Emails landen im Spam? So richten Sie SPF, DKIM und DMARC richtig ein

Kurzfassung

Wenn Ihre E-Mails im Spam-Ordner des Empfängers landen, liegt das mit hoher Wahrscheinlichkeit an fehlender oder fehlerhafter E-Mail-Authentifizierung. Sie benötigen drei DNS-TXT-Einträge: SPF (welche Server für Ihre Domain senden dürfen), DKIM (eine kryptographische Signatur, die Manipulation ausschließt) und DMARC (eine Richtlinie, die Empfänger-Servern vorgibt, wie mit fehlgeschlagenen Prüfungen umzugehen ist). Diese Anleitung führt Sie Schritt für Schritt durch die Einrichtung aller drei Mechanismen mit konkreten DNS-Einträgen und Befehlen.

Voraussetzungen

• Zugang zur DNS-Verwaltung Ihrer Domain (z. B. Cloudflare, Route 53, Registrar-Panel)
• Wissen darüber, welche Dienste E-Mails im Namen Ihrer Domain versenden (Google Workspace, Microsoft 365, eigener Mailserver, Transaktionsdienste wie Mailchimp oder SendGrid)
• Ein Terminal mit dig oder nslookup
• Administratorzugang zu Ihrem Mailserver bzw. zur Verwaltungskonsole Ihres E-Mail-Anbieters

Warum E-Mails im Spam landen

Moderne E-Mail-Empfänger (Gmail, Outlook, Yahoo usw.) arbeiten nach einem Vertrauensmodell. Wenn eine E-Mail eintrifft, die vorgibt, von sie@ihredomain.com zu stammen, stellt der empfangende Server drei Fragen:

1. Darf dieser Server für diese Domain senden? (SPF)
2. Ist die Nachricht kryptographisch von dieser Domain signiert? (DKIM)
3. Was möchte der Domain-Inhaber, wenn die Prüfungen fehlschlagen? (DMARC)

Ohne Authentifizierungseinträge gibt es keine Möglichkeit, Ihre legitimen E-Mails von gefälschten Nachrichten zu unterscheiden. Empfangende Server stufen Ihre Nachrichten als nicht vertrauenswürdig ein — sie landen im Spam oder werden direkt abgelehnt.

SPF — Sender Policy Framework

Was SPF bewirkt

SPF ist ein DNS-TXT-Eintrag auf Ihrer Domain, der alle IP-Adressen und Mailserver auflistet, die berechtigt sind, E-Mails in Ihrem Namen zu versenden. Der empfangende Server gleicht die IP des sendenden Servers mit Ihrem SPF-Eintrag ab.

SPF-Eintrag erstellen

Ein SPF-Eintrag ist ein einzelner TXT-Eintrag auf Ihrer Root-Domain (@ bzw. ihredomain.com). Praxisbeispiele:

Nur Google Workspace:

v=spf1 include:_spf.google.com ~all

Nur Microsoft 365:

v=spf1 include:spf.protection.outlook.com ~all

Google Workspace + SendGrid + dedizierter Server:

v=spf1 include:_spf.google.com include:sendgrid.net ip4:203.0.113.50 ~all

Syntax im Überblick:

• v=spf1 — Versionskennung, muss am Anfang stehen (Pflicht)
• include:domain — autorisiert den SPF-Eintrag einer anderen Domain
• ip4:x.x.x.x — autorisiert eine bestimmte IPv4-Adresse
• ip6:xxxx::xxxx — autorisiert eine bestimmte IPv6-Adresse
• a — autorisiert die IP(s) aus dem A-Record Ihrer Domain
• mx — autorisiert die IP(s) Ihrer MX-Server
• ~all — Softfail für alles andere (empfohlener Einstieg)
• -all — Hardfail für alles andere (strenger, erst nach Validierung verwenden)

Häufige SPF-Fehler

Mehrere SPF-Einträge: Pro Domain darf es nur einen SPF-TXT-Eintrag geben. Zwei Einträge verursachen einen permanenten Fehler (permerror), und SPF schlägt komplett fehl. Zusammenführen ist Pflicht.

# FALSCH — zwei separate TXT-Einträge:
v=spf1 include:_spf.google.com ~all
v=spf1 include:sendgrid.net ~all

# RICHTIG — ein kombinierter Eintrag:
v=spf1 include:_spf.google.com include:sendgrid.net ~all

Zu viele DNS-Lookups: SPF erlaubt maximal 10 DNS-Lookups (jedes include:, a, mx, redirect und exists zählt als ein Lookup). Verschachtelte Includes zählen ebenfalls. Überschreitung führt zu permerror.

