E-Mail-Authentifizierung: Methoden, bewährte Praktiken und Bedeutung im Jahr 2025

Die E-Mail-Authentifizierung ist der technische Prozess, der Ihre Identität als Absender mithilfe von Protokollen wie SPF, DKIM und DMARC überprüft. Sie teilt den Posteingangsanbietern mit: "Diese E-Mail ist echt, nicht gefälscht oder Spam".

Ohne eine ordnungsgemäße Authentifizierung ist die Wahrscheinlichkeit, dass Ihre E-Mails - unabhängig davon, wie sauber oder gut gestaltet sie sind - im Spam landen oder ganz blockiert werden, sehr viel größer. Und im Jahr 2025, mit strengeren Filtern und intelligenteren Algorithmen, ist dieses Risiko sogar noch höher.

In diesem Leitfaden werden die wichtigsten Protokolle aufgeschlüsselt, und es wird gezeigt, wie sie korrekt eingerichtet werden (ohne den aktuellen E-Mail-Verkehr zu stören). Außerdem werden Tools zur Überprüfung der Konfiguration vorgestellt, damit Sie Ihre Domain schützen und die Platzierung im Posteingang verbessern können.

Die drei wichtigsten Punkte - SPF, DKIM und DMARC

Ohne SPF, DKIM und DMARC gibt es keine zuverlässige E-Mail-Authentifizierung. Diese drei Protokolle bilden die Grundlage für das Vertrauen Ihrer Domain bei Posteingangsanbietern.

Man kann sie sich als die drei Seiten eines Vertrauensdreiecks vorstellen. Jede Seite ist für einen anderen Teil des Überprüfungsprozesses zuständig und ergänzt sich gegenseitig. Wenn eine Seite fehlt oder falsch ausgerichtet ist, wird die gesamte Struktur schwächer. Das Ergebnis? Direkte Auswirkungen auf Ihre Fähigkeit, den Posteingang zu erreichen.

‍

SPF (Sender Policy Framework)

SPF legt fest, welche IP-Adressen oder Server E-Mails im Namen Ihrer Domäne versenden dürfen. Wenn eine E-Mail von einer nicht autorisierten Quelle stammt, ist es wahrscheinlicher, dass Mailbox-Anbieter sie als gefälscht oder als Spam einstufen. SPF ist Ihr erster Schutz gegen Domain-Fälschungen.

DKIM (DomainKeys Identified Mail)

DKIM fügt Ihren E-Mails eine digitale Signatur hinzu, die ein System aus privaten und öffentlichen Schlüsseln verwendet. Sie beweist, dass der Inhalt während der Übertragung nicht verändert wurde. Wenn DKIM fehlt oder ungültig ist, können selbst legitime E-Mails verdächtig aussehen.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC setzt auf SPF und DKIM auf. Es weist die Anbieter von Posteingängen an, wie sie mit E-Mails umgehen sollen, die die Authentifizierungsprüfungen nicht bestehen: Sie sollen zugestellt, an Spam gesendet oder ganz abgewiesen werden. Außerdem sendet es Ihnen detaillierte Berichte darüber, wer Ihre Domäne verwendet und wie Ihre E-Mails funktionieren.

Ohne DMARC können Sie nicht sehen, wer von Ihrer Domäne aus sendet, und Sie können auch nicht verhindern, dass andere sie fälschen. Sie werden auch nicht wissen, ob SPF oder DKIM versagen, was bedeutet, dass Zustellbarkeitsprobleme völlig unbemerkt bleiben können. 

