DMARC-Fehlschlag: Vollständige Anleitung zur Fehlerbehebung für B2B-Kalt-E-Mails (2025)

Wenn Sie schon einmal mit DMARC-Fehlern zu tun hatten, kennen Sie die Symptome: E-Mails landen im Spam, die Antwortraten sinken und die Reichweite wird zum denkbar ungünstigsten Zeitpunkt gedrosselt.

Und Sie haben wahrscheinlich schon den üblichen Ratschlag gehört: 

• SPF prüfen
• DKIM abgleichen
• Einrichten einer DMARC-Richtlinie

Das funktioniert in einfachen Fällen. 

Für B2C-Versender oder Transaktions-E-Mails mag das sogar ausreichen. Aber B2B-Kaltakquise funktioniert anders. Sie versenden oft von mehreren Domains aus, verwenden verschiedene Tools und verlassen sich auf Konfigurationen, die sich mit jeder Kampagne ändern. In dieser Umgebung reichen oberflächliche Korrekturen nicht aus.

Das Problem besteht in der Regel darin, dass die Einstellungen der verschiedenen Systeme nicht aufeinander abgestimmt sind. Die Authentifizierung wird irgendwo in der Kette unterbrochen, und man merkt es erst, wenn die Zustellbarkeit sinkt.

Dieser Leitfaden geht direkt auf die wahren Ursachen für DMARC-Fehler in Cold Outreach-Konfigurationen ein und zeigt auf, was zu tun ist, wenn Standardratschläge nicht ausreichen.

Zunächst müssen wir verstehen, was diese Fehler überhaupt verursacht.

Warum DMARC bei der B2B-Kaltakquise versagt

Die häufigsten Fehlermuster, die wir bei Wachstumsteams, Agenturen und Outbound-Ops beobachten, sind:

Nicht abgestimmte Domänen in verschiedenen Kampagnen

Viele B2B-Teams verwenden Subdomains, um den ausgehenden Verkehr zu trennen. So kann Ihr Marketingteam beispielsweise Newsletter von brand.com versenden, während Ihre SDRs sales.brand.com oder sogar brandhq.io verwenden. Wenn diese nicht ordnungsgemäß mit einheitlichen SPF-, DKIM- und DMARC-Datensätzen authentifiziert sind, schlägt der Abgleich fehl.

Selbst kleine Unterschiede wie das Fehlen eines p=-Tags in einem DNS-Eintrag können die E-Mail-Zustellung ohne Vorwarnung blockieren.

Cold-E-Mail-Tools mit unvollständiger Authentifizierungseinrichtung

Viele Plattformen für die Kaltakquise versprechen integrierte Zustellbarkeit und Automatisierung. Aber die meisten führen Sie nicht durch eine vollständige DNS-Einrichtung. Sie gehen oft davon aus, dass SPF und DKIM "automatisch konfiguriert" sind, während Ihre Einträge in Wirklichkeit unvollständig oder falsch ausgerichtet sind. Sie denken, dass alles funktioniert, und müssen dann feststellen, dass Ihre E-Mails aufgrund von DMARC nicht zugestellt werden können.

Dies wird noch schlimmer, wenn Sie mehrere Tools für verschiedene Kampagnen oder Regionen verwenden. Eine einzige falsch konfigurierte Plattform kann den Ruf Ihrer gesamten Domain gefährden.

Unstimmigkeiten bei der Absenderadresse führen zu Ausrichtungsfehlern

Selbst wenn Ihre Domänen übereinstimmen, können Inkonsistenzen in den Absenderadressen, wie z. B. der Wechsel zwischen hello@brand.com, outreach@brandhq.io und reply@brand.co, zu Problemen bei der Authentifizierung führen. DMARC überprüft die Übereinstimmung zwischen dem, was für den Empfänger sichtbar ist, und dem, was in den E-Mail-Kopfzeilen steht.

Dies ist eine der häufigsten Ursachen für DNS-Authentifizierungsfehler bei DMARC-Kampagnen in der realen Welt.