# Lookup-Kette prüfen:
dig +short TXT _spf.google.com
# Jede dort enthaltene Domain zählt zu Ihren 10 Lookups

Nutzen Sie kitterman.com/spf/validate.html zur Überprüfung. Bei Überschreitung: SPF-Flattening-Dienst einsetzen oder include: durch explizite ip4:-Einträge ersetzen.

SPF-Eintrag prüfen

dig TXT ihredomain.com +short | grep spf

DKIM — DomainKeys Identified Mail

Was DKIM bewirkt

DKIM fügt jeder ausgehenden E-Mail eine kryptographische Signatur hinzu. Der empfangende Server ruft Ihren öffentlichen Schlüssel aus dem DNS ab und verifiziert die Signatur. Damit ist nachgewiesen, dass die E-Mail tatsächlich von einem autorisierten System stammt und unterwegs nicht verändert wurde.

DKIM-DNS-Eintragsformat

DKIM-Einträge sind TXT-Records unter selektor._domainkey.ihredomain.com. Der Selektor ist eine Bezeichnung, die Sie oder Ihr Anbieter festlegen.

# Beispiel DKIM-Eintrag:
# Host: google._domainkey.ihredomain.com
# Typ: TXT
# Wert:
v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA2K4P...langer-Base64-String...

DKIM in Google Workspace aktivieren

1. Öffnen Sie die Google Admin-Konsole → Apps → Google Workspace → Gmail → E-Mail authentifizieren
2. Wählen Sie Ihre Domain und klicken Sie auf Neuen Eintrag generieren
3. Schlüssellänge wählen (2048 Bit empfohlen)
4. Google zeigt Ihnen den TXT-Eintragswert mit Selektor google
5. Tragen Sie den TXT-Record in Ihrem DNS ein: google._domainkey.ihredomain.com
6. DNS-Propagierung abwarten (bis 48 Std., meist wenige Minuten)
7. Zurück in der Admin-Konsole auf Authentifizierung starten klicken

DKIM in Microsoft 365 aktivieren

1. Navigieren Sie zu Microsoft 365 Defender → E-Mail & Zusammenarbeit → Richtlinien → DKIM
2. Wählen Sie Ihre Domain
3. Microsoft liefert zwei CNAME-Einträge:

# CNAME-Eintrag 1:
Host: selector1._domainkey.ihredomain.com
Ziel: selector1-ihredomain-com._domainkey.ihrtenant.onmicrosoft.com

# CNAME-Eintrag 2:
Host: selector2._domainkey.ihredomain.com
Ziel: selector2-ihredomain-com._domainkey.ihrtenant.onmicrosoft.com

3. Nach der DNS-Propagierung DKIM-Signierung im Portal auf Aktiviert stellen

DKIM auf eigenem Mailserver einrichten (OpenDKIM)

# OpenDKIM installieren
sudo apt install opendkim opendkim-tools

# Schlüsselpaar generieren
sudo opendkim-genkey -s mail -d ihredomain.com -b 2048

# Erzeugt mail.private (privater Schlüssel) und mail.txt (DNS-Eintrag)
cat mail.txt
# Inhalt als TXT-Record unter mail._domainkey.ihredomain.com eintragen

# /etc/opendkim.conf konfigurieren
Selector    mail
Domain      ihredomain.com
KeyFile     /etc/opendkim/keys/ihredomain.com/mail.private

# Dienst neu starten und mit Postfix verbinden
sudo systemctl restart opendkim
# In /etc/postfix/main.cf hinzufügen:
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

DKIM-Eintrag prüfen

# 'google' durch Ihren Selektor ersetzen
dig TXT google._domainkey.ihredomain.com +short

Häufige DKIM-Fehler

• Falscher Selektor: Wenn Sie den falschen Selektor-Namen abfragen, schlägt der Lookup fehl. Prüfen Sie die E-Mail-Header (DKIM-Signature: s=selektor), um den korrekten Selektor zu ermitteln.
• Eintrag zu lang: DNS-TXT-Records haben ein Limit von 255 Zeichen pro String. Lange DKIM-Schlüssel müssen in mehrere Strings aufgeteilt werden. Die meisten DNS-Anbieter erledigen das automatisch — bei manueller Eingabe auf korrekte Aufteilung achten.
• Signierung nicht aktiviert: Den DNS-Eintrag anzulegen reicht nicht — die DKIM-Signierung muss zusätzlich im Admin-Panel des E-Mail-Anbieters eingeschaltet werden.

