SPF, DKIM und DMARC einrichten

Der Nutzen ist doppelt: Du reduzierst Ablehnungen, Spoofing-Risiko und technische Spam-Signale. Gleichzeitig erreichst du mehr echte Posteingänge und verlierst weniger Leads, Buchungen oder Verkaufschancen durch unsichtbare Zustellprobleme.

Rechtlich gehört Authentifizierung nicht isoliert betrachtet: Der DSGVO-Leitfaden erklärt die Pflichten rund um Einwilligung, AVV und Nachweise, während Newsletter rechtssicher versenden die operative Checkliste liefert. Für Anmeldeprozesse ist zusätzlich das Double-Opt-In-Verfahren relevant, weil eine technisch saubere Bestätigungsmail ohne SPF, DKIM und DMARC schneller im Spam landet.

SPF: Wer darf in deinem Namen senden?

SPF (Sender Policy Framework) ist der erste Baustein. Es beantwortet eine einfache Frage: Welche Server dürfen E-Mails mit deiner Domain versenden?

Du hinterlegst einen DNS-Eintrag, der sagt: "Nur diese IP-Adressen dürfen E-Mails von @deinedomain.de senden." Kommt eine E-Mail von einer anderen IP, weiß der Empfänger-Server: Das ist nicht autorisiert.

Was du brauchst: Einen TXT-Eintrag in deiner DNS-Konfiguration. Die meisten Newsletter-Tools liefern den fertigen Eintrag – du kopierst ihn zu deinem Domain-Anbieter.

DKIM: Digitale Unterschrift für deine E-Mails

DKIM (DomainKeys Identified Mail) geht einen Schritt weiter. Es signiert jede E-Mail digital. Der Empfänger-Server kann prüfen: "Wurde diese E-Mail wirklich von der angegebenen Domain gesendet – und wurde sie unterwegs verändert?"

Stell dir DKIM wie ein Wachssiegel vor. Es bestätigt: Der Brief kommt wirklich vom Absender, und niemand hat ihn geöffnet oder verändert.

Technisch: Dein Newsletter-Tool signiert jede E-Mail mit einem privaten Schlüssel. Den öffentlichen Schlüssel hinterlegst du als DNS-Eintrag. Der Empfänger-Server vergleicht beides.

Warum DKIM entscheidend ist:

• Ohne DKIM können Spammer E-Mails in deinem Namen fälschen
• Google und Yahoo prüfen DKIM aktiv seit 2024
• DKIM ist Voraussetzung für DMARC (und damit für die Zustellung)
• Fehlt DKIM, steigt deine Bounce Rate und deine Absender-Reputation leidet

DMARC: Die Anweisung für den Empfänger

DMARC (Domain-based Message Authentication, Reporting and Conformance) verbindet SPF und DKIM zu einer Policy. Es sagt dem Empfänger-Server: "Was sollst du mit E-Mails machen, die SPF oder DKIM nicht bestehen?"

Du hast drei Optionen:

Der DMARC-Eintrag ist ein weiterer DNS-TXT-Eintrag. Minimal sieht er so aus:

v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de

Das rua ist wichtig: Du bekommst Berichte darüber, wer in deinem Namen E-Mails versendet. So siehst du sofort, ob jemand deine Domain missbraucht.

Drei Entwicklungen machen E-Mail-Authentifizierung zur Pflicht:

1. Google (seit Februar 2024, Enforcement verschärft ab November 2025):

Wer mehr als 5.000 E-Mails pro Tag an Gmail-Adressen sendet, braucht laut Google Email Sender Guidelines vier Dinge:

• SPF und DKIM für die sendende Domain
• DMARC für die Absender-Domain (mindestens p=none)
• Spam-Rate unter 0,30 % gemessen in Google Postmaster Tools
• TLS-Verbindung für alle E-Mails plus valide Forward- und Reverse-DNS-Records
• One-Click-Unsubscribe für Marketing-Mails (RFC 8058)
• From-Header-Alignment: Die Absender-Domain im From:-Header muss mit der SPF- oder DKIM-Domain übereinstimmen

Seit November 2025 hat Google das Enforcement verschärft: Nicht-konforme E-Mails erfahren temporäre und dauerhafte Rejections, nicht mehr nur Spam-Filterung.