DNS-Änderungen oder Toolwechsel, die Datensätze zerstören

Der Wechsel von E-Mail-Tools, das Hinzufügen neuer Domänen oder die Migration von DNS-Anbietern ist riskant. Es kann Stunden dauern, bis sich Änderungen ausbreiten, und unvollständige Einstellungen sind keine Seltenheit. Ein übersehener TXT-Eintrag oder CNAME kann alles kaputt machen, und die meisten Cold-E-Mail-Plattformen warnen Sie nicht, wenn das passiert.

Während dieser Umstellungen kommt es häufig vor, dass Absender Warnungen wie Mailchimp DMARC-Fehler sehen, ohne zu wissen, dass dies mit den jüngsten Infrastrukturänderungen zusammenhängt.

Konflikte zwischen Unternehmens-E-Mail-Systemen und Outreach-Tools

Wenn Sie Google Workspace oder Office 365 für den täglichen Betrieb verwenden und Tools wie Instantly oder Mailshake darüberlegen, sind Konflikte häufig. SPF-Einträge auf Unternehmensebene enthalten möglicherweise nicht die IPs Ihres Outreach-Tools. DKIM ist möglicherweise nicht für den externen Versand konfiguriert.

Selbst LinkedIn, eine der am häufigsten bei Phishing-Angriffen imitierten Marken, muss seine DMARC-Einrichtung mit einer strengen p=reject-Richtlinie verstärkt haben, um Spoofing und Domain-Missbrauch zu verhindern. Wenn Plattformen dieser Größenordnung die Authentifizierung zum Schutz der Kommunikation durchsetzen, können es sich auch Outbound-Teams nicht leisten, dies zu ignorieren.

Erweiterte Diagnosewerkzeuge, wie z. B. MailReach's Spam-Testkönnen genau feststellen, welche Fehlausrichtung die Zustellbarkeit beeinträchtigt.

Lesen Sie auch: Verbessern Sie die Zustellbarkeit Ihrer E-Mails: Die 18 Maßnahmen (2025)

Wie man einen DMARC-Fehler diagnostiziert

 Zur Diagnose eines fehlgeschlagenen DMARC-Versands prüfen Sie Ihre DMARC-Berichte auf Authentifizierungsergebnisse, überprüfen Sie die SPF- und DKIM-Abgleiche zwischen Ihrer Absenderdomäne und der Absenderdomäne und testen Sie Ihre E-Mail-Header mit Tools wie MXToolbox oder DMARC Analyzer, um festzustellen, welche Authentifizierungsprüfung fehlgeschlagen ist.

Hier erfahren Sie, wie Sie systematisch herausfinden können, was die Ursache für das Versagen ist:

Schritt 1: Überprüfen Sie Ihre DMARC-Berichte

Prüfen Sie, ob Ihr DNS richtig konfiguriert ist, um DMARC-Gesamtberichte zu senden. Wenn Ihr DMARC-Eintrag ein gültiges rua=-Tag enthält, erhalten Sie Berichte im XML-Format, aus denen hervorgeht, welche Quellen in Ihrem Namen E-Mails versenden und ob sie SPF- und DKIM-Prüfungen bestanden haben.

Achten Sie auf rote Flaggen wie:

• IP-Adressen oder sendende Domänen, die Sie nicht kennen
• Legitime Tools, die SPF oder DKIM versagen
• Unerwartete Volumenspitzen aus einer einzigen Quelle

Schritt 2: Grundlegende Authentifizierungsprüfungen durchführen

Nutzen Sie den SPF-Checker und DKIM-Checker von MailReach, um Ihre Konfigurationen zu überprüfen. Mit diesen Tools müssen Sie eine E-Mail senden und dann die Antworten von Google und Microsoft auf Ihre SPF- und DKIM-Einträge überprüfen. Diese End-to-End-Prüfung verifiziert die Ausrichtung für jedes Protokoll und ist somit die zuverlässigste Methode zum Testen von SPF und DKIM.