Schritt-für-Schritt-Anleitung

Um SPF, DKIM und DMARC zum Laufen zu bringen, befolgen Sie bitte diese Schritte:

Schritt 1: Liste Ihrer E-Mail-Dienstanbieter (ESPs)

Bevor Sie die DNS-Einstellungen ändern, nehmen Sie sich eine Minute Zeit, um alle Plattformen aufzulisten, die E-Mails über Ihre Domäne versenden. Dazu gehören Tools wie:

• Google Workspace (Gmail): alltägliche E-Mails
• Outlook/Office365: interne oder transaktionsbezogene E-Mails
• Brevo (ehemals Sendinblue): Newsletter oder Kampagnen
• Mailgun, Amazon SES, SendGrid: automatisierte oder durch Anwendungen ausgelöste E-Mails
• Jedes CRM, Cold-E-Mail-Tool oder SMTP-Dienst (auch wenn MailReach es auslöst)

Schritt 2: Zugriff auf die DNS-Einstellungen Ihrer Domain

Da Sie nun wissen, welche Provider Sie verwenden, ist es an der Zeit, die DNS-Einträge Ihrer Domäne zu aktualisieren.

Um loszulegen:

1. Melden Sie sich bei Ihrem Domain-Registrar oder DNS-Host an. Das ist das Unternehmen, bei dem Sie Ihre Domain gekauft haben oder verwalten, z. B.:

• GoDaddy
• Namecheap
• Google Domains
• Cloudflare
• Bluehost
• OVH
• Hostinger

2. Suchen Sie Ihre DNS-Einstellungen.

Der Name des Menüs variiert, aber suchen Sie nach etwas wie:

• "DNS-Einstellungen"
• "DNS verwalten"
• "DNS-Zonen-Editor"
• "Erweiterte DNS"

3. Wählen Sie die Domäne aus, die Sie bearbeiten möchten. Wenn Sie mehrere Domains haben, vergewissern Sie sich, dass Sie an der richtigen arbeiten - derjenigen, von der Ihre E-Mails tatsächlich gesendet werden.

Rufen Sie auf: 💡 Sie müssen nicht alles in diesem Abschnitt verstehen, sondern nur, wie Sie einen TXT-Eintrag hinzufügen. Das ist alles, was SPF, DKIM und DMARC brauchen.

Tipp: Wenn Sie nicht sicher sind, wo Sie dies finden, suchen Sie einfach:

So greifen Sie auf die DNS-Einstellungen von[Name Ihres Registrars] zu

Die meisten Registrierstellen verfügen über einfache Hilfedokumente oder Dashboards mit direkten DNS-Links.

Schritt 3: SPF einrichten

Melden Sie sich zunächst bei Ihrem Domain-Registrar oder DNS-Hosting-Konto an, wo auch immer Sie Ihre DNS-Einträge verwalten (wie GoDaddy, Cloudflare oder Namecheap). Suchen Sie nach einem Abschnitt namens "DNS-Einstellungen" oder "Zonen-Editor".

Wenn Ihre Domain bereits einen SPF-Eintrag hat, wird er als TXT-Eintrag angezeigt, der mit v=spf1 beginnt. Wenn nicht, erstellen Sie einen neuen.

Nehmen wir an, Sie verwenden Google Workspace und SendGrid. Sie würden einen einzelnen SPF-Eintrag wie diesen hinzufügen:

v=spf1 include:_spf.google.com include:sendgrid.net ~all

Pro Domäne ist nur ein SPF-Eintrag zulässig. Wenn Sie mehr als ein E-Mail-Tool verwenden, kombinieren Sie alle include:-Einträge in einer einzigen Zeile und erstellen Sie keine separaten Einträge.

Nach dem Speichern der Änderungen kann es ein paar Minuten bis ein paar Stunden dauern, bis sie in Betrieb gehen. Um sicherzugehen, sollten Sie bis zu 48 Stunden für die vollständige DNS-Verbreitung einplanen.

Verwenden Sie anschließend den SPF-Checker von MailReach, um die korrekte Einrichtung zu überprüfen. Er weist Sie auf Probleme wie Syntaxfehler oder zu viele Abfragen hin, damit Sie diese beheben können, bevor sie die Zustellbarkeit beeinträchtigen.

Schritt 4: DKIM hinzufügen.