DMARC — Domain-based Message Authentication

Was DMARC bewirkt

DMARC verbindet SPF und DKIM zu einem Gesamtkonzept. Es weist empfangende Server an: (a) prüfe, ob SPF oder DKIM bestanden wird und zur Absender-Domain passt (Alignment), und (b) hier ist die Vorgabe, was bei Fehlschlag passieren soll (nichts, Quarantäne oder Ablehnung). Zudem ermöglicht DMARC Berichterstattung, sodass Sie sehen, wer E-Mails als Ihre Domain versendet.

DMARC-Eintrag erstellen

DMARC ist ein TXT-Eintrag unter _dmarc.ihredomain.com.

Phase 1 — Monitoring (hier starten):

v=DMARC1; p=none; rua=mailto:dmarc-reports@ihredomain.com; ruf=mailto:dmarc-forensic@ihredomain.com; fo=1;

Empfangende Server senden Ihnen Berichte, ohne die Zustellung zu beeinflussen. 2–4 Wochen beobachten.

Phase 2 — Quarantäne:

v=DMARC1; p=quarantine; pct=25; rua=mailto:dmarc-reports@ihredomain.com;

25 % der fehlgeschlagenen E-Mails werden in Quarantäne verschoben. pct schrittweise auf 100 erhöhen.

Phase 3 — Ablehnung:

v=DMARC1; p=reject; rua=mailto:dmarc-reports@ihredomain.com; adkim=s; aspf=s;

Der Goldstandard. adkim=s und aspf=s erzwingen striktes Alignment — die Domain im From-Header muss exakt mit den SPF-/DKIM-Domains übereinstimmen.

DMARC-Tags im Überblick

• v=DMARC1 — Version (Pflicht)
• p=none|quarantine|reject — Richtlinie (Pflicht)
• rua=mailto:... — Ziel für Aggregatberichte
• ruf=mailto:... — Ziel für forensische Berichte
• pct=0-100 — Prozentsatz der E-Mails, auf die die Richtlinie angewendet wird (Standard: 100)
• adkim=r|s — DKIM-Alignment: relaxed (Standard) oder strict
• aspf=r|s — SPF-Alignment: relaxed (Standard) oder strict
• fo=0|1|d|s — Optionen für Fehlerberichte (1 = Bericht bei jedem Fehlschlag)
• sp=none|quarantine|reject — Richtlinie für Subdomains

DMARC-Berichte auswerten

Aggregatberichte sind XML-Dateien, die täglich von empfangenden Mailservern zugestellt werden. Sie sind nicht für menschliche Augen gemacht. Nutzen Sie einen Dienst zur Aufbereitung:

• Postmark DMARC Tool (kostenlose Wochen-Zusammenfassungen)
• DMARC Analyzer
• Report URI

Achten Sie auf: unbekannte Quellen, die als Ihre Domain senden, SPF-/DKIM-Fehlerquoten und Alignment-Probleme.

DMARC-Eintrag prüfen

dig TXT _dmarc.ihredomain.com +short

Konfiguration testen

Prüfung per Kommandozeile

# Alle drei Einträge auf einmal prüfen:
dig TXT ihredomain.com +short                      # SPF
dig TXT google._domainkey.ihredomain.com +short     # DKIM
dig TXT _dmarc.ihredomain.com +short                # DMARC

# MX zur Sicherheit auch prüfen:
dig MX ihredomain.com +short

Online-Werkzeuge

• mail-tester.com — E-Mail an die generierte Adresse senden, Bewertung von 1–10 mit detaillierter Aufschlüsselung erhalten. Ziel: 9+.
• MXToolbox — Domain eingeben, SPF-/DKIM-/DMARC-Checks und Blacklist-Abfragen durchführen.
• dmarcian.com — DMARC-Eintrags-Inspektor und Richtlinien-Analyse.
• Google Admin Toolbox Check MX — toolbox.googleapps.com/apps/checkmx/

E-Mail-Header prüfen

Senden Sie eine Test-E-Mail an ein Gmail-Konto, öffnen Sie sie, klicken Sie auf die drei Punkte und dann auf "Original anzeigen". Achten Sie auf:

SPF:   PASS with IP 203.0.113.50
DKIM:  PASS with domain ihredomain.com
DMARC: PASS

Alle drei sollten PASS anzeigen.

Google- & Yahoo-Anforderungen 2024

Seit Februar 2024 gelten bei Google und Yahoo strengere Regeln für Massenversender (ab 5.000 Nachrichten/Tag an deren Nutzer):

• SPF und DKIM sind Pflicht für alle Absender
• DMARC mit mindestens p=none ist für Massenversender erforderlich
• Ein-Klick-Abmeldung (List-Unsubscribe-Header) bei Marketing-/Werbe-E-Mails
• Spam-Beschwerdequote unter 0,3 % (überwachbar über Google Postmaster Tools)
• Gültiges Forward- und Reverse-DNS für sendende IPs
• TLS-Verschlüsselung für SMTP-Übertragung

Auch wenn Sie weniger als 5.000 E-Mails pro Tag versenden: Die Einrichtung aller drei Protokolle gilt mittlerweile als Mindeststandard. Domains ohne DMARC werden zunehmend Zustellbarkeitsprobleme bei allen großen Anbietern bekommen.