Die Sache hat jedoch einen Haken: Selbst wenn Ihre Einrichtung technisch gesehen "erfolgreich" ist, kann Gmail Ihre E-Mail dennoch kennzeichnen, wenn Ihre "Von" -Domäne nicht mit der authentifizierten Domäne übereinstimmt.

Schritt 3: Verfolgen Sie den Weg Ihrer Kalt-E-Mails

Die Kopfzeile verrät die wahre Geschichte. So können Sie das überprüfen:

• Senden Sie eine Test-E-Mail an sich selbst oder an ein Gmail-Postfach
• Öffnen Sie die vollständigen Kopfzeilen und prüfen Sie die Felder Return-Path, From und Received
• Vergleichen Sie diese mit Ihren DNS-Einträgen und der Dokumentation des Sendetools

Wenn Ihr Outreach-Tool über seine eigenen Server sendet, aber Ihr DNS diese nicht autorisiert hat, werden Sie Unstimmigkeiten feststellen. Dies kann dazu führen, dass DMARC fehlschlägt, selbst wenn SPF und DKIM einzeln bestehen. 

Schritt 4: Testen der Zustellbarkeit in der realen Welt 

Verwenden Sie ein spezielles Tool für kalte E-Mails wie den Spam-Test von MailReach, um:

• Senden Sie Test-E-Mails an mehr als 30 echte Posteingänge (Gmail, Outlook, Yahoo usw.)
• Überwachen Sie die Platzierung von Posteingang, Spam und Sonderangeboten auf der Registerkarte
• Erkennen von Problemen mit der Domainreputation, die je nach Anbieter variieren
• Vergleichen Sie die Leistung mit der Formatierung und den Kopfzeilen Ihrer tatsächlichen Cold-E-Mails
• Erkennen von inhalts- oder reputationsbasierten Filtern

Dies geht weit über eine statische Pass/Fail-Prüfung hinaus. Es zeigt Ihnen, wie Mailbox-Anbieter Ihre E-Mails in der Produktion behandeln, und erklärt, warum ein Aufwärm-Tool, das Ihnen sagt, dass Sie "DMARC bestehen", trotzdem im Spam landen kann.

Schritte zur Behebung eines DMARC-Fehlers bei B2B-Kalt-E-Mails

Dies ist Ihr nach Prioritäten geordneter Aktionsplan zur Behebung von DMARC-Fehlern und zur Wiederherstellung der Zustellbarkeit kalter E-Mails. Jede Problembehebung ist in der Reihenfolge ihrer Auswirkung und ihres Schwierigkeitsgrads aufgelistet, damit Sie das Wichtigste zuerst beheben können, ohne Ihr gesamtes System zu zerstören.

Quick Wins (Behebung innerhalb von 24 - 48 Stunden)

1. Richten Sie Ihre "Von"-Domäne an der Absenderdomäne aus

Aktualisieren Sie Ihre DNS-Einträge, um die exakte Domäne zu autorisieren, die in Ihrer "Von"-Adresse erscheint. Verwenden Sie außerdem einen globalen DNS-Propagationschecker (z. B. whatsmydns.net), um sicherzustellen, dass Ihre Datensatzaktualisierungen in allen Regionen live sind. 

2. Konfigurieren Sie DKIM korrekt für Ihr Cold-E-Mail-Tool

EinigeTools übergehen dies oder behaupten, es sei "automatisch konfiguriert". Verlassen Sie sich nicht blind auf diese Tools.

Manuell:

• Fügen Sie den von Ihrem Tool bereitgestellten DKIM-TXT-Eintrag hinzu
• Stellen Sie sicher, dass der Selektor und die Domäne genau übereinstimmen
• Verwenden Sie einen DKIM-Checker, um zu bestätigen, dass er bestanden wurde.

Wenn DKIM nicht verifiziert wird, besteht ein hohes Risiko, dass Ihre E-Mails von Google Mail und Outlook gekennzeichnet oder gelöscht werden, selbst wenn SPF funktioniert.