So richten Sie es ein:

• Generieren Sie Ihr DKIM-Schlüsselpaar über das Verwaltungspanel Ihrer E-Mail-Plattform (z. B. Google Workspace, Zoho, Outlook). Suchen Sie nach einem Abschnitt namens "E-Mail-Authentifizierung" oder "DKIM-Einstellungen". Der private Schlüssel verbleibt bei Ihrem Anbieter und signiert jede ausgehende E-Mail.
• Kopieren Sie den öffentlichen Schlüssel und den Selektor, die Sie von Ihrer Plattform erhalten haben. Diese werden zur Erstellung des DNS-Eintrags verwendet.
• Fügen Sie einen TXT-Eintrag zu den DNS-Einstellungen Ihrer Domäne hinzu.

Beispiel für das Format:

Name: standard._domainkey.ihredomain.de

Wert: v=DKIM1; k=rsa; p=IhrÖffentlicherSchlüsselHier

• Fügen Sie den Text genau wie angegeben ein. Selbst kleine Formatierungsfehler wie Zeilenumbrüche oder fehlende Zeichen können dazu führen, dass DKIM nicht funktioniert.
• Speichern Sie und warten Sie, bis die DNS-Änderungen übertragen wurden. Dies kann zwischen einigen Minuten und 48 Stunden dauern.

Um sicherzustellen, dass alles funktioniert, führen Sie einen Test mit dem kostenlosen DKIM-Checker von MailReach durch. Damit können Sie überprüfen, ob Ihre Domain ausgehende E-Mails korrekt signiert.

Können Sie mehrere DKIM-Einträge haben?

Ja. Wenn Sie E-Mails von mehreren Anbietern versenden (z. B. Gmail für die interne Kommunikation und SendGrid für ausgehende Kampagnen), müssen Sie für jeden Anbieter einen eigenen DKIM-Eintrag erstellen.

Jeder E-Mail-Dienst generiert seinen eigenen Selektor und öffentlichen Schlüssel, der dem DNS Ihrer Domäne hinzugefügt werden muss. Anhand dieser Selektoren können Mailbox-Anbieter erkennen, welcher Schlüssel bei der Überprüfung der Signatur einer Nachricht zu verwenden ist.
Dies ist ein wichtiger Unterschied zu SPF:

• SPF: Ein Datensatz pro Domain (mit allen Anbietern in einem einzigen Datensatz)
• DKIM: Ein Eintrag pro sendendem Anbieter (jeweils mit einem eindeutigen Selektor und Schlüssel)

Schritt 5: DMARC implementieren

• Beginnen Sie mit einer "Monitor-Only"-Richtlinie, damit Sie testen können, ohne die Zustellbarkeit zu beeinträchtigen:

Mit → p=none können Sie Berichte empfangen, ohne dass E-Mails blockiert werden.

• Melden Sie sich bei Ihrem DNS-Anbieter an und fügen Sie einen neuen TXT-Eintrag hinzu.
  Beispiel für das Format:
  → Name: _dmarc.yourdomain.com
  → Wert: v=DMARC1; p=none; rua=mailto:dmarc-reports@yourdomain.com
  
  
• Verwenden Sie eine gültige E-Mail-Adresse im rua-Feld, um DMARC-Berichte zu erhalten. Dieser Posteingang sollte in der Lage sein, große XML-Anhänge zu verarbeiten.
  
  
• Speichern Sie und warten Sie auf die DNS-Verbreitung. Die meisten Änderungen werden in weniger als 24 Stunden wirksam, bei einigen Anbietern kann es jedoch bis zu 48 Stunden dauern.
  
  
• Überprüfen Sie die eingehenden DMARC-Berichte nach 24-48 Stunden. Sie zeigen, ob SPF und DKIM funktionieren, welche Tools von Ihrer Domäne aus senden und ob etwas verdächtig aussieht.

Sobald Sie sicher sind, dass SPF und DKIM durchgängig funktionieren, können Sie Ihre Richtlinie schrittweise ändern: 

→ Quarantäne (Fehlschläge an Spam senden), oder

→ zurückweisen (Fehler vollständig blockieren).

