🔧 Mehr kostenlose Tools: MX-Checker·SPF/DKIM/DMARC·Bounce-Rate·Wegwerf-Mail

SPF, DKIM & DMARC einrichten

Schütze deine Domain vor Spoofing und behebe Zustellprobleme durch korrektes Setup aller drei Auth-Records.

Mailchimp E-Mail Marketing

Was jeder Record tut

E-Mail-Authentifizierung besteht aus drei DNS-Records, die zusammen beweisen, dass Nachrichten deiner Domain echt sind:

  • SPF (Sender Policy Framework) — listet IPs, die für deine Domain senden dürfen
  • DKIM (DomainKeys Identified Mail) — signiert jede Nachricht kryptographisch
  • DMARC — sagt Empfängern, was bei SPF/DKIM-Fehlschlag zu tun ist

Seit Feb. 2024 verlangen Gmail und Yahoo alle drei für Bulk-Versender (5.000+/Tag). Ohne sie landen E-Mails im Spam — oder werden gar nicht angenommen.

Schritt 1: SPF einrichten

SPF ist ein einzelner TXT-Record auf deiner Root-Domain. Der Wert beginnt mit v=spf1, gefolgt von Mechanismen, die erlaubte Sender auflisten, und endet mit einer all-Regel.

Beispiel für Google Workspace:

v=spf1 include:_spf.google.com -all

Beispiel für Google Workspace + Mailchimp:

v=spf1 include:_spf.google.com include:servers.mcsv.net -all

Tags erklärt:

  • include: — delegiert Autorisierung an SPF einer anderen Domain
  • ip4: / ip6: — konkrete IPs
  • a, mx — A- oder MX-Records der Domain
  • -all — andere ablehnen (strikt). ~all — Softfail (zum Monitoring)
Achtung: Nur ein SPF-Record pro Domain. Mehrere SPF-Records = kaputter SPF. Kombiniere alle Sender in einem Record.
Checkdomain Domain-Hosting

Schritt 2: DKIM einrichten

DKIM erfordert, dass dein Mail-Provider ein Schlüsselpaar generiert. Du veröffentlichst den öffentlichen Schlüssel als DNS-TXT-Record; der Provider signiert ausgehende Mails mit dem privaten Schlüssel.

Der Record liegt unter: {selector}._domainkey.deinedomain.de

Den "Selector" vergibt dein Provider — google für Google Workspace, selector1 und selector2 für Microsoft 365, k1 für Mailchimp usw.

Beispiel für Mailchimp: Record unter k1._domainkey.deinedomain.de:

v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQD...

Das Admin-Panel deines Mail-Providers nennt dir den genauen Selector und Schlüssel. Die meisten Provider bieten einen One-Click-"DKIM-Setup"-Assistenten.

Schritt 3: DMARC einrichten

DMARC ist ein TXT-Record unter _dmarc.deinedomain.de. Er sagt empfangenden Servern, was bei SPF/DKIM-Fehlschlag zu tun ist und wohin Reports gehen.

Empfohlene Startpolicy (nur Monitoring):

v=DMARC1; p=none; rua=mailto:dmarc@deinedomain.de; fo=1

Lass das mindestens 2 Wochen laufen. Prüfe die rua-Reports (tägliche XML-Dateien per Mail), um fehlkonfigurierte Sender zu finden.

Sobald die Reports sauber aussehen, auf Quarantäne verschärfen:

v=DMARC1; p=quarantine; rua=mailto:dmarc@deinedomain.de; pct=100

Maximaler Schutz (nach 1-2 Monaten):

v=DMARC1; p=reject; rua=mailto:dmarc@deinedomain.de; pct=100
Rapidmail E-Mail-Marketing

Schritt 4: Alles testen

Nach Veröffentlichung prüfen mit unserem kostenlosen SPF/DKIM/DMARC-Checker. Oder manuell:

# SPF prüfen
dig TXT deinedomain.de +short

# DMARC prüfen
dig TXT _dmarc.deinedomain.de +short

# DKIM prüfen (Selector nötig)
dig TXT selector._domainkey.deinedomain.de +short

Test-Mail an check-auth@verifier.port25.com schicken. Die Antwort enthält einen vollen Auth-Report — SPF, DKIM, DMARC plus Extras wie Reverse-DNS.

Häufige Setup-Fehler

  • Zwei SPF-Records — müssen zu einem kombiniert werden
  • +all verwenden — erlaubt jedem, dich zu spoofen. Niemals!
  • include: für transaktionale Sender vergessen (SendGrid, Amazon SES, Mailgun)
  • DMARC ohne aligned SPF oder DKIM — DMARC verlangt, dass mindestens einer mit der From-Domain übereinstimmt
  • Direkt auf p=reject springen — immer mit p=none starten, um Probleme zu erkennen
  • Newsletter auf Subdomain ohne eigenes DMARC — das sp=-Tag steuert Subdomain-Policy

Kurzreferenz

Zielzustand:
  • SPF mit -all, deckt jeden legitimen Sender ab
  • DKIM-Selectors für jeden Mail-Provider veröffentlicht
  • DMARC auf p=quarantine (Minimum) oder p=reject
  • DMARC-Reports (rua) gehen an eine Inbox, die du tatsächlich liest

Weiterführende Artikel

DD
Über den Autor

Daniel Dorfer war fast vier Jahre im technischen Support bei GMX, einem der größten deutschen E-Mail-Anbieter, und knapp zwei Jahre bei united domains, einem führenden Domain-Hoster und Registrar. Er ist Gründungsmitglied des KIBC (KI Business Club). Diese Website wurde vollständig mit Hilfe von Claude Code (Opus 4.6) von Anthropic erstellt.

Checkdomain Domain-Hosting
Daniel Dorfer · Von-Ketteler-Ring 8 · 83646 Bad Tölz · Germany · email-extractor@gmx.com