Body. Mailinglisten, die E-Mails verändern, können DKIM-Signaturen brechen.
Häufige DKIM-Fehler#
- DKIM beim E-Mail-Anbieter aktivieren, aber den DNS-Record vergessen
- Einen zu kurzen Schlüssel verwenden (1024 Bit Minimum, 2048 Bit empfohlen)
- DKIM nicht für alle versendenden Dienste konfigurieren (jeder braucht seinen eigenen Selector)
Verifiziere deine DKIM-Einrichtung mit dem kostenlosen DKIM Checker.
DMARC: Was passiert, wenn Prüfungen fehlschlagen?#
Was DMARC macht#
DMARC (Domain-based Message Authentication, Reporting, and Conformance) verbindet SPF und DKIM mit einer Policy. Es teilt empfangenden Servern mit, was zu tun ist, wenn eine E-Mail die Authentifizierung nicht besteht, und bietet einen Reporting-Mechanismus, mit dem du sehen kannst, wer im Namen deiner Domain E-Mails versendet.
Wie DMARC funktioniert#
- Du veröffentlichst einen DMARC-Record im DNS unter
_dmarc.yourdomain.com - Ein empfangender Server erhält eine E-Mail von deiner Domain
- Er prüft SPF und DKIM
- Er prüft, ob eines der Ergebnisse mit der From-Domain "ausgerichtet" ist (Alignment)
- Schlägt das Alignment fehl, folgt er deiner DMARC-Policy:
none(nur Monitoring),quarantine(in Spam verschieben) oderreject(komplett blockieren) - Er sendet aggregierte Reports an die Adresse, die in deinem DMARC-Record angegeben ist
Wichtige DMARC-Konzepte#
- Alignment — SPF-Alignment bedeutet, dass die Envelope-Sender-Domain mit der Domain im From-Header übereinstimmt. DKIM-Alignment bedeutet, dass die signierende Domain mit der From-Domain übereinstimmt. Mindestens eines muss übereinstimmen, damit DMARC besteht.
- Schrittweise Policy-Verschärfung — Starte mit
p=none, um zu beobachten, ohne die Zustellung zu beeinflussen. Wechsle zup=quarantine, sobald du sicher bist, dass legitime E-Mails durchkommen. Steigere dich aufp=rejectfür maximalen Schutz. - Reporting (
rua) — Derrua-Tag legt fest, wohin aggregierte DMARC-Reports gesendet werden. Diese Reports zeigen dir die gesamte E-Mail-Aktivität auf deiner Domain, einschließlich nicht autorisierter Sender.
Häufige DMARC-Fehler#
- Direkt zu
p=rejectspringen, ohne vorher zu beobachten (blockiert legitime E-Mails von falsch konfigurierten Diensten) - Keine
rua-Adresse für Reports einrichten (Blindflug) - Vergessen, dass Drittanbieter SPF/DKIM-Alignment brauchen, nicht nur ein Bestehen von SPF/DKIM
Prüfe deine DMARC-Policy mit dem kostenlosen DMARC Checker.
Wie alle drei zusammenspielen#
SPF, DKIM und DMARC ergänzen sich, sie sind nicht redundant:
| Protokoll | Beantwortete Frage | Was es beweist |
|---|---|---|
| SPF | Ist dieser Server autorisiert? | Der sendende Server ist freigegeben |
| DKIM | Ist diese E-Mail authentisch? | Die E-Mail wurde nicht manipuliert |
| DMARC | Was passiert bei einem Fehlschlag? | Nicht autorisierte E-Mails werden korrekt behandelt |
Eine E-Mail, die alle drei Prüfungen besteht, hat die größte Chance, im Posteingang zu landen. Eine E-Mail, die eine Prüfung nicht besteht, kann je nach Policy des empfangenden Servers gefiltert, in Quarantäne verschoben oder abgelehnt werden.
Die ideale Konfiguration#
- SPF: Veröffentlicht mit allen legitimen Sendediensten, endet auf
-all - DKIM: Konfiguriert für jeden Dienst, der in deinem Namen E-Mails versendet
- DMARC: Auf
p=rejectgesetzt (oder mindestensp=quarantine), mit aktiviertemrua-Reporting
Deine Konfiguration prüfen#
Führe alle drei Prüfungen auf einmal mit dem Email Health Checker durch, der SPF, DKIM, DMARC, MX-Records und Blacklist-Status in einem einzigen Scan auswertet. Für eine tiefere Analyse einzelner Protokolle nutze die spezialisierten Checker:
- SPF Checker — Detaillierte Analyse des SPF-Records
- DKIM Checker — DKIM-Schlüssel-Erkennung und -Validierung
- DMARC Checker — Policy-Bewertung und Empfehlungen
Für laufendes Monitoring prüft das E-Mail-Health-Monitoring von Nova Uptime deine Authentifizierungs-Konfiguration regelmäßig und alarmiert dich, wenn sich etwas ändert — so erkennst du Fehlkonfigurationen, bevor sie deine Deliverability beeinträchtigen.
Weiterführende Artikel#
- Kompletter Guide zum Email Health Checker — Komplette Anleitung zur E-Mail-Health-Analyse
- Wie du das Inbox-Risiko vor dem Versand von Cold E-Mails prüfst — Risikobewertung vor dem Versand
- DKIM erklärt: Der komplette Guide — Tiefer Einblick in DKIM
- DMARC-Policy einrichten: Schritt-für-Schritt-Guide — Schrittweise DMARC-Konfiguration
- SPF-Records konfigurieren — Anleitung zur Einrichtung des SPF-Records
- 10 kostenlose E-Mail- und Domain-Tools — Alle verfügbaren kostenlosen Tools
- Ist meine E-Mail auf einer Blacklist? — Blacklist-Status prüfen und Einträge entfernen
Monitor Your Website Before It Goes Down
Get uptime monitoring, SSL tracking, domain expiry alerts, and email health checks. Free plan — no credit card required.
Start Monitoring FreeVerwandte Artikel
Kompletter Leitfaden zum E-Mail Health Checker — Prüfe die E-Mail-Deliverability deiner Domain
Kostenloses E-Mail Health Checker Tool. Scanne SPF, DKIM, DMARC, MX-Records und Blacklists in einem Check. Behebe Deliverability-Probleme, bevor sie dich.
E-Mail-Deliverability für SaaS-Anmeldungen: Warum deine Verifizierungs-E-Mails im Spam landen
Fehlgeschlagene SaaS-Verifizierungs-E-Mails = verlorene Conversions. Erfahre, warum Bestätigungs-E-Mails im Spam landen und wie es deinen Sign-up-Funnel trifft.
DKIM-Setup-Anleitung: Komplette Schritt-für-Schritt-Konfiguration
DKIM in 20 Minuten einrichten: Selector finden, Schlüssel erzeugen, DNS-Records setzen. Free DKIM-Validator. Gmail- & Yahoo-Pflicht seit Feb 2026.