Häufig zu vermeidende Fehler bei der Einrichtung

Selbst ein perfekt geschriebener Datensatz kann fehlschlagen, wenn er falsch konfiguriert ist. SPF, DKIM und DMARC beruhen alle auf präzisen DNS-Einträgen, konsistenter Domänenausrichtung und korrektem Sendeverhalten. Ein einziger Fehler in einem dieser Bereiche kann Ihre Zustellbarkeit ohne Vorwarnung beeinträchtigen.

Im Folgenden werden die wichtigsten Einrichtungsfehler nach Protokoll aufgeschlüsselt und es wird erläutert, wie man sie frühzeitig erkennt.

Häufige Fehler bei der Einrichtung der SPF-E-Mail-Authentifizierung

1. Zu viele DNS-Lookups
   SPF erlaubt nur 10 DNS-Lookups pro Eintrag. Jedes include, a oder mx zählt für dieses Limit. Überschreiten Sie diese Grenze, wird Ihr Eintrag komplett übersprungen.
   
   
2. Mehrere SPF-Einträge
   Sie können nur einen SPF-Eintrag pro Domäne haben. Wenn Sie mehr als einen veröffentlichen, werden beide fehlschlagen. Führen Sie alle Einträge in einem einzigen, richtig strukturierten Eintrag zusammen.
   
   
3. Fehlende Sendeplattform
   Wenn Ihre E-Mail-Plattform (z. B. CRM, Cold Outreach Tool) nicht explizit im SPF-Eintrag aufgeführt ist, können diese E-Mails unbemerkt fehlschlagen. Fügen Sie das korrekte Include hinzu: für jedes Tool, prüfen Sie die entsprechenden Dokumente für spezifische Angaben.
   
   
4. Zu frühes Umschalten auf -all
   Ein hartes Fail (-all) weist Posteingangsanbieter an, alle nicht autorisierten Absender abzulehnen. Klingt sicher, aber wenn Sie noch nicht alles validiert haben, könnten Sie legitime E-Mails blockieren. Verwenden Sie ~all (soft fail) beim Testen, um Unfälle zu vermeiden.

Häufige Fehler bei der Einrichtung der DKIM-E-Mail-Authentifizierung

1. Falscher TXT-Eintragsname
   Das Format des DKIM-Selektors muss exakt sein:
   default._domainkey.yourdomain.com
   Selbst ein einziger Tippfehler, ein fehlender Punkt oder ein falsches Präfix führen zum Abbruch.
   
   
2. Unvollständige Formatierung des öffentlichen Schlüssels
   Einige Anbieter liefern den öffentlichen Schlüssel in Stücken. Wenn Sie beim Kopieren Leerzeichen oder Zeilenumbrüche falsch setzen, können die Mailbox-Anbieter den Schlüssel nicht analysieren.
   
   
3. Vergessen, die Signierung zu aktivieren
   Selbst mit dem richtigen DNS-Eintrag werden Ihre E-Mails nicht signiert, wenn DKIM nicht aktiv in Ihrer E-Mail-Plattform aktiviert ist. Dies ist oft ein versteckter Schalter in den Verwaltungseinstellungen.
   
   
4. Wiederverwendung von Selektoren
   Wenn zwei Tools (wie SendGrid und HubSpot) denselben Selektornamen (z. B. Standard) verwenden, können sich ihre Datensätze gegenseitig überschreiben. Dies führt zu stillen Fehlern, insbesondere bei der Verwendung mehrerer Sendeplattformen. 

Verwenden Sie für jedes Tool eindeutige Selektoren und befolgen Sie die anbieterspezifischen Anweisungen.

Häufige Fehler bei der Einrichtung der DMARC-E-Mail-Authentifizierung

1. SPF und DKIM sind nicht aufeinander abgestimmt
   DMARC ist nur dann erfolgreich, wenn SPF oder DKIM erfolgreich sind UND die Domäne des Absenders mit der in Ihrer Absenderadresse übereinstimmt. Wenn Ihre Plattform eine eigene Domäne verwendet (z. B. @mail.sendgrid.com), zählt auch ein gültiges SPF/DKIM nicht.
   
