SPF, DKIM und DMARC sind die drei DNS-Einträge, die zwischen Posteingang und Spam-Ordner entscheiden. Seit 2024 verlangt Google diese Authentifizierung von allen Bulk-Sendern — wer sie ignoriert, dessen E-Mails landen zuverlässig im Spam oder werden direkt abgelehnt. Diese Anleitung zeigt dir die Einrichtung Schritt für Schritt.
Was ist E-Mail-Authentifizierung und warum ist sie wichtig?
E-Mail-Authentifizierung ist ein Satz technischer Standards, der E-Mail-Providern ermöglicht zu prüfen, ob eine E-Mail wirklich von der angegebenen Absenderdomain stammt. Das Problem: Das ursprüngliche E-Mail-Protokoll (SMTP) hat keine eingebaute Absenderverifizierung. Jeder kann technisch gesehen eine E-Mail mit beliebiger Absenderadresse verschicken.
Die drei Authentifizierungsstandards lösen dieses Problem auf unterschiedliche Weisen:
| Standard | Schutzmechanismus | Wogegen |
|---|---|---|
| SPF | Whiteliste autorisierter Mailserver | E-Mail-Spoofing vom falschen Server |
| DKIM | Kryptografische Signatur der Nachricht | Manipulation während Übertragung |
| DMARC | Policy für Authentifizierungsfehler | Unbefugte Nutzung deiner Domain |
Warum alle drei notwendig sind:
SPF allein kann von Angreifern umgangen werden, die die "From"-Adresse fälschen. DKIM allein gibt keine Anweisung, was mit nicht signierten E-Mails geschehen soll. Erst DMARC kombiniert beide und definiert eine verbindliche Policy.
Seit Februar 2024 schreibt Google vor, dass alle Absender, die mehr als 5.000 E-Mails pro Tag an Gmail senden, SPF, DKIM und DMARC einrichten müssen. Microsoft zieht 2025 nach. Für Cold Email Outreach sind diese Standards längst keine Option mehr — sie sind Pflicht.
SPF einrichten — Schritt für Schritt
Was ist ein SPF-Record?
Ein SPF-Record ist ein TXT-Eintrag in deinen DNS-Einstellungen, der auflistet, welche Server E-Mails in deinem Namen versenden dürfen. Empfangende Mailserver prüfen diesen Eintrag, wenn eine E-Mail von deiner Domain eingeht.
Die Grundstruktur eines SPF-Records
v=spf1 include:_spf.google.com ~all
Dieser Record sagt: "Alle Server von Google Workspace sind autorisiert, E-Mails für diese Domain zu senden. Alle anderen Server sollen als verdächtig markiert werden."
Jeder Teil hat eine Bedeutung:
| Element | Bedeutung |
|---|---|
v=spf1 | SPF-Protokollversion (immer identisch) |
include:domain.com | Autorisiert alle Server des genannten Providers |
ip4:1.2.3.4 | Autorisiert eine einzelne IPv4-Adresse |
ip4:1.2.3.0/24 | Autorisiert einen IP-Adressbereich |
~all | Soft Fail: Andere Server als verdächtig markieren |
-all | Hard Fail: Andere Server ablehnen |
?all | Neutral: Keine Aussage über andere Server |
SPF-Records für die gängigsten E-Mail-Provider
| Provider | SPF-Record |
|---|---|
| Google Workspace | v=spf1 include:_spf.google.com ~all |
| Microsoft 365 | v=spf1 include:spf.protection.outlook.com ~all |
| Zoho Mail | v=spf1 include:zoho.eu ~all |
| IONOS | v=spf1 include:mxes.spf.ionos.de ~all |
| Strato | v=spf1 include:spf.strato.de ~all |
| Mailchimp (Transaktional) | v=spf1 include:servers.mcsv.net ~all |
SPF-Record im DNS hinzufügen
Bei Cloudflare:
- Dashboard → Deine Domain → DNS → Einträge
- Eintrag hinzufügen: Typ
TXT, Name@, TTLAuto - Inhalt: deinen SPF-Record einfügen
- Speichern — Proxy-Status muss auf "DNS only" stehen
Bei IONOS:
- Control Center → Domains & SSL → DNS
- Eintrag hinzufügen → Typ TXT
- Hostname:
@, Wert: SPF-Record
Bei Strato:
- Kundencenter → Domainverwaltung → DNS-Einstellungen
- TXT-Eintrag hinzufügen, Präfix leer lassen
Wichtigste Regel: Pro Domain ist nur ein einziger SPF-Record erlaubt. Wenn du mehrere E-Mail-Provider nutzt, kombiniere sie in einem Record:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ip4:123.45.67.89 ~all
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
DKIM einrichten — Die digitale Signatur
Wie DKIM funktioniert
DKIM (DomainKeys Identified Mail) arbeitet mit einem Schlüsselpaar: einem privaten Schlüssel auf deinem Mailserver und einem öffentlichen Schlüssel in deinen DNS-Einstellungen. Jede ausgehende E-Mail wird mit dem privaten Schlüssel signiert. Der empfangende Server liest den öffentlichen Schlüssel aus dem DNS und verifiziert die Signatur — damit ist bewiesen, dass die E-Mail von dir kommt und unterwegs nicht verändert wurde.