Fehlerbehebung

SPF schlägt fehl trotz korrektem Eintrag

• Auf mehrere SPF-Einträge prüfen: dig TXT ihredomain.com +short | grep spf — es darf genau einer sein.
• DNS-Lookups zählen. Jedes include:, a, mx und redirect zählt. Verschachtelte Includes ebenfalls.
• Sendende IP prüfen: In den E-Mail-Headern die Absender-IP ermitteln und durch die SPF-Includes nachverfolgen.

DKIM schlägt fehl

• Selektor überprüfen: Den s=-Wert im DKIM-Signature-Header einer gesendeten E-Mail kontrollieren.
• Sicherstellen, dass der DNS-Eintrag am korrekten Hostnamen liegt: selektor._domainkey.ihredomain.com
• Auf abgeschnittene Schlüssel prüfen. Manche DNS-Panels kürzen lange TXT-Werte stillschweigend. Mit dig den vollständigen Schlüssel verifizieren.
• Bei CNAME-basiertem DKIM (Microsoft 365): sicherstellen, dass das CNAME-Ziel korrekt auflöst.

DMARC-Berichte zeigen Fehler von legitimen Quellen

• Ein Drittanbieter-Dienst (CRM, Helpdesk, Newsletter-Tool) versendet als Ihre Domain, ist aber nicht in Ihrem SPF-Eintrag enthalten oder signiert nicht mit Ihrem DKIM-Schlüssel.
• Lösung: Den Dienst in die SPF-include:-Liste aufnehmen und die DKIM-Signierung über das Dashboard des Dienstes konfigurieren.

E-Mails landen trotz bestandener Prüfungen weiterhin im Spam

Authentifizierung ist notwendig, aber nicht hinreichend. Zusätzlich prüfen:

• IP-/Domain-Reputation (Blacklists bei MXToolbox Blacklists abfragen)
• Inhaltsqualität (Spam-typische Formulierungen, bildlastige E-Mails, verdächtige Links)
• Sendevolumen und -muster (plötzliche Spitzen lösen Filter aus)
• Fehlender List-Unsubscribe-Header bei Marketing-E-Mails

Vorbeugung & Wartung

Monitoring von Anfang an einrichten

• Immer rua= im DMARC-Eintrag angeben, damit Sie Berichte erhalten
• Einen DMARC-Berichts-Dienst nutzen — XML-Berichte nicht ungelesen im Postfach ansammeln lassen
• Bei Google Postmaster Tools registrieren für Spam-Raten und Reputationsdaten

Absenderverzeichnis führen

Pflegen Sie eine dokumentierte Liste aller Dienste, die E-Mails als Ihre Domain versenden. Beim Onboarding eines neuen SaaS-Tools sofort den SPF-Eintrag erweitern und DKIM konfigurieren. Häufig vergessene Dienste:

• CRM-Systeme (HubSpot, Salesforce)
• Helpdesk-Tools (Zendesk, Freshdesk)
• Transaktions-E-Mail-Dienste (SendGrid, Mailgun, Amazon SES)
• Marketing-Plattformen (Mailchimp, ActiveCampaign)
• Rechnungs- und Buchhaltungssoftware

DMARC schrittweise verschärfen

Niemals direkt mit p=reject starten. Dem Phasenmodell folgen: p=none → Berichte auswerten → p=quarantine mit pct=25 → Prozentsatz schrittweise erhöhen → p=reject. Dieser Prozess sollte mindestens 4–8 Wochen dauern.

Regelmäßige Audits

Vierteljährliche Prüfungen einplanen:

# Schneller Gesundheitscheck:
echo "=== SPF ==="
dig TXT ihredomain.com +short | grep spf
echo "=== DKIM ==="
dig TXT google._domainkey.ihredomain.com +short
echo "=== DMARC ==="
dig TXT _dmarc.ihredomain.com +short
echo "=== MX ==="
dig MX ihredomain.com +short

Subdomain-Richtlinie

Subdomains nicht vergessen. Angreifer fälschen häufig Subdomains (rechnung.ihredomain.com), die keinen eigenen DMARC-Eintrag haben. Nutzen Sie das sp=reject-Tag in Ihrem Root-DMARC-Eintrag oder veröffentlichen Sie individuelle DMARC-Einträge für kritische Subdomains.