   
2. Starten Sie mit einer strengen Richtlinie
   Mit p=reject zu starten, bevor Ihre Datensätze stabil sind, ist riskant. Sie könnten legitime E-Mails blockieren, ohne es zu merken. Beginnen Sie mit p=none, um sicher zu überwachen. Gehen Sie erst dann auf Quarantäne oder Ablehnung über, wenn Sie sicher sind, dass alles in Ordnung ist.
   
   
3. Ignorieren von Sammelberichten(rua)
   Viele Teams richten DMARC-Berichte ein, sehen sie aber nie an. Das ist eine verpasste Gelegenheit, Spoofing, Abgleichfehler oder Absenderfehlkonfigurationen zu erkennen. Richten Sie einen DMARC-Berichtsanalysator ein und überprüfen Sie die Berichte wöchentlich, insbesondere nach dem Wechsel von Absendern oder E-Mail-Tools.
   
   
4. Syntaxfehler im TXT-Datensatz
   DMARC-Tags sind empfindlich. Ein falsch gesetzter Doppelpunkt, Semikolon oder Gleichheitszeichen - wie aspf: r statt aspf=r - kann Ihre gesamte Richtlinie ungültig machen.

Debuggen Ihrer E-Mail-Authentifizierungseinrichtung

Wenn Ihre E-Mails in Spam landen, nicht gesendet werden können oder SPF/DKIM/DMARC-Fehler aufweisen, können Sie die Einrichtung mit Sicherheit debuggen:

1. Senden Sie eine Test-E-Mail von Ihrem Live-Tool
   . Senden Sie eine Nachricht an einen Google Mail-Posteingang. Öffnen Sie sie, klicken Sie auf das Drei-Punkte-Menü und wählen Sie "Original anzeigen". 

Sie werden einen Bericht sehen wie: spf=pass, dkim=fail, dmarc=fail  

Auf diese Weise können Sie genau feststellen, welches Protokoll versagt.

2. Diagnoseprüfungen anhand echter Daten durchführen
   Verwenden Sie Tools zur E-Mail-Authentifizierung, um Ihre Einrichtung aus der Sicht des Posteingangs zu überprüfen:
   
   • Verwenden Sie den SPF Checker von MailReach, um Includes, Syntax und Abfragegrenzen zu überprüfen.
   • Verwenden Sie den DKIM-Checker von MailReach, um zu sehen, ob ausgehende Nachrichten signiert sind und übereinstimmen.
   • Verwenden Sie DMARC-Überwachungstools, um die Domänenausrichtung zu überprüfen und Fehlermuster zu untersuchen.
     
     
3. Überprüfen Sie Ihre Domänenausrichtung
   Stellen Sie sicher, dass die Domäne in Ihrem Return-Path, From: und der DKIM-Signatur übereinstimmt. Wenn dies nicht der Fall ist, werden auch gültige Einträge von DMARC nicht akzeptiert.
   
   
4. Kontinuierliche Überwachung
   Einmalige Tests sind nicht genug. Eine kleine DNS-Änderung oder ein neues Tool kann die Authentifizierung unbemerkt unterbrechen. MailReach erkennt Drift, Spoofing und stille Fehler frühzeitig, damit Sie Problemen bei der Zustellbarkeit zuvorkommen können.

Verwalten Sie mehrere Posteingänge? MailReach E-Mail Warmup simuliert echte Posteingangsaktivitäten, um Ihren Absenderruf zu schützen. 

Wie MailReach die E-Mail-Authentifizierung vereinfacht (ohne Kopfschmerzen)

Sie müssen kein DNS-Experte sein, um sich vor Spam zu schützen. MailReach hilft Ihnen, Ihre Einrichtung zu validieren, Ihre Absenderreputation zu überwachen und stille Fehler frühzeitig zu erkennen, und zwar für alle Ihre Posteingänge.

Hier erfahren Sie, wie es in jeder Phase hilft:

• SPF & DKIM Sichtbarkeit: Das Warmup-Dashboard von MailReach erkennt SPF- oder DKIM-Fehler unter realen Sendebedingungen. So müssen Sie nicht raten oder DNS-Protokolle durchforsten.
  
