SPF, DKIM und DMARC sind die technische Grundlage für E-Mail-Zustellbarkeit. Ohne diese drei DNS-Einträge werden E-Mails von Gmail, Outlook und anderen modernen E-Mail-Anbietern als verdächtig eingestuft oder direkt abgelehnt.
Was SPF, DKIM und DMARC leisten
| Standard | Was es macht | Schützt vor |
|---|---|---|
| SPF | Definiert autorisierte Mailserver | E-Mail-Spoofing (jemand sendet "von deiner Domain") |
| DKIM | Signiert E-Mails kryptographisch | Manipulation von E-Mails während Übertragung |
| DMARC | Definiert Policy für unauthentifizierte E-Mails | Phishing und unbefugte Nutzung deiner Domain |
Alle drei bauen aufeinander auf. DMARC funktioniert nur, wenn SPF oder DKIM (idealerweise beide) korrekt konfiguriert sind.
Schritt 1: SPF einrichten
Was ist ein SPF-Record?
Ein SPF-Record ist ein TXT-Eintrag im DNS deiner Domain, der auflistet, welche Mailserver E-Mails in deinem Namen senden dürfen.
Grundstruktur
v=spf1 include:_spf.google.com ~all
| Teil | Bedeutung |
|---|---|
v=spf1 | SPF-Version (immer v=spf1) |
include:domain.com | Autorisiert alle Server des genannten Anbieters |
ip4:1.2.3.4 | Autorisiert eine spezifische IP-Adresse |
~all | Alle anderen Server: Soft Fail (als verdächtig markieren) |
-all | Alle anderen Server: Hard Fail (ablehnen) |
Häufige E-Mail-Provider SPF-Einträge
| Provider | SPF-Include |
|---|---|
| Google Workspace | include:_spf.google.com |
| Microsoft 365 | include:spf.protection.outlook.com |
| Zoho Mail | include:zoho.eu |
| IONOS | include:mxes.spf.ionos.de |
| Strato | include:spf.strato.de |
Beispiel für Google Workspace + eigenen Mailserver
v=spf1 include:_spf.google.com ip4:123.456.78.9 ~all
Wichtig: Pro Domain ist nur ein SPF-Record erlaubt. Wenn du mehrere hinzufügst, bricht der Mechanismus.
Jetzt kostenlos starten — ohne Kreditkarte
1 Mailbox · 1 Kampagne · 50 Prospects. Starte in unter 5 Minuten mit anicampaign.io.
Schritt 2: DKIM einrichten
Was ist DKIM?
DKIM fügt deinen E-Mails eine kryptographische Signatur hinzu. Diese Signatur kann der Empfänger-Server mit dem öffentlichen Schlüssel in deinem DNS verifizieren.
Einrichtung je nach Provider
Google Workspace:
- Google Admin Console → Apps → Google Workspace → Gmail → E-Mail-Authentifizierung
- "DKIM-Authentifizierung generieren" klicken
- Den generierten TXT-Record ins DNS eintragen (Name:
google._domainkey.deinedomain.de) - In Google Admin "DKIM-Authentifizierung starten" klicken
Microsoft 365:
- Exchange Admin Center → Mailfluss → DKIM
- Domain auswählen → DKIM-Signaturen aktivieren
- Die beiden CNAME-Records ins DNS eintragen
DKIM-Record-Beispiel
Name: google._domainkey.outreach.deinedomain.de
Typ: TXT
Wert: v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgK...
Der p= Wert ist dein öffentlicher Schlüssel — er wird von deinem E-Mail-Provider generiert.
Schritt 3: DMARC einrichten
Das DMARC-Stufenmodell
Beginne mit einer lockeren Policy und verschärfe sie schrittweise:
| Phase | Policy | Empfehlung |
|---|---|---|
| Phase 1 (Wochen 1–4) | p=none | Nur Monitoring, keine Aktion |
| Phase 2 (Wochen 5–8) | p=quarantine; pct=25 | 25% der fehlenden E-Mails in Spam |
| Phase 3 (Wochen 9–12) | p=quarantine; pct=100 | Alle fehlenden E-Mails in Spam |
| Phase 4 (langfristig) | p=reject | Alle fehlenden E-Mails ablehnen |
DMARC-Record-Beispiel
Name: _dmarc.outreach.deinedomain.de
Typ: TXT
Wert: v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de; ruf=mailto:dmarc@deinedomain.de; fo=1
| Teil | Bedeutung |
|---|---|
p=none | Policy: nur Monitoring |
rua=mailto:... | Aggregat-Berichte an diese Adresse senden |
ruf=mailto:... | Fehler-Berichte an diese Adresse senden |
fo=1 | Berichte bei SPF oder DKIM Fehler senden |
DNS-Einstellungen: Schritt für Schritt bei wichtigen Anbietern
Cloudflare
- Cloudflare Dashboard → Domain auswählen → DNS
- "+ Record hinzufügen"
- Typ: TXT, Name: @ (oder spezifischer Hostname), TTL: Auto
- Einfügen und speichern
Tipp: Bei Cloudflare den "Proxy"-Status für DNS-only Records auf "DNS only" (grau) stellen — nicht auf "Proxied" (orange).
Hetzner (hetzner.com)
- DNS Konsole → Zone auswählen
- "+ Record" → Typ TXT, Name und Wert eintragen
- TTL: 3600 (1 Stunde) ist ausreichend
IONOS
- IONOS Control Center → Domains & SSL → DNS
- Record hinzufügen → TXT Record
- Hostname eintragen (ohne Domain-Suffix, dieser wird automatisch angehängt)
Strato
- Strato Kundencenter → Domain-Verwaltung → DNS-Einstellungen
- Eintrag hinzufügen → TXT-Eintrag
- Präfix und Wert eintragen
Häufige Konfigurationsfehler
| Fehler | Symptom | Lösung |
|---|---|---|
| Mehrere SPF-Records | SPF "PermError" | Alle zu einem Record zusammenfassen |
| Falsche DKIM-Selector | DKIM-Prüfung schlägt fehl | Selector mit Provider abstimmen |
| DMARC ohne SPF/DKIM | DMARC wirkungslos | Erst SPF/DKIM, dann DMARC |
| Proxy für TXT-Records | DNS-Auflösung fehlschlägt | Proxy deaktivieren (Cloudflare) |
| Tipp-/Leerzeichen-Fehler | Alle Prüfungen schlagen fehl | Record sorgfältig kopieren |
DNS-Records testen
Prüfe alle drei Einträge nach der Konfiguration:
- MXToolbox: mxtoolbox.com — SPF, DKIM und DMARC einzeln prüfen
- Mail-Tester: mail-tester.com — Komplette E-Mail auf Spam-Score testen
- Google Admin Toolbox: Für Google-Workspace-Kunden
anicampaign.io prüft SPF, DKIM und DMARC deiner Domains automatisch und zeigt Probleme im Dashboard an.