2. Yahoo (seit Februar 2024):

Yahoo betreibt mit dem Sender Hub eigene Sender-Anforderungen, Deliverability-Hinweise und Domain-Insights. Für internationale Listen ist Yahoo/AOL deshalb ein eigener Prüfpunkt; im DACH-Raum bleiben Web.de, GMX und T-Online zusätzlich wichtig.

3. Microsoft (seit 5. Mai 2025):

Outlook.com, Hotmail und Live.de verlangen laut Microsofts NDR-Hinweisen zu 550 5.7.515 für Domains mit mehr als 5.000 E-Mails pro Tag an Outlook.com-Konten ebenfalls SPF, DKIM und DMARC. Nicht-konforme High-Volume-Sender können im Junk landen oder mit 550; 5.7.515 abgelehnt werden.

Auch unter 5.000 Empfängern ist die Authentifizierung sinnvoll. Die Schwelle sinkt, und Provider bevorzugen authentifizierte Absender generell – was sich direkt auf deine Zustellrate auswirkt. Besonders in Kombination mit dem richtigen IP-Modell: Wie Shared vs. Dedicated IPs deine Zustellrate beeinflussen, erklärt der separate Guide. E-Mail-Authentifizierung ist einer der wichtigsten E-Mail Marketing Trends 2026 — wer jetzt nicht handelt, verliert Zustellbarkeit.

1. Schritt: SPF-Eintrag setzen

1. Logge dich bei deinem Domain-Anbieter ein (Strato, IONOS, All-Inkl, etc.)
2. Gehe zu DNS-Einstellungen → TXT-Einträge
3. Erstelle einen TXT-Eintrag mit dem SPF-Wert deines Newsletter-Tools
4. Warte 24-48 Stunden auf DNS-Propagation

2. Schritt: DKIM aktivieren

1. Erstelle im Newsletter-Tool den DKIM-Schlüssel für deine Domain
2. Kopiere den CNAME- oder TXT-Eintrag
3. Hinterlege ihn bei deinem Domain-Anbieter
4. Verifiziere die Einrichtung im Newsletter-Tool

3. Schritt: DMARC-Eintrag erstellen

1. Erstelle einen TXT-Eintrag für _dmarc.deinedomain.de
2. Starte mit v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de
3. Beobachte die Berichte 2-4 Wochen
4. Verschärfe auf p=quarantine und später p=reject

4. Schritt (optional): BIMI einrichten

BIMI (Brand Indicators for Message Identification) ist der jüngste Standard. Er zeigt dein Logo neben deiner E-Mail im Posteingang. Gmail, Yahoo und Apple Mail unterstützen BIMI bereits.

Voraussetzungen:

• DMARC mit p=quarantine oder p=reject
• SVG-Logo im Tiny PS Format
• Optional: VMC-Zertifikat (Verified Mark Certificate)

BIMI ist kein Pflichtstandard, aber ein starkes Branding-Tool. Wenn Empfänger dein Logo sehen, steigt die Öffnungsrate.

Nicht jedes Tool macht es dir gleich einfach. Hier der Vergleich:

DKIM und SPF einzurichten ist bei allen Tools machbar. Bei DNS-Problemen macht der Unterschied aber, ob du in englischer Dokumentation suchen musst oder deutschen Telefon-Support erreichst. Ein falscher Eintrag kann alle E-Mails blockieren — die Reaktionszeit bis zur Korrektur entscheidet dann über mehrere Stunden bis Tage Ausfall.

1. Fehler: Mehrere SPF-Einträge

Pro Domain darf es nur EINEN SPF-Eintrag geben. Wenn du Website-E-Mails über Google Workspace und Newsletter über das Tool versendest, müssen beide in EINEN Eintrag.

Falsch: Zwei separate TXT-Einträge mit v=spf1 ...

Richtig: Ein kombinierter Eintrag, z.B. v=spf1 include:<include-wert-deines-newsletter-tools> include:_spf.google.com ~all. Den konkreten Include-Wert findest du in den Sende-Einstellungen deines Newsletter-Tools — er ist pro Anbieter unterschiedlich und wird vom Anbieter dokumentiert. Nicht raten.

