SPF, DKIM, DMARC – das Setup für bessere E-Mail Zustellung

SPF, DKIM, DMARC - das Setup für bessere E-Mail Zustellung - IT-Glossary

Du verschickst E-Mails, doch zu viele landen im Spam oder kommen gar nicht an. Der häufigste Grund sind fehlende oder falsch konfigurierte Sicherheits- und Authentifizierungs-Einträge im DNS. Die gute Nachricht: Mit SPF, DKIM und DMARC hebst du die Zustellrate zuverlässig an.

In diesem Leitfaden zeige ich dir einfach und praxisnah, wie die Standards zusammenwirken und wie du sie korrekt einrichtest. Du lernst, welche Einträge du setzen musst, wie du Policies wählst und wie du Fehler erkennst. Am Ende hast du ein belastbares Setup, das deine Domain schützt und deine Mails verlässlich in die Inbox bringt.

Warum SPF, DKIM und DMARC zusammengehören

SPF legt fest, welche Server im Namen deiner Domain Mails senden dürfen. DKIM signiert jede Mail kryptografisch, damit Empfänger prüfen können, ob der Inhalt unverändert ist. DMARC verbindet beide Signale, definiert Richtlinien für den Umgang mit Fälschungen und liefert Berichte zu deiner Absenderreputation. Erst im Dreiklang entsteht Schutz vor Spoofing und eine stabile Zustellung.

SPF einrichten – Absenderserver sauber definieren

Prinzip und Ziel

Mit SPF erlaubst du nur autorisierten Systemen den Versand. Der Empfänger prüft den Return-Path gegen deinen SPF TXT Record. Passt der sendende Server nicht, ist das ein Fail.

So baust du den SPF Record

Lege im DNS einen TXT Record auf deine Root-Domain an, z. B. example.com.

Name: example.com
Typ:  TXT
Wert: v=spf1 a mx include:mailprovider.example include:_spf.google.com -all

Wichtig sind die Mechanismen a und mx für eigene Systeme, include: für Provider und am Ende -all als harte Ablehnung. Achte darauf, nicht zu viele Includes zu verwenden. SPF hat ein DNS-Lookup-Limit von 10. Überschreitest du das, kippen Prüfungen in PermError.

Merke: SPF prüft den Envelope From (Return-Path), nicht die sichtbare From:-Zeile. Für Zustellbarkeit zählt später die Alignment mit DMARC.

DKIM einrichten – Mails kryptografisch signieren

Prinzip und Ziel

DKIM signiert ausgehende Mails mit einem privaten Schlüssel. Im DNS veröffentlichst du den öffentlichen Schlüssel unter einem Selector wie s1._domainkey.example.com. Empfänger prüfen die Signatur und erkennen Manipulationen.

So baust du den DKIM Record

Erzeuge pro sendender Plattform einen Selector und einen 2048-Bit-Schlüssel. Der DNS-Eintrag ist vom Typ TXT:

Name: s1._domainkey.example.com
Typ:  TXT
Wert: v=DKIM1; k=rsa; p=MIIBIjANBgkqh...AQAB

Aktiviere in deinem Mailsystem die DKIM-Signatur mit diesem Selector. Plane Schlüsselrotation (z. B. halbjährlich) mit zweitem Selector wie s2. Mehrere Systeme senden – mehrere Selector im DNS.

Merke: DKIM prüft die Domain in der Signatur (d=). Für DMARC muss diese Domain mit der sichtbaren From-Domain ausgerichtet sein (Alignment).

DMARC einrichten – Richtlinie, Reporting, Alignment

Prinzip und Ziel

DMARC schreibt vor, wie Empfänger mit Mails umgehen, die SPF oder DKIM nicht bestehen und kein Alignment zur From-Domain haben. Zusätzlich erhältst du Berichte über missbräuchliche Nutzung deiner Domain.

So baust du den DMARC Record

Lege im DNS einen TXT Record auf _dmarc.example.com an:

Name: _dmarc.example.com
Typ:  TXT
Wert: v=DMARC1; p=none; rua=mailto:dmarc-agg@example.com; ruf=mailto:dmarc-forensic@example.com; fo=1; sp=quarantine; aspf=s; adkim=s; pct=100
  • p definiert die Policy für die Hauptdomain: none (nur beobachten), quarantine (Spam-Ordner), reject (ablehnen).
  • rua sammelt Aggregatberichte, ruf optional Forensic.
  • aspf/adkim=s erzwingen striktes Alignment.
  • sp setzt die Policy für Subdomains.
  • pct steuert, auf wie viele Prozent der Mails die Policy angewandt wird.

Startempfehlung: Beginne mit p=none, analysiere rua-Berichte 2-4 Wochen, schließe Lücken bei SPF/DKIM, gehe dann auf p=quarantine und schließlich p=reject.

Alignment verstehen – der Kern der Zustellbarkeit

DMARC verlangt, dass die sichtbare From-Domain zu SPF oder DKIM passt.

  • SPF-Alignment: die Domain im Return-Path entspricht der From-Domain.
  • DKIM-Alignment: die d= Domain in der Signatur entspricht der From-Domain.

Mit aspf=s und adkim=s wählst du strict Alignment. Für Einsteiger ist strict sinnvoll, weil es Spoofing erschwert und Fehlkonfigurationen sichtbar macht.

Schritt-für-Schritt Setup in der Praxis

1. Absenderlandschaft kartieren

Liste alle Systeme, die Mails im Namen deiner Domain senden: Eigenes MTA, Microsoft 365, Google Workspace, Newsletter-Tool, CRM, Shop, Ticketing. Nur was in SPF und DKIM auftaucht, darf senden.

