Was diese Records tun
SPF (Sender Policy Framework) listet IPs, die für deine Domain senden dürfen. Ein TXT-Record auf deiner Root-Domain, der mit v=spf1 beginnt.
DKIM (DomainKeys Identified Mail) fügt jeder ausgehenden E-Mail eine kryptographische Signatur hinzu und beweist, dass die Nachricht nicht manipuliert wurde. TXT-Record unter {selector}._domainkey.deinedomain.de.
DMARC sagt empfangenden Servern, was bei SPF/DKIM-Fehlschlag zu tun ist — Quarantäne, Ablehnen oder nur Monitoring. TXT-Record unter _dmarc.deinedomain.de.
Warum alle drei zählen
- Gmail & Yahoo verlangen DKIM + SPF + DMARC für Bulk-Sender (5.000+/Tag) seit Feb. 2024
- Ohne Auth landen Nachrichten eher im Spam
- DMARC verhindert Spoofing — stoppt Betrüger, die deine Marke imitieren
- Alle drei zusammen geben dir Kontrolle über deine Sender-Reputation
Datenschutz
Dieses Tool nutzt Cloudflare DNS-over-HTTPS (cloudflare-dns.com) direkt aus deinem Browser. Die eingegebene Domain sieht nur Cloudflare — nichts berührt unsere Server.
Häufig gestellte Fragen
Brauche ich wirklich alle drei — SPF, DKIM und DMARC?
Für die Gmail/Yahoo-Bulk-Sender-Regeln seit 2024: ja. Auch für kleine Absender ist die Kombination entscheidend. SPF allein reicht nicht mehr — DKIM signiert deine Mails kryptografisch, und DMARC sagt dem Empfänger, wie er bei Fehlschlägen reagieren soll.
Was bedeutet DMARC p=none vs p=quarantine vs p=reject?
p=none — nur beobachten, keine Aktion. p=quarantine — Fehlschläge in den Spam-Ordner. p=reject — Fehlschläge komplett bouncen. Starte mit none, sammle Reports, gehe dann auf quarantine und später reject, wenn alle legitimen Mails durchkommen.
Warum schlägt DKIM fehl, obwohl ich es eingerichtet habe?
Häufige Ursachen: Der DNS-Record ist noch nicht vollständig propagiert, der Selector stimmt nicht mit dem deines Mailservers überein, oder der Key wurde beim DNS-Eintrag abgeschnitten (DKIM-Public-Keys sind lang und leicht falsch zu kopieren). Mit dig lässt sich der TXT-Record direkt prüfen.