3. Stellen Sie Ihre DMARC-Richtlinie auf Quarantäne (nicht Ablehnung) ein.

Wenn Sie direkt zu p=reject wechseln, werden alle nicht authentifizierten Sendungen blockiert, einschließlich harmloser Fehlanpassungen oder neu hinzugefügter Tools.

Setzen Sie bei der Fehlersuche die Richtlinie auf p=quarantine, damit Sie Authentifizierungsfehler überwachen können, ohne die Platzierung im Posteingang zu riskieren. Sie können auch ein ruf=-Tag hinzufügen, um forensische Fehlerberichte zu erhalten. Diese geben mehr Aufschluss darüber, warum Nachrichten fehlgeschlagen sind.

Beispiel DMARC-Eintrag:
v=DMARC1; p=quarantine; rua=mailto:dmarc@yourdomain.com

Sobald alle Sendequellen als abgeglichen bestätigt sind, können Sie auf p=reject verschärfen. Mittelfristige Korrekturen (1-2 Wochen)

4. Verwenden Sie Subdomains für Cold Outreach

Die Isolierung des Cold-E-Mail-Verkehrs auf einer Subdomain wie outreach.brand.com schützt den Ruf Ihrer Hauptdomain und gibt Ihnen die Flexibilität, Cold Outreach zu testen und zu optimieren, ohne die Zustellbarkeit zu beeinträchtigen.

Richten Sie eine vollständige SPF-, DKIM- und DMARC-Authentifizierung für die Subdomäne ein und stellen Sie sicher, dass Ihr Cold-E-Mail-Tool nur von dieser Domäne aus sendet, nicht von der Stammdomäne.

5. Koordinierung über mehrere Sendeplattformen hinweg

Wenn Sie Lemlist für die Öffentlichkeitsarbeit, MailerSend für Benachrichtigungen und Google Workspace für die interne Kommunikation verwenden, kann Ihre SPF- und DKIM-Einrichtung schnell durcheinander geraten.

Achten Sie darauf:

• Mehr als 10 include: Abfragen in Ihrem SPF-Eintrag (das macht ihn kaputt)
• Wiederverwendung von DKIM-Selektoren über mehrere Tools hinweg
• Alte DNS-Einträge von deaktivierten Tools, ob sie noch aktiv sind und stören

Bereinigen Sie Ihre DNS-Konfiguration, stellen Sie ungenutzte Plattformen ein und dokumentieren Sie, welches Tool für welche Selektoren zuständig ist. Dadurch werden versteckte Authentifizierungskonflikte vermieden, die unbemerkt DMARC-Fehler auslösen. 

Laufende Korrekturen

6. Überwachen Sie Ihre DMARC-Konformität im Laufe der Zeit

Es reicht nicht aus, die Authentifizierung einmal zu reparieren. Cold Outreach-Tools entwickeln sich weiter, das Sendeverhalten ändert sich, und selbst kleine DNS-Änderungen können neue Probleme verursachen. Ständige Überwachung ist die einzige Möglichkeit, die Nase vorn zu haben.

Also überwachen:

• DMARC-Berichte aggregieren (über Ihr rua=-Tag)
• Forensische Fehlerberichte (über ruf= Tag)
• Trends bei der Platzierung im Posteingang bei Google Mail, Outlook, Yahoo und anderen Anbietern

Mit der MailReach E-Mail-Warmup-API können Sie die Domain-Reputation nachverfolgen, Tests zur Platzierung im Posteingang automatisieren und Warnungen erhalten, wenn die Authentifizierung oder die Platzierung zu schwanken beginnt.

Erweiterte DMARC-Strategien für den Erfolg von Cold Emails

Sobald Sie unmittelbare DMARC-Fehler behoben haben, beginnt die eigentliche Arbeit: der Aufbau eines Systems, das verhindert, dass sie erneut auftreten. Und so geht's: 

Strategie 1: Aufbau einer Infrastruktur mit sekundären Domänen

Ihre primäre Domain trägt den gesamten Ruf Ihrer Marke. Verwenden Sie für B2B-Kaltakquise sekundäre Domains mit bekannten Erweiterungen wie .com, .co oder .io und richten Sie diese speziell für Kaltakquise-Kampagnen ein.

