Anfragen

SPF, DKIM und DMARC – Sicherheit im Mail-Versand

Was du über E-Mail-Sicherheit und Absender-Vertrauen wissen musst
  • 28. Mai 2025
Inhalt

Warum sich E-Mails heute nicht mehr „einfach so“ versenden lassen

Vielleicht denkst du: „Ich will doch nur ein paar E-Mails verschicken – was soll jetzt die Aufregung?“

Aber genau hier beginnt ein riesiger, oft unterschätzter Teil moderner E-Mail-Kommunikation. Denn E-Mail-Systeme stehen unter Dauerbeschuss: Spam, Phishing, gefälschte Absenderadressen … Die kriminelle Energie in diesem Terrain ist ungebrochen und steigend. Mit der Folge, dass immer mehr Maildienste standardmäßig alles an Mails blockieren, was nicht verifiziert ist.

Wenn du also z. B. über deine Domain Mails verschickst – sei es über dein Kontaktformular, dein Newsletter-Tool, ein Webinar- oder Terminplanungs-Tool, ein Abrechnungssystem oder sogar deinen eigenen Mailserver – musst du nachweisen, dass du der echte Absender bist. Und nicht irgendein Spammer.

Genau dafür gibt es drei technische Helfer, die mit kryptischen Kürzeln daherkommen: SPF, DKIM und DMARC.

Was genau machen SPF, DKIM und DMARC?

Es handelt sich dabei um sog. „Protokolle“. Diese Protokolle arbeiten zusammen, um E-Mails zu authentifizieren und zu verhindern, dass andere in deinem Namen Mails versenden – ohne dein Wissen.

SPF: Legt fest, welche Mailserver E-Mails im Namen deiner Domain versenden dürfen.

DKIM: Signiert deine E-Mails digital, sodass der Empfänger sicher sein kann: Die Mail wurde nicht unterwegs manipuliert.

DMARC: Gibt an, wie der empfangende Server mit Mails umgehen soll, die SPF oder DKIM nicht bestehen – z. B. ablehnen oder als Spam markieren.

Zusammen sorgen sie für:

  • bessere Zustellbarkeit
  • Schutz deiner Marke
  • Transparenz über den Mailverkehr
  • Vermeidung von Phishing & Spoofing

Im Detail sieht das wie folgt aus.

SPF: Wer darf in deinem Namen senden?

SPF steht für Sender Policy Framework und ist die erste Schutzebene. Damit teilst du den Mailservern der Welt mit: „Diese Server dürfen für meine Domain E-Mails verschicken – alle anderen nicht.“

Beispiel für einen SPF-Eintrag:

v=spf1 include:_spf.strato.com ~all

Wichtig:

  • Nur ein SPF-Eintrag pro Domain erlaubt! Mehrere müssen technisch korrekt zusammengeführt werden.
  • Einträge wie mx, a, include, ip4 usw. geben an, welche Server erlaubt sind.
  • Das ~all oder -all am Ende gibt an, wie restriktiv du sein willst.

Typische Probleme:

  • Viele Website-Tools oder Newsletter-Systeme wollen ebenfalls über deine Domain versenden – z. B. WordPress-Formulare, Mailchimp, Zoom, Calendly etc.
  • Ohne SPF-Anpassung landen diese Mails nicht im Posteingang, sondern im Nirvana.

DKIM: Hat sich jemand in die Mail eingemischt?

DKIM steht für DomainKeys Identified Mail – hier wird’s kryptografisch.

Mit DKIM wird jede deiner E-Mails mit einer digitalen Signatur versehen, die im DNS deiner Domain hinterlegt ist. So kann der empfangende Mailserver prüfen: „Wurde die Nachricht unterwegs verändert? Oder kommt sie wirklich so vom Absender?“

Beispiel:

  • Du richtest ein Newsletter-Tool ein (z. B. Brevo oder Klick-Tipp).
  • Dieses Tool signiert deine Mails mit deinem privaten Schlüssel.
  • Der öffentliche Schlüssel liegt im DNS – dort wird überprüft, ob alles passt.

Ohne DKIM fehlt der „Verifizierungsstempel“. Gerade Gmail & Co. stufen solche Mails schnell als verdächtig ein.

DMARC: Was passiert mit nicht-authentifizierten Mails?

DMARC steht für Domain-based Message Authentication, Reporting and Conformance und ist die dritte und mächtigste Schutzebene.

DMARC sorgt dafür, dass du aktiv Regeln vorgibst, wie E-Mails behandelt werden sollen, wenn SPF oder DKIM nicht bestanden werden.

Und: Du bekommst Berichte darüber, was auf deinen Domains passiert.

