E-Mail-Authentifizierung: SPF, DKIM & DMARC einrichten

Google hat im Februar 2024 die Regeln geändert. Wer mehr als 5.000 E-Mails pro Tag versendet, muss DMARC einrichten – sonst landen seine Emails im Spam. Yahoo zog nach. Microsoft folgte im Februar 2025. Und seit Anfang 2026 gilt: Ohne korrekte E-Mail-Authentifizierung erreichen deine Newsletter den Posteingang nicht mehr – egal wie gut dein Content ist.

Das Thema klingt technisch. Ist es auch. Aber die Konsequenz ist einfach: Ohne SPF, DKIM und DMARC erreichst du einen wachsenden Teil deiner Empfänger nicht mehr. Die aktuellen Zahlen zeigen, wie gross die Lücke ist:

(Quelle: PowerDMARC, DmarcDkim.com — 5,5 Mio. Domains analysiert, Februar 2026)

40,8% aller E-Mail-sendenden Domains haben überhaupt keine Authentifizierung — und nur 10,7% haben vollen Schutz. Wer SPF, DKIM und DMARC korrekt einrichtet, gehört zur Minderheit, die bei Gmail, Microsoft und Yahoo bevorzugt zugestellt wird.

Dieser Artikel erklärt, was die drei Protokolle tun, warum sie seit 2026 Pflicht sind, und wie du sie einrichtest – oder besser: wie dein E-Mail-Tool das für dich erledigt.

SPF: Wer darf in deinem Namen senden?

SPF (Sender Policy Framework) ist der erste Baustein. Es beantwortet eine einfache Frage: Welche Server dürfen E-Mails mit deiner Domain versenden?

Du hinterlegst einen DNS-Eintrag, der sagt: "Nur diese IP-Adressen dürfen E-Mails von @deinedomain.de senden." Kommt eine E-Mail von einer anderen IP, weiß der Empfänger-Server: Das ist nicht autorisiert.

Was du brauchst: Einen TXT-Eintrag in deiner DNS-Konfiguration. Die meisten Newsletter-Tools liefern den fertigen Eintrag – du kopierst ihn zu deinem Domain-Anbieter.

DKIM: Digitale Unterschrift für deine E-Mails

DKIM (DomainKeys Identified Mail) geht einen Schritt weiter. Es signiert jede E-Mail digital. Der Empfänger-Server kann prüfen: "Wurde diese E-Mail wirklich von der angegebenen Domain gesendet – und wurde sie unterwegs verändert?"

Stell dir DKIM wie ein Wachssiegel vor. Es bestätigt: Der Brief kommt wirklich vom Absender, und niemand hat ihn geöffnet oder verändert.

Technisch: Dein Newsletter-Tool signiert jede E-Mail mit einem privaten Schlüssel. Den öffentlichen Schlüssel hinterlegst du als DNS-Eintrag. Der Empfänger-Server vergleicht beides.

Warum DKIM entscheidend ist:

• Ohne DKIM können Spammer E-Mails in deinem Namen fälschen
• Google und Yahoo prüfen DKIM aktiv seit 2024
• DKIM ist Voraussetzung für DMARC (und damit für die Zustellung)
• Fehlt DKIM, steigt deine Bounce Rate und deine Absender-Reputation leidet

DMARC: Die Anweisung für den Empfänger

DMARC (Domain-based Message Authentication, Reporting and Conformance) verbindet SPF und DKIM zu einer Policy. Es sagt dem Empfänger-Server: "Was sollst du mit E-Mails machen, die SPF oder DKIM nicht bestehen?"

Du hast drei Optionen:

Der DMARC-Eintrag ist ein weiterer DNS-TXT-Eintrag. Minimal sieht er so aus:

`v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de`

Das `rua` ist wichtig: Du bekommst Berichte darüber, wer in deinem Namen E-Mails versendet. So siehst du sofort, ob jemand deine Domain missbraucht.

Drei Entwicklungen machen E-Mail-Authentifizierung zur Pflicht:

1. Google (seit Februar 2024):

Wer mehr als 5.000 E-Mails pro Tag an Gmail-Adressen sendet, braucht SPF, DKIM UND DMARC. Ohne landet alles im Spam.

2. Yahoo (seit Februar 2024):

Gleiche Anforderungen wie Google. Yahoo und AOL zusammen erreichen Millionen Nutzer.