  
• Erkennung von DMARC-Fehlern: Obwohl es sich nicht um ein DMARC-Überwachungstool handelt, zeigt MailReach an, wenn Ihre E-Mails die DMARC-Prüfungen während der Aufwärm- oder Spam-Tests nicht bestehen, damit Sie Maßnahmen ergreifen können, bevor die Zustellbarkeit sinkt.
  
  
• Aufwärmen, das Vertrauen schafft: MailReach sendet realistische, menschenähnliche Interaktionen zwischen Gmail- und Outlook-Postfächern: Beantworten, Weiterleiten und Archivieren von E-Mails, um die Reputation Ihrer Domain wiederherzustellen oder zu verbessern. Gleichzeitig bestätigt es, ob Ihre SPF-, DKIM- und DMARC-Einstellungen tatsächlich funktionieren.
  
  
• Spam-Test mit Auth-Diagnose: Senden Sie Ihre aktuellen Kampagnen-E-Mails durch den Spam-Test von MailReach, um zu prüfen, wo sie landen - im Posteingang, bei Promotions oder im Spam - bei mehr als 30 Anbietern. Sie erhalten auch einen Überblick darüber, welche Authentifizierungsprüfungen bestanden oder fehlgeschlagen sind und warum.
  
  
• API für Skalierung: Für Teams, die Dutzende von Absendern verwalten, können Sie mit der Warmup-API von MailReach Authentifizierungsprüfungen, Warmups und Warnungen aus Ihrem Backend automatisieren.

Sind Sie bereit, mit dem Rätselraten aufzuhören und den Posteingang zu nutzen?

Testen Sie MailReach und übernehmen Sie die Kontrolle über Ihre E-Mail-Zustellbarkeit mit dem einzigen Warm-up-Tool, das für echte B2B- und B2C-E-Mail-Versender entwickelt wurde.

‍

FAQs

Was ist, wenn ich nur SPF oder DKIM einrichte?

Sie bestehen DMARC auch dann, wenn entweder SPF oder DKIM gültig ist und mit Ihrer Von-Domäne übereinstimmt. Aber wenn Sie sich nur auf eines verlassen, entstehen Lücken. Wenn SPF aufgrund eines Weiterleitungsproblems fehlschlägt, kann DKIM als Ausweichlösung dienen. Wenn Sie beides einrichten, ist die Authentifizierung zuverlässiger und das Risiko der Zustellbarkeit geringer.

Wie schnell werden die DMARC-Berichte eingereicht?

DMARC-Gesamtberichte treffen in der Regel innerhalb von 24 Stunden nach Veröffentlichung Ihres Eintrags ein. Diese werden täglich von den großen Mailbox-Anbietern verschickt und enthalten Zusammenfassungen darüber, welche Quellen SPF und DKIM bestanden oder nicht bestanden haben. Den besten Einblick erhalten Sie nach ein paar Tagen, in denen Sie regelmäßig E-Mails versenden.

Wie wichtig ist der Authentifizierungsprozess im E-Mail-Marketing?

Das ist entscheidend. Die E-Mail-Authentifizierung ist die Grundlage für das Vertrauen zwischen Ihrer Domain und den Posteingangsanbietern. Ohne sie landen Ihre E-Mails eher im Spam, werden blockiert oder von bösen Akteuren gefälscht. 

Die korrekte Einrichtung von SPF, DKIM und DMARC unterscheidet in den Augen von Google Mail, Outlook und anderen einen zuverlässigen von einem verdächtigen Absender.

Was bedeutet es, wenn eine E-Mail nicht authentifiziert ist?

Einer nicht authentifizierten E-Mail fehlt die ordnungsgemäße Überprüfung durch SPF, DKIM oder DMARC. Posteingangsanbieter können nicht bestätigen, ob die E-Mail von Ihrer Domäne stammt oder ob sie während der Zustellung manipuliert wurde. Es ist wahrscheinlicher, dass eine solche E-Mail als Spam markiert, als verdächtig eingestuft oder ganz abgelehnt wird. 

‍