Dies schafft eine saubere Trennung zwischen Ihren Marketing-E-Mails, Transaktionsnachrichten und Cold Outreach. Jede Subdomain erhält ihre eigene SPF-, DKIM- und DMARC-Konfiguration, wodurch Konflikte vermieden werden und die Fehlerbehebung einfach ist. Wenn eine Aufwärmphase schief geht oder eine Kampagne Spamfilter auslöst, bleibt der Schaden auf diese Subdomain beschränkt und nicht auf Ihre gesamte Marke.

Strategie 2: Verwalten Sie jeden Posteingang als unabhängigen Vermögenswert

Um die Zustellbarkeit wirklich zu schützen, müssen Sie jeden Posteingang als eigene Leistungseinheit behandeln. Jeder Posteingang hat eine eigene Absender-Reputation, einen eigenen Aktivitäts-Footprint und eine eigene Risikostufe.

Sie können nicht überall die gleiche Aufwärmlogik anwenden. Ein Posteingang, der zu schnell sendet, zu wenig antwortet oder sich unregelmäßig verhält, kann die Glaubwürdigkeit der anderen Posteingänge auf derselben Subdomäne beeinträchtigen. Es kommt nicht nur darauf an, wie viele E-Mails gesendet werden, sondern wie sich jeder Posteingang verhält und ob die Postfachanbieter diesen Mustern vertrauen.

Posteingänge individuell verwalten heißt:

• Einstellung verschiedener Aufwärmpläne je nach Art des Posteingangs, Alter und aktuellem Gesundheitszustand
• Verfolgung von Antwortraten, Posteingangsplatzierung und Engagement pro Posteingang
• Wissen, welche Posteingänge den Ruf verbessern und welche ihn verschlechtern

An dieser Stelle scheitern die meisten manuellen Systeme. Ohne das richtige System ist es schwer, dieses Maß an Kontrolle aufrechtzuerhalten.

Die E-Mail-Warmup-API von MailReach ist genau dafür ausgelegt. Sie weist jedem Posteingang benutzerdefinierte Aufwärmzeitpläne zu, simuliert echte Konversationen und baut die Absenderreputation durch menschenähnliche Muster auf. Jeder Posteingang wird unabhängig aufgewärmt, wodurch Ihre Domain auch bei einer Skalierung gesund bleibt.

Strategie 3: Proaktive Überwachung von Domänenzustand und DMARC-Signalen

Die meisten Teams merken erst dann, dass etwas nicht stimmt, wenn die E-Mails im Spam landen oder nicht mehr zugestellt werden. Zu diesem Zeitpunkt haben Sie bereits Möglichkeiten verloren und den Ruf Ihres Absenders beschädigt.

Besser ist es, die Schlüsselindikatoren zu überwachen, bevor die Probleme eskalieren. Hier ist, was zu verfolgen ist:

• Wöchentliche DMARC-Berichtsanalyse mit rua=- und ruf=-Tags
• Regelmäßige Tests zur Platzierung im Posteingang bei Google Mail, Outlook und Yahoo
• Automatische Warnmeldungen bei DNS-Änderungen, Aufwärmproblemen oder Zustellbarkeitsverlusten

Wenn die manuelle Nachverfolgung schwierig ist, verwenden Sie Aufwärm-Tools wie MailReach. Das Überwachungs-Dashboard bietet Echtzeit-Transparenz über alle Ihre Posteingänge und Domänen und sendet Warnmeldungen, sobald sich etwas ändert, das DMARC-Fehler auslösen könnte. 

Strategie 4: Wählen Sie Tools, die mit Ihrem Betrieb skalieren

Die Tools bieten eine Infrastruktur, die auf Größe und Komplexität ausgelegt ist.