3. Microsoft (seit Februar 2025):

Outlook.com, Hotmail und Live.de verlangen jetzt ebenfalls SPF, DKIM und DMARC von Massenversendern.

Auch unter 5.000 Empfängern ist die Authentifizierung sinnvoll. Die Schwelle sinkt, und Provider bevorzugen authentifizierte Absender generell – was sich direkt auf deine Zustellrate auswirkt. Besonders in Kombination mit dem richtigen IP-Modell: Wie Shared vs. Dedicated IPs deine Zustellrate beeinflussen, erklärt der separate Guide. E-Mail-Authentifizierung ist einer der wichtigsten E-Mail Marketing Trends 2026 — wer jetzt nicht handelt, verliert Zustellbarkeit.

1. Schritt: SPF-Eintrag setzen

1. Logge dich bei deinem Domain-Anbieter ein (Strato, IONOS, All-Inkl, etc.)
2. Gehe zu DNS-Einstellungen → TXT-Einträge
3. Erstelle einen TXT-Eintrag mit dem SPF-Wert deines Newsletter-Tools
4. Warte 24-48 Stunden auf DNS-Propagation

2. Schritt: DKIM aktivieren

1. Erstelle im Newsletter-Tool den DKIM-Schlüssel für deine Domain
2. Kopiere den CNAME- oder TXT-Eintrag
3. Hinterlege ihn bei deinem Domain-Anbieter
4. Verifiziere die Einrichtung im Newsletter-Tool

3. Schritt: DMARC-Eintrag erstellen

1. Erstelle einen TXT-Eintrag für `_dmarc.deinedomain.de`
2. Starte mit `v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de`
3. Beobachte die Berichte 2-4 Wochen
4. Verschärfe auf `p=quarantine` und später `p=reject`

4. Schritt (optional): BIMI einrichten

BIMI (Brand Indicators for Message Identification) ist der jüngste Standard. Er zeigt dein Logo neben deiner E-Mail im Posteingang. Gmail, Yahoo und Apple Mail unterstützen BIMI bereits.

Voraussetzungen:

• DMARC mit `p=quarantine` oder `p=reject`
• SVG-Logo im Tiny PS Format
• Optional: VMC-Zertifikat (Verified Mark Certificate)

BIMI ist kein Pflichtstandard, aber ein starkes Branding-Tool. Wenn Empfänger dein Logo sehen, steigt die Öffnungsrate.

Nicht jedes Tool macht es dir gleich einfach. Hier der Vergleich:

Der entscheidende Punkt: DKIM und SPF einzurichten ist bei allen Tools machbar. Aber wenn du auf Probleme stößt, macht deutscher Telefon-Support den Unterschied. Besonders bei DNS-Einstellungen, wo ein falscher Eintrag alle E-Mails blockieren kann.

1. Fehler: Mehrere SPF-Einträge

Pro Domain darf es nur EINEN SPF-Eintrag geben. Wenn du Website-E-Mails über Google Workspace und Newsletter über das Tool versendest, müssen beide in EINEN Eintrag.

Falsch: Zwei separate TXT-Einträge mit `v=spf1 ...`

Richtig: Ein kombinierter Eintrag, z.B. `v=spf1 include:klicktipp.com include:_spf.google.com ~all`

2. Fehler: DMARC zu schnell auf "reject"

Starte IMMER mit `p=none`. Beobachte die Berichte. Stelle sicher, dass alle legitimen Absender (Newsletter-Tool, Website-Formulare, CRM) korrekt authentifiziert sind. Erst dann verschärfen.

3. Fehler: DNS-Propagation nicht abwarten

DNS-Änderungen brauchen bis zu 48 Stunden. Teste nicht nach 5 Minuten und glaube, es funktioniert nicht.

4. Fehler: Subdomain-Authentifizierung vergessen

Wenn du E-Mails von `newsletter@mail.deinedomain.de` versendest, muss DKIM für `mail.deinedomain.de` konfiguriert sein – nicht nur für `deinedomain.de`.

Kurze Antwort: Deine Zustellrate sinkt. Schleichend, aber messbar.

