Anfragen

SPF, DKIM und DMARC – Sicherheit im Mail-Versand

Was du über E-Mail-Sicherheit und Absender-Vertrauen wissen musst

Warum sich E-Mails heute nicht mehr „einfach so“ versenden lassen

Vielleicht denkst du: „Ich will doch nur ein paar E-Mails verschicken – was soll jetzt die Aufregung?“

Aber genau hier beginnt ein riesiger, oft unterschätzter Teil moderner E-Mail-Kommunikation. Denn E-Mail-Systeme stehen unter Dauerbeschuss: Spam, Phishing, gefälschte Absenderadressen …

Und: Immer mehr Maildienste blockieren standardmäßig alles, was nicht verifiziert ist.

Wenn du also z. B. über deine Domain Mails verschickst – sei es über dein Kontaktformular, dein Newsletter-Tool, ein Webinar- oder Terminplanungs-Tool, ein Abrechnungssystem oder sogar deinen eigenen Mailserver – musst du nachweisen, dass du der echte Absender bist.

Genau dafür gibt es drei technische Helfer: SPF, DKIM und DMARC.

Was genau machen SPF, DKIM und DMARC?

Diese drei Protokolle arbeiten zusammen, um E-Mails zu authentifizieren und zu verhindern, dass andere in deinem Namen Mails versenden – ohne dein Wissen.

SPF: Legt fest, welche Mailserver E-Mails im Namen deiner Domain versenden dürfen.

DKIM: Signiert deine E-Mails digital, sodass der Empfänger sicher sein kann: Die Mail wurde nicht unterwegs manipuliert.

DMARC: Gibt an, wie der empfangende Server mit Mails umgehen soll, die SPF oder DKIM nicht bestehen – z. B. ablehnen oder als Spam markieren.

Zusammen sorgen sie für:

  • bessere Zustellbarkeit
  • Schutz deiner Marke
  • Transparenz über den Mailverkehr
  • Vermeidung von Phishing & Spoofing

SPF: Wer darf in deinem Namen senden?

SPF steht für Sender Policy Framework und ist die erste Schutzebene. Damit teilst du den Mailservern der Welt mit: „Diese Server dürfen für meine Domain E-Mails verschicken – alle anderen nicht.“

Beispiel für einen SPF-Eintrag:

v=spf1 include:_spf.strato.com ~all

Wichtig:

  • Nur ein SPF-Eintrag pro Domain erlaubt! Mehrere müssen technisch korrekt zusammengeführt werden.
  • Einträge wie mx, a, include, ip4 usw. geben an, welche Server erlaubt sind.
  • Das ~all oder -all am Ende gibt an, wie restriktiv du sein willst.

Typische Probleme:

  • Viele Website-Tools oder Newsletter-Systeme wollen ebenfalls über deine Domain versenden – z. B. WordPress-Formulare, Mailchimp, Zoom, Calendly etc.
  • Ohne SPF-Anpassung landen diese Mails nicht im Posteingang, sondern im Nirvana.

DKIM: Hat sich jemand in die Mail eingemischt?

DKIM steht für DomainKeys Identified Mail – hier wird’s kryptografisch.

Mit DKIM wird jede deiner E-Mails mit einer digitalen Signatur versehen, die im DNS deiner Domain hinterlegt ist. So kann der empfangende Mailserver prüfen: „Wurde die Nachricht unterwegs verändert? Oder kommt sie wirklich so vom Absender?“

Beispiel:

  • Du richtest ein Newsletter-Tool ein (z. B. Brevo oder Klick-Tipp).
  • Dieses Tool signiert deine Mails mit deinem privaten Schlüssel.
  • Der öffentliche Schlüssel liegt im DNS – dort wird überprüft, ob alles passt.

Ohne DKIM fehlt der „Verifizierungsstempel“. Gerade Gmail & Co. stufen solche Mails schnell als verdächtig ein.

DMARC: Was passiert mit nicht-authentifizierten Mails?

DMARC steht für Domain-based Message Authentication, Reporting and Conformance und ist die dritte und mächtigste Schutzebene.

DMARC sorgt dafür, dass du aktiv Regeln vorgibst, wie E-Mails behandelt werden sollen, wenn SPF oder DKIM nicht bestanden werden.

Und: Du bekommst Berichte darüber, was auf deinen Domains passiert.