Typischer DMARC-Eintrag:

v=DMARC1; p=none; rua=mailto:deinname@deinedomain.de

Die Policy-Optionen im Überblick:

  • p=none: Alles durchlassen, aber Berichte sammeln → ideal für den Start
  • p=quarantine: Verdächtige Mails in den Spamordner
  • p=reject: Nicht-authentifizierte Mails werden komplett blockiert

DMARC kann außerdem tägliche Reports senden:

  • rua: Aggregierte Berichte (für Überblick & Analyse)
  • ruf: Forensische Einzelberichte (bei Problemen & Fehlversuchen)

Beispiel:

Host: _dmarc.deinedomain.de  
Typ: TXT  
Value: v=DMARC1; p=none; rua=mailto:you@domain.de

Aber sei gewarnt: Das kann auch schnell nervig werden, wenn du jeden Tag diese Berichte empfängst. Es ist jedoch kein Problem, sie wieder abzustellen. Entferne dazu einfach den „rua“-Teil.

Wichtig zu wissen:

  • DMARC funktioniert nur, wenn SPF oder DKIM mindestens eins erfolgreich ist.
  • Für den Start reicht p=none, aber: Diese Einstellung ist keine Dauerlösung!
    → Ziel ist eine strenge Richtlinie wie quarantine oder reject, sobald alles sauber läuft.

Raucht dir schon dein Kopf? Kein Wunder! Solltest du dich damit selbst befassen? Besser nicht: Gib das lieber an Profis weiter.

Warum du das nicht selbst machen solltest

Die Einrichtung dieser Protokolle ist nichts, was man mal schnell im Backend klickt. Sie findet auf DNS-Ebene statt – das heißt: Serverzugang, technische Expertise und Fingerspitzengefühl.

Typische Stolpersteine:

  • Mehrere SPF-Einträge → Mails werden blockiert, weil der Empfänger nicht eindeutig erkennen kann, wer senden darf
  • Falscher oder fehlender DKIM-Schlüssel → Mails können nicht verifiziert werden und landen im Spam oder kommen gar nicht an
  • Fehlende Reports bei DMARC → du merkst nicht, wenn jemand deine Domain zum Mailversand missbraucht
  • Newsletter-Tools wie MailerLite, Brevo oder Mailchimp nutzen eigene Server → erfordern eine Sonderkonfiguration in deinem DNS, damit sie im Namen deiner Domain senden dürfen
  • Elementor-Formulare (Plugin) versenden Mails über den Webserver deines Hosters → ohne SMTP-Einrichtung und DNS-Anpassungen (SPF, DKIM, DMARC) sehr fehleranfällig
  • Einige Hoster (z. B. IONOS) setzen gar keine DMARC-Policies – andere (z. B. Strato) nur „reject“ → wenn deine DNS-Einträge nicht vorbereitet sind, kann das zur vollständigen Mail-Blockade führen

Warum es extra kompliziert ist, diese Einstellungen für Kontaktformulare richtig hinzubekommen, liest du hier:
Kontaktformulare auf Websites: Hopp oder top?

Genau hier komme ich als Webdesignerin ins Spiel – und sorge dafür, dass alles stimmt.

Ich übernehme:

  • die Analyse deiner E-Mail-Systeme
  • die korrekte Erstellung der DNS-Einträge
  • das Zusammenspiel mit Formularen, Tools, Newsletter-Systemen
  • das Testing auf Zustellbarkeit
  • die Monitoring-Berichte
  • und die Absicherung gegen spätere Probleme

Fazit: Du brauchst diese Protokolle – und du brauchst sie richtig eingerichtet

Wenn du über deine Domain E-Mails versendest – egal ob per Kontaktformular, Kalender-Tool, Rechnungstool oder Newsletter – solltest du SPF, DKIM und DMARC eingerichtet haben. Es geht nicht nur um bessere Zustellung, sondern um Sicherheit, Vertrauen und Kontrolle.

Und am Ende schützt du nicht nur dein Business, sondern auch deine Kontakte – vor gefälschten Mails, vor Spam, vor Missbrauch deines guten Namens.

Interessiert an einer Zusammenarbeit?

Ich freue mich auf deine Nachricht!

Zum Formular

Noch mehr aus dem Bereich?

E-Mail-Hosting: Mache dies, bevor dein Postfach platzt

Und warum du dir am besten schon vorab Gedanken darüber machen solltest

Schritt-für-Schritt-Anleitung zum Start deiner Online-Präsenz

Bevor es an das Design geht, müssen die technischen Grundlagen geschaffen werden

So findest du die richtige Domain für deine Website

Die strategische Wahl deiner Domain kann ausschlaggebend für deinen Erfolg sein

Domain + Hosting: Deine Website braucht mehr als nur eine Adresse

Und wie du die richtigen Grundlagen dafür schaffst