DKIM-Einrichtung bei Google Workspace
- Öffne die Google Admin Console (admin.google.com)
- Navigiere zu Apps → Google Workspace → Gmail → E-Mail-Authentifizierung
- Wähle deine Domain aus
- Klicke auf "Neuen Record generieren" (2048 Bit empfohlen)
- Google zeigt dir den TXT-Record, den du ins DNS eintragen musst
- Trage den Record in deinen DNS-Anbieter ein (Name:
google._domainkey, Typ: TXT) - Warte 15-30 Minuten, dann klicke "DKIM-Authentifizierung starten"
DKIM-Einrichtung bei Microsoft 365
- Exchange Admin Center → E-Mail-Fluss → DKIM
- Wähle deine Domain aus
- Aktiviere DKIM-Signaturen
- Microsoft zeigt dir zwei CNAME-Records
- Trage beide CNAME-Records in dein DNS ein
- Warte auf DNS-Propagation, dann aktiviere in M365
Wie ein DKIM-Record aussieht
Name: google._domainkey.deinedomain.de
Typ: TXT
Wert: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA...
Der lange String nach p= ist dein öffentlicher Schlüssel — er wird von deinem E-Mail-Provider generiert und ist für jede Domain einzigartig.
Wichtig: Du musst niemals den privaten Schlüssel kennen oder eingeben. Dein E-Mail-Provider verwaltet ihn automatisch.
DMARC einrichten — Die Richtlinie
Was DMARC leistet
DMARC (Domain-based Message Authentication, Reporting and Conformance) ist der Dirigent: Es verbindet SPF und DKIM und definiert, was mit E-Mails passiert, die eine oder beide Prüfungen nicht bestehen. Außerdem liefert es dir Berichte, damit du siehst, wer E-Mails in deinem Namen versendet.
Das DMARC-Stufenmodell
Starte niemals direkt mit einer strikten Policy. Der richtige Weg:
| Phase | Record | Bedeutung | Dauer |
|---|---|---|---|
| Phase 1 | p=none | Monitoring, keine Aktion | 2-4 Wochen |
| Phase 2 | p=quarantine; pct=25 | 25% der verdächtigen E-Mails in Spam | 2 Wochen |
| Phase 3 | p=quarantine; pct=100 | Alle verdächtigen E-Mails in Spam | 2-4 Wochen |
| Phase 4 | p=reject | Verdächtige E-Mails ablehnen | Dauerhaft |
DMARC-Record einrichten
Phase 1 (Start):
Name: _dmarc.deinedomain.de
Typ: TXT
Wert: v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de; fo=1
Phase 4 (Vollständiger Schutz):
v=DMARC1; p=reject; rua=mailto:dmarc@deinedomain.de; ruf=mailto:dmarc@deinedomain.de; fo=1; adkim=s; aspf=s
DMARC-Parameter erklärt
| Parameter | Wert | Bedeutung |
|---|---|---|
p= | none/quarantine/reject | Die Policy |
rua= | mailto:... | Adresse für Aggregat-Berichte |
ruf= | mailto:... | Adresse für Fehler-Berichte |
pct= | 0-100 | Prozentzahl betroffener E-Mails |
fo= | 0/1/d/s | Wann Fehlerberichte senden |
adkim= | r/s | DKIM-Alignment (relaxed/strict) |
aspf= | r/s | SPF-Alignment (relaxed/strict) |
Tipp zur rua-Adresse: Erstelle eine dedizierte Postfach-Adresse wie dmarc-reports@deinedomain.de, da du viele automatische Berichte erhalten wirst. Alternativ können DMARC-Analyse-Dienste wie dmarcian.com oder Postmark diese Berichte für dich verarbeiten und visualisieren.
Häufige Fehler und wie du sie vermeidest
Fehler 1: Mehrere SPF-Records
Problem: Du hast zwei TXT-Einträge mit v=spf1 in deinem DNS.
Symptom: SPF schlägt fehl mit "PermError — too many SPF records".
Lösung: Kombiniere alles in einem einzigen SPF-Record:
v=spf1 include:_spf.google.com include:spf.protection.outlook.com ~all
Fehler 2: DMARC vor SPF und DKIM einrichten
Problem: DMARC mit p=reject eingerichtet, bevor SPF und DKIM laufen.
Symptom: Alle legitimen E-Mails werden abgelehnt.