Typischer DMARC-Eintrag:

v=DMARC1; p=none; rua=mailto:deinname@deinedomain.de

Die Policy-Optionen im Überblick:

  • p=none: Alles durchlassen, aber Berichte sammeln → ideal für den Start
  • p=quarantine: Verdächtige Mails in den Spamordner
  • p=reject: Nicht-authentifizierte Mails werden komplett blockiert

DMARC kann außerdem tägliche Reports senden:

  • rua: Aggregierte Berichte (für Überblick & Analyse)
  • ruf: Forensische Einzelberichte (bei Problemen & Fehlversuchen)

Beispiel:

Host: _dmarc.deinedomain.de  
Typ: TXT  
Value: v=DMARC1; p=none; rua=mailto:you@domain.de

Aber sei gewarnt: Das kann auch schnell nervig werden, wenn du jeden Tag diese Berichte empfängst. Es ist jedoch kein Problem, sie wieder abzustellen. Entferne dazu einfach den „rua“-Teil.

Wichtig zu wissen:

  • DMARC funktioniert nur, wenn SPF oder DKIM mindestens eins erfolgreich ist.
  • Für den Start reicht p=none, aber: Diese Einstellung ist keine Dauerlösung!
    → Ziel ist eine strenge Richtlinie wie quarantine oder reject, sobald alles sauber läuft.

Raucht dir schon dein Kopf? Kein Wunder! Solltest du dich damit selbst befassen? Besser nicht: Gib das lieber an Profis weiter.

Warum du das nicht selbst machen solltest

Die Einrichtung dieser Protokolle ist nichts, was man mal schnell im Backend klickt. Sie findet auf DNS-Ebene statt – das heißt: Serverzugang, technische Expertise und Fingerspitzengefühl.

Typische Stolpersteine:

  • Mehrere SPF-Einträge → Mails werden blockiert, weil der Empfänger nicht eindeutig erkennen kann, wer senden darf
  • Falscher oder fehlender DKIM-Schlüssel → Mails können nicht verifiziert werden und landen im Spam oder kommen gar nicht an
  • Fehlende Reports bei DMARC → du merkst nicht, wenn jemand deine Domain zum Mailversand missbraucht
  • Newsletter-Tools wie MailerLite, Brevo oder Mailchimp nutzen eigene Server → erfordern eine Sonderkonfiguration in deinem DNS, damit sie im Namen deiner Domain senden dürfen
  • Elementor-Formulare (Plugin) versenden Mails über den Webserver deines Hosters → ohne SMTP-Einrichtung und DNS-Anpassungen (SPF, DKIM, DMARC) sehr fehleranfällig
  • Einige Hoster (z. B. IONOS) setzen gar keine DMARC-Policies – andere (z. B. Strato) nur „reject“ → wenn deine DNS-Einträge nicht vorbereitet sind, kann das zur vollständigen Mail-Blockade führen

Warum es extra kompliziert ist, diese Einstellungen für Kontaktformulare richtig hinzubekommen, liest du hier: Kontaktformulare auf Websites: Hopp oder top?

Genau hier komme ich als Webdesignerin ins Spiel – und sorge dafür, dass alles stimmt.

Ich übernehme:

  • die Analyse deiner E-Mail-Systeme
  • die korrekte Erstellung der DNS-Einträge
  • das Zusammenspiel mit Formularen, Tools, Newsletter-Systemen
  • das Testing auf Zustellbarkeit
  • die Monitoring-Berichte
  • und die Absicherung gegen spätere Probleme

Fazit: Du brauchst diese Protokolle – und du brauchst sie richtig eingerichtet

Wenn du über deine Domain E-Mails versendest – egal ob per Kontaktformular, Kalender-Tool, Rechnungstool oder Newsletter – solltest du SPF, DKIM und DMARC eingerichtet haben.
Es geht nicht nur um bessere Zustellung, sondern um:

  • Sicherheit
  • Vertrauen
  • Kontrolle

Und am Ende schützt du nicht nur dein Business, sondern auch deine Kontakte – vor gefälschten Mails, vor Spam, vor Missbrauch deines guten Namens.

Interessiert an einer Zusammenarbeit?

Dann spring schnell rüber zum Anfrageformular und hinterlasse eine Nachricht! Natürlich ganz unverbindlich und ohne Verpflichtungen.

Zum Formular

Überredest du noch oder überzeugst du schon?

Wie du vom mühsamen Erklären zum mühelosen "Haben-wollen" kommst

Blog – ja oder nein? Eine Entscheidungshilfe

Ein Ratgeber für Selbstständige, die online sichtbar sein wollen

Checkliste: Ist ein Blog das Richtige für mich?

Warum Premium sich für dich langfristig auszahlt

Die Investition in einen strategischen Online-Auftritt ist eine Investition in deine Zukunft