MailReach zum Beispiel ist speziell auf diese Herausforderungen für B2B-Teams ausgerichtet:

• Gruppierung auf Posteingangsebene: Markieren und organisieren Sie Posteingänge nach Kampagnen, Domänen oder Kunden, um eine klare Trennung zu gewährleisten.
• Automatisierte Aufwärmplanung: Jeder Posteingang folgt seinem eigenen optimierten Aufwärmmuster ohne manuelle Überwachung
• Kontinuierliche Tests der Zustellbarkeit: Echte Überwachung der Posteingangsplatzierung bei allen wichtigen Anbietern
• Integrierte Warnmeldungen: Slack- und Webhook-Benachrichtigungen, wenn Probleme auftauchen, bevor sie sich auf Kampagnen auswirken

Dieser Ansatz verwandelt die E-Mail-Zustellbarkeit von einer ständigen Feuerübung in ein verwaltetes, vorhersehbares System. 

Versuchen Sie MailReach
‍

‍FAQs

1. Warum funktioniert mein DMARC, aber die E-Mails gehen trotzdem als Spam durch?

Denn das Bestehen von DMARC bestätigt nur, dass Ihre technische Einrichtung korrekt ist, nicht aber, dass die Mailbox-Anbieter Ihrer Domäne vertrauen. Gmail und Outlook verwenden viele andere Signale, wie die Reputation der Domäne, das Engagement der Nutzer, das Sendevolumen und die Inhaltsmuster, um E-Mails als vertrauenswürdig einzustufen. Selbst eine gut authentifizierte E-Mail kann in Spam landen, wenn es der Domäne an Vertrauen oder Historie mangelt.

2. Was ist der Unterschied zwischen SPF, DKIM und DMARC?

‍SPFteilt Mailbox-Anbietern mit, welche IP-Adressen in Ihrem Namen senden dürfen. DKIM fügt eine kryptografische Signatur hinzu, um zu bestätigen, dass die Nachricht nicht verändert wurde. DMARC baut darauf auf, indem es überprüft, ob die Domäne des Absenders mit den durch SPF oder DKIM validierten Domänen übereinstimmt. Es erzwingt den Abgleich und hilft, Spoofing zu verhindern.

3. Kann ich denselben DKIM-Eintrag für mehrere Tools verwenden?

Sie benötigen einen DKIM-Eintrag für jeden E-Mail-Dienstanbieter (ESP). Jeder ESP sollte seinen eigenen DKIM-Selektor und -Schlüssel generieren. Die plattformübergreifende Wiederverwendung von Selektoren kann zu fehlgeschlagenen Überprüfungen oder DNS-Konflikten führen. Die Erstellung separater Einträge für jeden ESP sorgt für eine stabile Authentifizierung und erleichtert die Fehlerbehebung.

4. Warum schlägt DMARC fehl, obwohl SPF und DKIM funktionieren?

DMARC prüft nämlichauch, ob die Domäne in der sichtbaren "Von"-Adresse mit den durch SPF oder DKIM validierten Domänen übereinstimmt. Wenn Ihr Tool von einer anderen als der authentifizierten Domäne sendet, schlägt DMARC trotz einzelner bestandener Prüfungen fehl. Dies wird als Domänenabgleichsproblem bezeichnet.

5. Ist es sicher, p=reject von Anfang an zu verwenden?

‍‍Nicht, wenn Sie nicht sicher sind, dass jede Sendequelle ordnungsgemäß authentifiziert ist. Wenn Sie zu früh zu p=reject wechseln, können legitime E-Mails blockiert werden, insbesondere wenn Sie neue Tools verwenden oder die Einrichtung noch nicht abgeschlossen haben. Beginnen Sie mit p=none oder p=quarantine, um Probleme zunächst zu überwachen und abzufangen.

6. Wie oft sollte ich meine Authentifizierungseinstellungen überprüfen?

Mindestens vierteljährlich, aber jedes Mal, wenn Sie Tools wechseln, neue Posteingänge hinzufügen oder DNS-Einträge aktualisieren. Schon ein einziger veralteter oder widersprüchlicher Eintrag kann zu stillen Fehlern führen. Regelmäßige Überprüfungen helfen, Probleme frühzeitig zu erkennen und den Ruf Ihres Absenders nicht zu beschädigen.