2. Fehler: DMARC zu schnell auf "reject"

Starte IMMER mit p=none. Beobachte die Berichte. Stelle sicher, dass alle legitimen Absender (Newsletter-Tool, Website-Formulare, CRM) korrekt authentifiziert sind. Erst dann verschärfen.

3. Fehler: DNS-Propagation nicht abwarten

DNS-Änderungen brauchen bis zu 48 Stunden. Teste nicht nach 5 Minuten und glaube, es funktioniert nicht.

4. Fehler: Subdomain-Authentifizierung vergessen

Wenn du E-Mails von newsletter@mail.deinedomain.de versendest, muss DKIM für mail.deinedomain.de konfiguriert sein – nicht nur für deinedomain.de.

Kurze Antwort: Deine Zustellrate sinkt. Schleichend, aber messbar.

Die konkreten Konsequenzen der drei großen Provider

Die Provider-Anforderungen haben wir oben bereits gesehen. Was hier zählt, ist der zeitliche Verlauf für einen nicht-konformen Absender:

Woche 1-2: Sinkende Inbox Placement. Keine offensichtlichen Fehler, aber E-Mails landen häufiger im Spam-Tab als vorher. Google Postmaster Tools zeigt die sinkende Domain-Reputation — wenn du sie überhaupt prüfst.

Woche 3-6: Temporäre Rejections. Einzelne Sendungen werden zurückgewiesen (5xx-Fehlercodes). Dein Newsletter-Tool zeigt gestiegene Bounce-Raten, die Ursache ist aber nicht das Empfänger-Postfach sondern die fehlende Authentifizierung.

Ab Woche 6: Permanente Rejections. Gmail, Yahoo und Outlook weisen systematisch ab. Seit November 2025 verschärft Google das Enforcement mit permanenten Rejections statt nur Spam-Filterung.

Und das Hinterhältige: Du merkst es nicht sofort. Deine Öffnungsrate sinkt langsam. Du denkst, der Content ist das Problem. Dabei ist es die Technik.

Ein Newsletter-Tool mit CSA-Zertifizierung und automatischer DKIM-Signierung nimmt dir zwei von drei Pflicht-Schritten ab — SPF und DMARC musst du trotzdem selbst im DNS deiner Domain setzen, aber mit Tool-Anleitung statt im Blindflug.

SPF, DKIM und DMARC sind globale Standards. Für den DACH-Markt kommt ein weiterer Faktor hinzu: die CSA-Zertifizierung (Certified Senders Alliance). Die CSA ist ein Zertifizierungs- und Whitelisting-Projekt, dessen Signale von teilnehmenden Mailbox-Providern genutzt werden können.

Das bedeutet: Selbst mit perfekter SPF/DKIM/DMARC-Konfiguration kann die Anbieter-Reputation den Unterschied machen. Die Authentifizierung ist die Pflicht; CSA ist ein zusätzliches Anbieter-Signal, das im DACH-Raum relevant sein kann.

Welche Newsletter-Tools CSA-zertifiziert sind, prüfst du am saubersten in der offiziellen CSA-Teilnehmerliste. Dort erscheinen unter anderem KlickTipp, CleverReach, Rapidmail, Sendinblue/Brevo und GetResponse. Mailchimp und ActiveCampaign waren am 11.05.2026 nicht als zertifizierte ESPs gelistet. Alle Details im CSA-Zertifizierung Guide.

Bevor du Änderungen vornimmst, solltest du wissen, wo du stehst. Diese drei Tools prüfen dein Setup kostenlos und ohne Anmeldung:

Vorgehen in 10 Minuten:

1. MXToolbox: Domain eingeben → "MX Lookup" → prüfe ob SPF und DMARC gesetzt sind
2. Mail-Tester.com: Generierte Adresse in dein Newsletter-Tool eintragen → Test-E-Mail senden → Score auswerten
3. Google Admin Toolbox: Domain eingeben → prüfe speziell DMARC-Policy und SPF-Syntax

Ein niedriger Score bei Mail-Tester deutet auf Konfigurations- oder Inhaltsprobleme hin. Vergleiche besonders den Zustand vor und nach DNS-Änderungen, statt dich auf eine einzelne Zahl ohne Kontext zu verlassen.