Die konkreten Konsequenzen der drei großen Provider

Google (Maßnahmen seit Februar 2024):

Gmail hat die Anforderungen für Massenversender (5.000+ E-Mails/Tag) verbindlich gemacht. Wer SPF, DKIM und DMARC nicht korrekt eingerichtet hat, muss mit folgenden Konsequenzen rechnen:

• E-Mails werden direkt in den Spam-Tab verschoben statt den Posteingang zu erreichen
• Spam-Beschwerden über 0,3% führen zu temporären Sendedrosselungen
• Bei dauerhafter Überschreitung: Komplette Ablehnung aller E-Mails an Gmail-Adressen (Rejection)
• Laut Google wurden im ersten Halbjahr 2024 Milliarden nicht-authentifizierter E-Mails abgelehnt oder umgeleitet

Yahoo (Maßnahmen seit Februar 2024):

Yahoo und AOL (gemeinsame Infrastruktur) haben parallel zu Google reagiert:

• Gleiche Anforderungen: SPF, DKIM und DMARC für Massenversender
• Fehlende DMARC-Policy (`p=none` reicht als Einstieg, aber Reject-Ziel empfohlen)
• Yahoo kommuniziert weniger transparent als Google, aber die Rejection-Logik ist vergleichbar
• Besonders relevant: Yahoo Mail ist im B2C-Segment nach Gmail die Nummer 2 in den USA — für internationale Listen ein erheblicher Faktor

Microsoft (Maßnahmen seit Februar 2025):

Outlook.com, Hotmail und Live.de haben im Februar 2025 nachgezogen:

• Massenversender müssen SPF und DKIM nachweisen
• DMARC mit mindestens `p=none` erforderlich
• Besonders relevant für DACH: Outlook ist im deutschen B2B-Markt der dominante Provider für Unternehmens-E-Mails
• Microsoft nutzt zusätzlich Sender Reputation Score — fehlende Authentifizierung kostet Reputation-Punkte auch unterhalb der offiziellen Pflichtgrenze

Die Gesamtrechnung: Gmail (~15% deutsche Nutzer), Outlook/Hotmail (~10% deutsche Nutzer) und Yahoo (international relevant) zusammen decken einen erheblichen Teil deiner Empfänger ab. Fehlende Authentifizierung bedeutet: Jede dritte bis vierte E-Mail in deiner Liste könnte gar nicht mehr ankommen.

Und das Hinterhältige: Du merkst es nicht sofort. Deine Öffnungsrate sinkt langsam. Du denkst, der Content ist das Problem. Dabei ist es die Technik.

Ein Newsletter-Tool mit CSA-Zertifizierung und automatischer DKIM-Signierung löst das Problem, bevor es entsteht. Das ist der Grund, warum die Zustellrate im Tag-System bei 99,78% liegt – weil die Technik stimmt.

SPF, DKIM und DMARC sind globale Standards. Für den DACH-Markt kommt ein weiterer Faktor hinzu: die CSA-Zertifizierung (Certified Senders Alliance). Die CSA ist ein Whitelist-Projekt der deutschen E-Mail-Provider — Web.de, GMX und T-Online (zusammen über 60% der deutschen Privat-Postfächer) bevorzugen CSA-zertifizierte Absender.

Das bedeutet: Selbst mit perfekter SPF/DKIM/DMARC-Konfiguration erreichst du bei Web.de und GMX nicht die gleiche Inbox Placement Rate wie ein CSA-zertifizierter Absender. Die Authentifizierung ist die Pflicht — CSA ist die Kür, die im DACH-Raum den Unterschied macht.

Welche Newsletter-Tools CSA-zertifiziert sind: KlickTipp (seit 2016), CleverReach und Rapidmail. Mailchimp, Brevo und ActiveCampaign sind es nicht — sie fokussieren auf den US-Markt wo CSA irrelevant ist. Alle Details im CSA-Zertifizierung Guide.

Bevor du Änderungen vornimmst, solltest du wissen, wo du stehst. Diese drei Tools prüfen dein Setup kostenlos und ohne Anmeldung:

Vorgehen in 10 Minuten:

1. MXToolbox: Domain eingeben → "MX Lookup" → prüfe ob SPF und DMARC gesetzt sind
2. Mail-Tester.com: Generierte Adresse in dein Newsletter-Tool eintragen → Test-E-Mail senden → Score auswerten
3. Google Admin Toolbox: Domain eingeben → prüfe speziell DMARC-Policy und SPF-Syntax

Ein Score unter 8/10 bei Mail-Tester deutet auf Konfigurationsprobleme hin. Unter 6/10 hat deine Zustellrate messbar gelitten.