Lösung: Immer in dieser Reihenfolge vorgehen: 1. SPF einrichten, 2. DKIM einrichten und verifizieren, 3. DMARC mit p=none starten.
Fehler 3: Zu viele DNS-Lookups im SPF-Record
Problem: SPF erlaubt maximal 10 DNS-Lookups beim Auflösen des Records.
Symptom: SPF schlägt bei Empfängern mit vielen Providern fehl.
Lösung: Minimiere include:-Direktiven. Ersetze Ketten durch direkte IP-Adressen wo möglich. Nutze SPF-Flattening-Tools wie dmarcian SPF Surveyor.
Fehler 4: Falscher Proxy-Status bei Cloudflare
Problem: TXT-Records stehen auf "Proxied" (oranger Wolken-Status).
Symptom: DNS-Auflösung für SPF/DKIM/DMARC schlägt fehl.
Lösung: Alle DNS-Records für E-Mail-Authentifizierung müssen auf "DNS only" (grauer Status) stehen.
Fehler 5: DKIM-Selector stimmt nicht
Problem: Der im DNS eingetragene Selector stimmt nicht mit dem konfigurierten Selector überein.
Symptom: DKIM-Signatur wird nicht gefunden.
Lösung: Bei Google Workspace ist der Standard-Selector google. Prüfe mit: dig TXT google._domainkey.deinedomain.de
Fehler 6: Sofort mit p=reject starten
Problem: DMARC direkt auf Reject gesetzt ohne vorherige Monitoring-Phase.
Symptom: Legitime E-Mails, die noch nicht vollständig authentifiziert sind, werden abgelehnt — inklusive Newsletter-Dienste, CRM-Systeme etc.
Lösung: Immer mit p=none starten und mindestens 2-4 Wochen Berichte analysieren.
Überprüfung mit Tools
Nach der Einrichtung solltest du alle drei Records verifizieren. Warte mindestens 15-30 Minuten nach den DNS-Änderungen.
MXToolbox (mxtoolbox.com)
Der Standard für E-Mail-Diagnose. Separate Checker für jeden Record:
- SPF: mxtoolbox.com/spf.aspx — gibt grünes Häkchen oder genaue Fehlerbeschreibung
- DKIM: mxtoolbox.com/dkim.aspx — Domain und Selector eingeben (z.B.
google) - DMARC: mxtoolbox.com/dmarc.aspx — zeigt den kompletten Record und Syntax-Fehler
- Blacklist: mxtoolbox.com/blacklists.aspx — prüft gegen 100+ Blacklists gleichzeitig
Google Admin Toolbox (toolbox.googleapps.com)
Besonders hilfreich für Google Workspace-Nutzer. Der "Check MX"-Tool prüft alle E-Mail-relevanten DNS-Records deiner Domain in einem Schritt.
mail-tester.com
Der praktischste Test: Sende eine echte E-Mail an die generierte Test-Adresse und erhalte einen Spam-Score von 0-10 mit detailliertem Bericht. Zeigt SPF, DKIM, DMARC, Blacklist-Status und Inhaltsprobleme in einer Ansicht.
Zielwert: 9/10 oder höher.
Automatische Überwachung mit anicampaign.io
anicampaign.io prüft SPF, DKIM und DMARC deiner Versand-Domains kontinuierlich und benachrichtigt dich sofort bei Problemen — bevor deine Kampagnen darunter leiden.
Häufige Fragen
Was ist SPF und warum brauche ich es?
SPF (Sender Policy Framework) ist ein DNS-Eintrag, der festlegt welche Server E-Mails für deine Domain senden dürfen. Ohne SPF können E-Mail-Provider deine Mails nicht verifizieren und leiten sie häufig in den Spam.
Was ist der Unterschied zwischen DKIM und SPF?
SPF prüft ob der sendende Server autorisiert ist, DKIM signiert die E-Mail kryptografisch. Beide ergänzen sich: SPF schützt den Absender, DKIM die Nachricht selbst.
Was passiert wenn ich DMARC falsch konfiguriere?
Falsch konfiguriertes DMARC mit Policy "reject" kann dazu führen, dass alle deine E-Mails abgelehnt werden. Starte immer mit p=none (Monitoring) und wechsle erst nach 2-4 Wochen auf "quarantine" oder "reject".
Wie lange dauert es bis DNS-Änderungen wirken?
DNS-Propagation kann 15 Minuten bis 48 Stunden dauern, typisch sind 1-4 Stunden. Tools wie MXToolbox zeigen dir den aktuellen Status.
Brauche ich SPF, DKIM und DMARC für Cold Email?
Ja, alle drei sind für professionelles Cold Email Outreach unverzichtbar. Ohne korrekte Authentifizierung landen deine E-Mails mit hoher Wahrscheinlichkeit im Spam.