E-Mail-Authentifizierung: SPF, DKIM & DMARC einrichten

SPF: Wer darf in deinem Namen senden?

SPF (Sender Policy Framework) ist der erste Baustein. Es beantwortet eine einfache Frage: Welche Server dürfen E-Mails mit deiner Domain versenden?

Du hinterlegst einen DNS-Eintrag, der sagt: "Nur diese IP-Adressen dürfen E-Mails von @deinedomain.de senden." Kommt eine E-Mail von einer anderen IP, weiß der Empfänger-Server: Das ist nicht autorisiert.

Was du brauchst: Einen TXT-Eintrag in deiner DNS-Konfiguration. Die meisten Newsletter-Tools liefern den fertigen Eintrag – du kopierst ihn zu deinem Domain-Anbieter.

DKIM: Digitale Unterschrift für deine E-Mails

DKIM (DomainKeys Identified Mail) geht einen Schritt weiter. Es signiert jede E-Mail digital. Der Empfänger-Server kann prüfen: "Wurde diese E-Mail wirklich von der angegebenen Domain gesendet – und wurde sie unterwegs verändert?"

Stell dir DKIM wie ein Wachssiegel vor. Es bestätigt: Der Brief kommt wirklich vom Absender, und niemand hat ihn geöffnet oder verändert.

Technisch: Dein Newsletter-Tool signiert jede E-Mail mit einem privaten Schlüssel. Den öffentlichen Schlüssel hinterlegst du als DNS-Eintrag. Der Empfänger-Server vergleicht beides.

Warum DKIM entscheidend ist:

• Ohne DKIM können Spammer E-Mails in deinem Namen fälschen
• Google und Yahoo prüfen DKIM aktiv seit 2024
• DKIM ist Voraussetzung für DMARC (und damit für die Zustellung)

DMARC: Die Anweisung für den Empfänger

DMARC (Domain-based Message Authentication, Reporting and Conformance) verbindet SPF und DKIM zu einer Policy. Es sagt dem Empfänger-Server: "Was sollst du mit E-Mails machen, die SPF oder DKIM nicht bestehen?"

Du hast drei Optionen:

Der DMARC-Eintrag ist ein weiterer DNS-TXT-Eintrag. Minimal sieht er so aus:

`v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de`

Das `rua` ist wichtig: Du bekommst Berichte darüber, wer in deinem Namen E-Mails versendet. So siehst du sofort, ob jemand deine Domain missbraucht.

Drei Entwicklungen machen E-Mail-Authentifizierung zur Pflicht:

1. Google (seit Februar 2024):

Wer mehr als 5.000 E-Mails pro Tag an Gmail-Adressen sendet, braucht SPF, DKIM UND DMARC. Ohne landet alles im Spam.

2. Yahoo (seit Februar 2024):

Gleiche Anforderungen wie Google. Yahoo und AOL zusammen erreichen Millionen Nutzer.

3. Microsoft (seit Februar 2025):

Outlook.com, Hotmail und Live.de verlangen jetzt ebenfalls SPF, DKIM und DMARC von Massenversendern.

Auch unter 5.000 Empfängern ist die Authentifizierung sinnvoll. Die Schwelle sinkt, und Provider bevorzugen authentifizierte Absender generell.

1. Schritt: SPF-Eintrag setzen

1. Logge dich bei deinem Domain-Anbieter ein (Strato, IONOS, All-Inkl, etc.)
2. Gehe zu DNS-Einstellungen → TXT-Einträge
3. Erstelle einen TXT-Eintrag mit dem SPF-Wert deines Newsletter-Tools
4. Warte 24-48 Stunden auf DNS-Propagation

2. Schritt: DKIM aktivieren

1. Erstelle im Newsletter-Tool den DKIM-Schlüssel für deine Domain
2. Kopiere den CNAME- oder TXT-Eintrag
3. Hinterlege ihn bei deinem Domain-Anbieter
4. Verifiziere die Einrichtung im Newsletter-Tool

3. Schritt: DMARC-Eintrag erstellen

1. Erstelle einen TXT-Eintrag für `_dmarc.deinedomain.de`
2. Starte mit `v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de`
3. Beobachte die Berichte 2-4 Wochen
4. Verschärfe auf `p=quarantine` und später `p=reject`

4. Schritt (optional): BIMI einrichten

BIMI (Brand Indicators for Message Identification) ist der jüngste Standard. Er zeigt dein Logo neben deiner E-Mail im Posteingang. Gmail, Yahoo und Apple Mail unterstützen BIMI bereits.

Voraussetzungen:

• DMARC mit `p=quarantine` oder `p=reject`
• SVG-Logo im Tiny PS Format
• Optional: VMC-Zertifikat (Verified Mark Certificate)

BIMI ist kein Pflichtstandard, aber ein starkes Branding-Tool. Wenn Empfänger dein Logo sehen, steigt die Öffnungsrate.

Nicht jedes Tool macht es dir gleich einfach. Hier der Vergleich:

Der entscheidende Punkt: DKIM und SPF einzurichten ist bei allen Tools machbar. Aber wenn du auf Probleme stößt, macht deutscher Telefon-Support den Unterschied. Besonders bei DNS-Einstellungen, wo ein falscher Eintrag alle E-Mails blockieren kann.

1. Fehler: Mehrere SPF-Einträge

Pro Domain darf es nur EINEN SPF-Eintrag geben. Wenn du Website-E-Mails über Google Workspace und Newsletter über KlickTipp versendest, müssen beide in EINEN Eintrag.

Falsch: Zwei separate TXT-Einträge mit `v=spf1 ...`

Richtig: Ein kombinierter Eintrag, z.B. `v=spf1 include:klicktipp.com include:_spf.google.com ~all`

2. Fehler: DMARC zu schnell auf "reject"

Starte IMMER mit `p=none`. Beobachte die Berichte. Stelle sicher, dass alle legitimen Absender (Newsletter-Tool, Website-Formulare, CRM) korrekt authentifiziert sind. Erst dann verschärfen.

3. Fehler: DNS-Propagation nicht abwarten

DNS-Änderungen brauchen bis zu 48 Stunden. Teste nicht nach 5 Minuten und glaube, es funktioniert nicht.

4. Fehler: Subdomain-Authentifizierung vergessen

Wenn du E-Mails von `newsletter@mail.deinedomain.de` versendest, muss DKIM für `mail.deinedomain.de` konfiguriert sein – nicht nur für `deinedomain.de`.

Kurze Antwort: Deine Zustellrate sinkt. Schleichend, aber messbar.

Die Konsequenzen:

• Gmail: Deine E-Mails landen im Spam-Tab oder werden abgelehnt
• Yahoo/AOL: Gleiches Bild
• Outlook: Seit 2025 ebenfalls – und Outlook hat im DACH-Raum großen Marktanteil
• Deine Absender-Reputation verschlechtert sich (auch bei anderen Providern)

Und das Hinterhältige: Du merkst es nicht sofort. Deine Öffnungsrate sinkt langsam. Du denkst, der Content ist das Problem. Dabei ist es die Technik.

Ein Newsletter-Tool mit CSA-Zertifizierung und automatischer DKIM-Signierung löst das Problem, bevor es entsteht. Das ist der Grund, warum die Zustellrate bei KlickTipp bei 99,78% liegt – weil die Technik stimmt.