2. SPF sauber definieren

Trage eigene IPs und Provider-Includes ein. Teste mit einem SPF-Checker und verifiziere, dass du das 10-Lookup-Limit nicht reißt. Nutze bei Bedarf Flattern der Includes durch IP-Listen deines Providers.

3. DKIM je System aktivieren

Erzeuge 2048-Bit Schlüssel, lege Selector im DNS ab und aktiviere die Signatur im System. Prüfe die Header empfangener Testmails: DKIM-Signature, d=, s= müssen stimmen.

4. DMARC beobachten und hochschalten

Starte mit p=none. Sammle rua-Berichte, erkenne unbekannte Absender, trage sie in SPF/DKIM nach oder blocke sie. Steigere anschließend zu p=quarantine und p=reject.

Technische Hygiene, die oft vergessen wird

PTR und HELO

Setze einen korrekten PTR (Reverse DNS) auf die sende-IP und sorge dafür, dass HELO/EHLO zu PTR passt. Viele Filter werten das aus.

TLS, MTA-STS und TLS-RPT

Sende per TLS und erwäge MTA-STS plus TLS-RPT, um Transportverschlüsselung zu erzwingen und Berichte über TLS-Probleme zu erhalten.

Subdomains und Delegation

Wenn Tools von sub.example.com senden, definiere eigene SPF/DKIM für diese Subdomain und setze DMARC sp= passend. So bleiben Setups übersichtlich.

Fehler erkennen und beheben

Header lesen

Öffne eine empfangene Testmail und prüfe Authentication-Results:

  • spf=pass oder fail mit smtp.mailfrom=
  • dkim=pass oder fail mit header.d=
  • dmarc=pass oder fail mit header.from=

Fail bei SPF: Falscher Return-Path oder Server nicht in SPF.
Fail bei DKIM: Falscher Selector oder DNS-Key fehlerhaft.
DMARC fail: Alignment fehlt – passe Return-Path oder d= Signatur an.

Inhalte und Versandverhalten

Auch korrekt authentifizierte Mails können wegen Reputation oder Inhalt im Spam landen. Sende konsistent, halte Listen sauber, vermeide Spamfallen, nutze Double Opt-in und biete klare Abmeldelinks.

Beispielwerte zum Kopieren

SPF Minimal

v=spf1 a mx include:mailprovider.example -all

DKIM Selector s1

v=DKIM1; k=rsa; p=MIIBIjANBgkqh...AQAB

DMARC Startpolitik

v=DMARC1; p=none; rua=mailto:dmarc-agg@example.com; fo=1; aspf=s; adkim=s

Fazit

Mit SPF, DKIM und DMARC schaffst du die Grundlage für verlässliche E-Mail Zustellbarkeit. Wenn du alle sendenden Systeme erfasst, SPF schlank hältst, DKIM mit 2048-Bit aktivierst und DMARC von p=none auf p=reject hochfährst, reduzierst du Spoofing und verbesserst deine Inbox-Rate spürbar. Ergänze PTR, TLS, saubere Inhalte und konstantes Versandverhalten – dann wird dein E-Mail Setup stabil, sicher und skalierbar.

weitere Inhalte:

  1. IPv6 einfach erklärt – Adressierung, Prefixe, Praxis
    IPv4-Adressen sind knapp, moderne Netze brauchen stabile Konnektivität ohne Krücken. Genau hier setzt IPv6 an. Es bringt riesige Adressräume, einfachere Netzplanung und automatische Konfiguration. In diesem Guide lernst du verständlich, wie IPv6-Adressen aufgebaut sind, wie Prefixe funktionieren und wie du...

  2. Phishing erkennen 2025 – Das Playbook für IT-Teams
    Phishing ist heute der schnellste Weg in dein Netzwerk. Angreifer setzen auf Eile, Neugier und Vertrauen. Sie imitieren Marken, Vorgesetzte oder Lieferanten und locken über E-Mail, SMS, Messenger oder Anrufe. 2025 siehst du vermehrt QR-Phishing, MFA-Prompt-Bombing und Consent-Phishing über schadhafte...

  3. DNS (Domain Name System)
    Das Domain Name System (DNS) ist ein fundamentales Element des Internets und dient dazu, Domainnamen (wie z.B. www.example.com) in IP-Adressen (wie 192.0.2.1) umzuwandeln, die von Computern verwendet werden, um miteinander zu kommunizieren. DNS ist vergleichbar mit einem Telefonbuch, in dem...

  4. DoH vs DoT – verschlüsseltes DNS einfach erklärt
    Du willst DNS absichern und fragst dich, ob DNS over HTTPS (DoH) oder DNS over TLS (DoT) die bessere Wahl ist. Beide Verfahren verschlüsseln DNS-Anfragen, schützen also vor Mitlesen und Manipulation. Der Unterschied liegt vor allem darin, wie sie transportiert...

  5. IPv6 Security einfach erklärt – Schutzkonzept für Unternehmen
    Mit IPv6 bekommst du riesige Adressräume, einfachere Netzplanung und oft bessere Performance. Gleichzeitig ändern sich einige Sicherheitsregeln gegenüber IPv4. Wer hier nur gewohnte Muster übernimmt, riskiert sichtbare Lücken oder schießt sich mit zu harten Filtern ins Knie. Die gute Nachricht:...

/0 Kommentare/von
0 Kommentare

Hinterlasse einen Kommentar

An der Diskussion beteiligen?
Hinterlasse uns deinen Kommentar!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert