Leistung · Bulk-Sender-Konformität
Konform mit den Regeln, die nun entscheiden, ob Ihre Mail ankommt.
Bulk-Sender-Konformität für 2026: die Anforderungen von Gmail, Yahoo und Microsoft nebeneinander — Authentifizierung, Beschwerdegrenzen, One-Click-Abmeldung, TLS und ARC — mit der Arbeit, sie zu erfüllen, und der Überwachung, sie erfüllt zu halten.
Bulk-Sender-Konformität bedeutet, die Anforderungen zu erfüllen, die Gmail, Yahoo und Microsoft an jede Domain stellen, die 5.000 oder mehr Nachrichten pro Tag an ihre Verbraucher-Postfächer sendet — eine Zählung pro Provider, nicht insgesamt. Die Pflichten sind: mit SPF, DKIM und DMARC authentifizieren, ausgerichtet auf die sichtbare From-Domain; eine One-Click-Abmeldung (RFC 8058) zu Marketing-Mail hinzufügen; die Beschwerderate unter 0,30% halten (Gmail zielt auf 0,10%); und gültiges Reverse-DNS (PTR) und TLS veröffentlichen. Gmail und Yahoo setzen seit Februar 2024 durch und Microsoft seit dem 5. Mai 2025, wobei Gmail im November 2025 zu dauerhaften Abweisungen überging. Mail, die durchfällt, wird auf SMTP-Ebene mit einem konkreten Code abgewiesen — Gmail 550 5.7.26, Yahoo 550 5.7.9, Microsoft 550 5.7.515 — statt still in den Spam gefiltert, also stoppt eine verpasste Anforderung Rechnungen und Quittungen, nicht nur Marketing.
Das Wichtigste in Kürze
- → Die Schwelle von 5.000 pro Tag wird pro Provider gezählt und Subdomains rollen zur Hauptdomain hoch, also kann ein Versender, der Volumen über Gmail und Outlook verteilt, bei jedem ein Bulk-Sender sein, ohne sich so zu fühlen, und die Einstufung verfällt nicht, wenn das Volumen später sinkt.
- → SPF, DKIM und DMARC zu haben ist keine Konformität: Die Einträge zählen nur, wenn SPF oder DKIM zur sichtbaren From-Domain ausgerichtet sind, also können alle drei vorhanden sein und DMARC trotzdem durchfallen.
- → Die Provider weichen in der Arithmetik ab — Yahoo misst die Beschwerderate nur gegen zugestellte Posteingangs-Mail, sodass ein identischer Versand bei Gmail bestehen und bei Yahoo durchfallen kann —, weshalb jeder getrennt überwacht wird.
- → Die One-Click-Abmeldung (RFC 8058) ist bei Marketing-Mail Pflicht und bei transaktionaler Mail ein Fehler, wo sie einen Empfänger von den Passwort-Resets und Quittungen abmelden ließe, die er braucht.
- → Der Fehlschlag ist eine Abweisung, keine Spam-Ablage: Mail wird auf SMTP-Ebene mit einem Code abgewiesen (Gmail 550 5.7.26, Yahoo 550 5.7.9, Microsoft 550 5.7.515), und seit November 2025 weist Gmail nicht-konforme Bulk-Mail dauerhaft ab, statt sie aufzuschieben.
Den größten Teil der E-Mail-Geschichte waren dies bewährte Praktiken \u2014 empfehlenswert, weithin ignoriert, selten bestraft. Das endete zwischen 2024 und 2026. Gmail und Yahoo schalteten die Anforderungen im Februar 2024 gemeinsam ein, Microsoft setzte seine eigenen ab dem 5. Mai 2025 durch, und im November 2025 eskalierte Gmail von temporären Aufschüben zu dauerhaften Abweisungen. Die Schonfrist ist bei allen dreien vorbei. Eine Domain, die die Bulk-Schwelle überschreitet und eine Anforderung verpasst, erleidet keine sanfte Strafe mehr; ihre Mail wird an der Tür mit einem Code abgewiesen, der den Fehlschlag benennt.
Die Anforderungen selbst sind nicht kompliziert, und sie überschneiden sich stark über die drei Provider hinweg. Was Konformität schwerer macht, als sie aussieht, ist, dass die Überschneidung unvollständig ist: Die Schwellen werden anders berechnet, die Durchsetzungsdaten und Codes unterscheiden sich, und eine Einrichtung, die einen Provider zufriedenstellt, kann bei einem anderen durchfallen, ohne dass sich Ihr Versand ändert. Diese Seite legt die drei nebeneinander, behandelt dann, was jede Pflicht bedeutet und an welchen Stellen die Unterschiede beißen.
Was zählt als Bulk-Sender?
Die Schwelle liegt bei 5.000 Nachrichten pro Tag an die Verbraucher-Postfächer eines Providers, und drei Details werden dabei übersehen. Die Zählung erfolgt pro Provider, nicht insgesamt, also kann ein Versender, der 4.000 an Gmail und 4.000 an Outlook schickt, unter jeder Linie bleiben, während er sich wie ein Versender mit hohem Volumen anfühlt. Subdomains rollen für die Zählung zur Hauptdomain hoch, sodass eine Aufteilung über Subdomains die Schwelle nicht umgeht. Und die Einstufung verfällt nicht, wenn das Volumen später sinkt: Einmal als Bulk-Sender eingestuft, gelten die Regeln weiter. Unter der Schwelle lohnt es sich trotzdem, sie zu erfüllen, weil die Filter authentifizierte Mail für jeden bevorzugen.
Die Pro-Provider-Zählung wird im DACH-Raum besonders leicht übersehen, weil viele Versender ihr Volumen mental nach Gesamtmenge führen statt nach Empfänger-Domain. Ein deutscher B2C-Versender mit gemischten Listen kann unter 5.000 pro Tag an Gmail bleiben und ihn an Yahoo nie erreichen, während er an GMX und Web.de — die nicht zu den drei zählen, die die Schwelle definieren — ein Vielfaches davon schickt. Das bedeutet nicht, dass die GMX-Zustellung egal ist; es bedeutet, dass die formale Bulk-Schwelle und das tatsächliche Risiko an verschiedenen Stellen liegen können, und beide gehören in dieselbe Bestandsaufnahme, bevor eine Kampagne hinausgeht.
Was verlangt jeder Provider, nebeneinander?
Die drei Regelwerke überschneiden sich stark, aber nicht vollständig, und die Lücken sind dort, wo eine konform aussehende Einrichtung durchfällt. Diese Tabelle legt sie nebeneinander.
| Anforderung | Gmail | Yahoo | Microsoft |
|---|---|---|---|
| Bulk-Schwelle | 5.000/Tag an gmail.com & googlemail.com | 5.000/Tag an Yahoo-Postfächer | 5.000/Tag an Outlook, Hotmail, Live |
| Authentifizierung | SPF, DKIM und DMARC, ausgerichtet | SPF, DKIM und DMARC, ausgerichtet | SPF, DKIM und DMARC, p=none als Minimum |
| Beschwerdelinie | Ziel unter 0,10%, harte Grenze 0,30% | Unter 0,30%, nur auf Posteingang gemessen | Keine öffentliche Domain-Zahl; IP-Reputation |
| One-Click-Abmeldung | RFC 8058, binnen ~2 Tagen bedient | RFC 8058 erforderlich | Funktionierende Abmeldung erwartet |
| Außerdem nötig | Gültiger PTR (Reverse-DNS) und TLS | Gültiger PTR und TLS | PTR, TLS und sauberes ARC bei Weiterleitung |
| Durchgesetzt seit | Feb 2024; dauerhafte Abweisungen Nov 2025 | Feb 2024 | 5. Mai 2025 |
| Abweisungscode | 550 5.7.26 / 550 5.7.350 | 550 5.7.9 | 550 5.7.515 |
| Wo zu beobachten | Postmaster Tools v2 | Complaint Feedback Loop | Smart Network Data Services (SNDS) |
Wo weichen die Provider voneinander ab?
Die gefährlichste Annahme ist, dass ein bei Gmail bestandener Versand überall besteht. Die schärfste Abweichung liegt in der Beschwerderate: Google misst Beschwerden gegen alle zugestellte Mail, Yahoo nur gegen im Posteingang zugestellte, sodass dieselbe Zahl an Beschwerden bei Yahoo eine höhere Rate ergibt. Microsoft veröffentlicht keine Domain-Zahl und stützt sich stärker auf IP-Reputation und ARC bei weitergeleiteter Mail. Die Durchsetzungsdaten und Abweisungscodes unterscheiden sich ebenfalls, und Gmail allein hat im November 2025 von Aufschüben zu dauerhaften Abweisungen gewechselt. Genau weil die Arithmetik je Provider abweicht, überwachen wir jeden getrennt, statt anzunehmen, ein Dashboard spreche für alle drei.
Die Yahoo-Arithmetik verdient eine genauere Betrachtung, weil sie das gängigste Missverständnis erzeugt. Wenn Yahoo die Beschwerderate nur gegen im Posteingang zugestellte Mail misst, dann bestraft schlechte Platzierung sich selbst doppelt: Mail, die bereits im Spam landet, zählt nicht im Nenner, sodass die Beschwerden der verbleibenden Posteingangs-Mail einen größeren Anteil ausmachen. Ein Versender, dessen Yahoo-Platzierung bereits schwächelt, sieht seine gemessene Beschwerderate genau dann steigen, wenn er sie am wenigsten gebrauchen kann. Bei Gmail, das gegen alle zugestellte Mail misst, fehlt dieser Verstärkungseffekt, weshalb dieselbe Liste bei beiden ein sehr unterschiedliches Bild zeichnen kann und eine getrennte Beobachtung keine Vorsicht, sondern eine Notwendigkeit ist.
# Pflicht 1: ist DMARC veröffentlicht und über p=none hinaus?
$ dig +short TXT _dmarc.beispiel.de
"v=DMARC1; p=none; rua=mailto:[email protected]"
# vorhanden, aber p=none \u2014 erfüllt den Buchstaben, schützt nichts
# Pflicht 2: ist der One-Click-Abmelde-Header auf Marketing-Mail?
$ grep -i list-unsubscribe muster-marketing.eml
List-Unsubscribe-Post: List-Unsubscribe=One-Click # RFC 8058, korrekt
# Pflicht 4: gültiger PTR auf der sendenden IP?
$ dig +short -x 203.0.113.45
mail.beispiel.de. # FCrDNS löst in beide Richtungen auf \u2014 gutp=none \u2014 was heute den Buchstaben erfüllt, während es nichts schützt und wachsende Aufmerksamkeit von Microsoft und Yahoo zieht. Die vierte Pflicht, die Beschwerderate, lässt sich überhaupt nicht aus dem DNS lesen; sie lebt in Postmaster Tools, im Yahoo-Feedback-Loop und in SNDS, weshalb eine vollständige Prüfung teils Abfrage und teils Dashboard ist.Was ändert sich im DACH-Raum mit den lokalen Providern?
Die Regeln von Gmail, Yahoo und Microsoft gelten global, also auch im deutschsprachigen Raum. Was hinzukommt, sind GMX, Web.de und T-Online, die zusammen einen großen Teil der privaten Postfächer in Deutschland, Österreich und der Schweiz halten und bei einem Beschwerde-Anstieg oder einem plötzlichen Volumensprung konservativer reagieren als die globalen drei. Über ihrem Verhalten liegt eine rechtliche Schicht, die der englischsprachige Standard übergeht. Das UWG zieht bei der Einwilligung in Werbe-Mail eine engere Grenze, als viele Programme voraussetzen, und die DSGVO verlangt eine dokumentierte Rechtsgrundlage für jede Adresse auf der Liste. Diese beiden Anforderungen treffen genau die Beschwerderate: Eine Liste mit wackeliger Einwilligung erzeugt mehr Beschwerden, und die Beschwerderate ist die Größe, die über Konformität bei Gmail, Yahoo und den DACH-Providern gleichermaßen entscheidet. Im deutschsprachigen Raum ist die rechtssaubere Liste deshalb kein getrennter Punkt, sondern dieselbe Arbeit wie die technische Konformität.
Was kostet es tatsächlich, nicht konform zu sein?
Die Kosten sind kein leiser Rückgang der Platzierung, sondern eine harte Abweisung. Eine nicht-konforme Nachricht wird auf SMTP-Ebene mit einem Code abgelehnt und an Ihren Server zurückgegeben, also kommen Rechnungen, Quittungen, Bestätigungen und Kampagnen schlicht nicht an. Seit Gmail im November 2025 zu dauerhaften Abweisungen überging, gibt es bei nicht-konformer Bulk-Mail dorthin keine zweite Chance mehr durch einen späteren Wiederversuch, und Microsoft weist von Anfang an sofort ab. Der Abweisungscode benennt die verpasste Anforderung, was die Diagnose erleichtert, aber den Verlust der nicht zugestellten Nachricht nicht rückgängig macht. Anders als bei einem Spam-Ordner, in dem die Mail wenigstens existiert, ist eine Abweisung endgültig: Die Nachricht wurde nie angenommen.
Warum ist Konformität ein Zustand und kein Kästchen?
Konformität wird einmal erreicht und dann fortlaufend gehalten, weil jeder Teil davon still brechen kann. Ein neues Versandwerkzeug, das einen Strom außerhalb Ihrer Authentifizierung verschickt, eine DNS-Änderung, die einen Eintrag beschädigt, eine nach einer müden Kampagne kriechende Beschwerderate, ein Provider, der eine Regel verschärft \u2014 jedes bricht die Konformität, ohne dass jemand sie aktiv ändert. Sie erfahren es nicht durch eine Warnung, sondern durch eine Abweisung, oft Tage nachdem der Bruch begann. Deshalb ist die eigentliche Arbeit nach dem ersten Erreichen die laufende Überwachung pro Provider, die Listenhygiene und das Beobachten der Beschwerderate, die einen Bruch erkennen, bevor ein Abweisungscode es tut. Das kostenlose Audit stellt fest, wo Sie heute stehen; der Dauerbetrieb hält Sie dort.
Wie fällt ein Versender, der konform war, wieder heraus?
Die Wege wiederholen sich, und sie zu kennen ist die halbe Prävention. Ein Marketing-Team übernimmt ein neues Versandwerkzeug für eine Kampagne, und dessen Mail geht ohne Ausrichtung hinaus, weil niemand die Authentifizierung dafür eingerichtet hat. Eine DNS-Migration lässt einen DKIM-Schlüssel oder den SPF-Eintrag fallen, und die Ausrichtung bricht still. Eine an eine alte, müde Liste gesendete Kampagne treibt die Beschwerderate über die Linie, und die Strafe trifft den nächsten Versand, nicht den, der den Schaden anrichtete. Oder ein Provider verschärft eine Schwelle, und eine Einrichtung, die letztes Jahr passierte, passiert in diesem nicht mehr. In jedem Fall ist die Einrichtung nie der dauerhafte Teil; das Halten der Konformität gegen diese stillen Brüche ist es.
Ein DACH-spezifischer Bruch verdient eigene Erwähnung, weil er rechtlich und technisch zugleich ist. Eine über Jahre gewachsene Liste, die einmal sauber eingewilligt war, kann durch Inaktivität still wertlos werden: Adressen, die seit zwei Jahren nichts geöffnet haben, sind nach der Logik der DSGVO-Zweckbindung und der UWG-Aktualität der Einwilligung heikel, und genau diese kalten Adressen erzeugen die Beschwerden und Spamtrap-Treffer, die eine Konformität kippen. Ein Versender, der eine alte deutsche Liste reaktiviert, ohne sie vorher zu bereinigen, bricht oft beide Dinge auf einmal — die Beschwerderate und die Rechtsgrundlage. Wir behandeln eine solche Reaktivierung deshalb nie als reinen Versandvorgang, sondern als Listenbereinigung mit dokumentierter Einwilligung zuerst, weil der technische und der rechtliche Bruch hier dieselbe Wurzel haben.
Wie bringen wir Sie konform und halten Sie dort?
Der erste Schritt ist immer dasselbe kostenlose 25-Punkte-Audit: Es liest Authentifizierung und Ausrichtung pro Versandstrom, prüft die One-Click-Abmeldung auf den richtigen Strömen, bestätigt Reverse-DNS und TLS und sieht nach, wo Ihre Beschwerderate bei jedem Provider steht. Von dort beheben wir, was fehlt, in der Reihenfolge, die der Versand verlangt, und im DACH-Raum schließen wir die rechtssaubere Liste nach UWG und DSGVO als Teil derselben Arbeit ein, weil sie die Beschwerderate trägt. Das Konform-Bleiben ist dann die laufende Überwachung pro Provider, die in unserem Managed-Deliverability-Dienst lebt \u2014 sie erkennt eine kriechende Beschwerderate, einen gebrochenen Eintrag oder eine verschärfte Regel, bevor eine Abweisung es tut, und macht aus der Konformität eine ruhige, gehaltene Größe statt einer Reihe von Notfällen.
Für einen Versender mit mehreren Marken oder Domains kommt eine letzte Schicht hinzu: Jede Domain trägt ihre eigene Konformität, ihre eigene Beschwerderate und ihren eigenen Authentifizierungsstand, und ein Bruch bei einer sagt nichts über die anderen aus. Wir führen den Stand pro Domain als kleines, gepflegtes Register — welche auf Durchsetzung steht, wo die Abmelde-Header korrekt sitzen, wie die Beschwerderate bei jedem Provider verläuft —, weil über ein Portfolio hinweg genau diese Buchführung der Teil ist, der ohne Aufsicht still abdriftet, lange bevor ein einzelner Abweisungscode die erste Warnung gibt.
FAQ
Häufige Fragen zur Bulk-Sender-Konformität
Gelten diese Regeln überhaupt für uns?
Wenn Ihre Domain 5.000 oder mehr Nachrichten pro Tag an Verbraucher-Postfächer bei einem von Gmail, Yahoo oder Microsoft sendet, ja. Drei Details werden übersehen. Die Zählung erfolgt pro Provider, also lassen 4.000 pro Tag an Gmail und weitere 4.000 an Outlook Sie unter jeder Linie, während es sich nach einem Versender mit hohem Volumen anfühlt. Subdomains rollen für die Zählung zur Hauptdomain hoch. Und die Einstufung verfällt nicht, wenn Ihr Volumen später sinkt. Auch unter der Schwelle lohnt es sich, die Regeln zu erfüllen, weil die Filter authentifizierte Mail für alle bevorzugen, ob Bulk oder nicht.
Wir haben SPF, DKIM und DMARC. Sind wir konform?
Nicht zwingend, und das ist die häufigste falsche Sicherheit. Authentifizierung zählt nur, wenn SPF oder DKIM zur sichtbaren From-Domain ausgerichtet ist, also können alle drei Einträge vorhanden sein und DMARC dennoch durchfallen. Über die Authentifizierung hinaus brauchen Sie auch eine Beschwerderate unter der Linie, eine funktionierende One-Click-Abmeldung bei Marketing-Mail, gültiges Reverse-DNS und TLS, und Sie brauchen all das, damit es bei jedem Provider eigenständig hält. Die Einträge zu haben ist der Anfang der Konformität, nicht ihr Beweis.
Wir bestehen bei Gmail, werden aber bei Yahoo mit demselben Versand markiert. Wie?
Weil Yahoo die Beschwerderate anders berechnet. Wo Google Beschwerden gegen alle zugestellte Mail misst, misst Yahoo sie nur gegen im Posteingang zugestellte Mail und schließt aus, was im Spam landete. Dieselbe Zahl an Beschwerden ergibt daher bei Yahoo eine höhere Rate, sodass ein Versender, der bei Google bequem unter der Linie sitzt, sie bei Yahoo mit identischem Verhalten durchbrechen kann. Die Provider sehen auf dem Papier ähnlich aus und weichen in der Rechnung ab, weshalb wir jeden getrennt überwachen, statt anzunehmen, ein Dashboard spreche für alle.
Gilt die One-Click-Abmeldung für unsere transaktionale Mail?
Nein, und sie dort einzufügen ist ein Fehler. Die Anforderung deckt Werbe- und Marketing-Mail ab; transaktionale Nachrichten — Passwort-Resets, Quittungen, Versandhinweise, Konto-Warnungen — sind ausgenommen. Einen One-Click-Abmelde-Header auf diese zu setzen riskiert, dass ein Kunde sich versehentlich von genau den Benachrichtigungen abmeldet, die er braucht. Die Provider trennen die beiden Kategorien nach Inhalt und Empfängerverhalten, nicht nach Ihrer Bezeichnung, also besteht die praktische Arbeit darin, den Header in den richtigen Strömen sicherzustellen und aus den falschen fernzuhalten.
Was passiert tatsächlich, wenn wir durchfallen?
Ihre Mail wird abgewiesen, nicht in den Spam gefiltert. Eine durchfallende Nachricht wird auf SMTP-Ebene mit einem konkreten Code abgelehnt — Gmail gibt 550 5.7.26 oder 5.7.350 zurück, Yahoo 550 5.7.9, Microsoft 550 5.7.515 — und an Ihren Server zurückgegeben. Seit November 2025 ist Gmail von temporären Aufschüben zu dauerhaften Abweisungen für nicht-konforme Bulk-Mail übergegangen, und Microsoft weist sofort ab. Die Kosten sind kein leiser Rückgang der Platzierung; es sind Rechnungen, Quittungen und Kampagnen, die nie ankommen, mit einem Abweisungscode, der die verpasste Anforderung benennt.
Wir senden über einen Weiterleiter oder ein Relay. Spielt das eine Rolle?
Es spielt vor allem für Microsoft eine Rolle, das seinen Einsatz von ARC ausgeweitet hat — das Protokoll, das Authentifizierungsergebnisse bewahrt, während Mail durch Zwischenstationen läuft. Wenn Ihre Mail durch einen Weiterleitungsdienst oder einen Mailinglisten-Manager läuft, der die DKIM-Signatur bricht, sieht Microsoft eine gescheiterte Authentifizierung, selbst wenn Ihre ursprüngliche Einrichtung korrekt war. Die praktische Anforderung ist eine saubere Authentifizierungskette von Anfang bis Ende, mit ARC, das die legitimen Brüche behandelt. Wir prüfen den ganzen Pfad statt nur den Ursprung, da ein vergessenes Relay ein häufiger Grund ist, dass konform aussehende Mail dennoch durchfällt.
Reicht ein DMARC-Eintrag bei p=none?
Er erfüllt den Buchstaben der Anforderung — Sie haben einen DMARC-Eintrag — und schützt nichts gegen Spoofing. Die Provider haben es bemerkt: Microsoft und Yahoo sind zunehmend skeptisch gegenüber Domains, die jahrelang auf p=none sitzen, ohne sich zur Durchsetzung zu bewegen. Konformität ist heute bei p=none erfüllt, doch die Richtung geht klar zu quarantine und reject, und eine Domain, die nie weiterkommt, ist sowohl ungeschützt als auch zunehmend auffällig. Wir behandeln p=none als Startlinie und nicht als Ziel.
Was ändert sich im DACH-Raum mit GMX, Web.de und T-Online?
Die Regeln von Gmail, Yahoo und Microsoft gelten global, also auch im deutschsprachigen Raum. Was hinzukommt, sind die großen DACH-Provider GMX, Web.de und T-Online, die zusammen einen großen Teil der privaten Postfächer halten und bei einem Beschwerde-Anstieg oder einem plötzlichen Volumensprung konservativer reagieren als die globalen drei. Hinzu kommt die rechtliche Schicht: Das UWG zieht bei der Einwilligung in Werbe-Mail eine engere Grenze, und die DSGVO verlangt eine dokumentierte Rechtsgrundlage pro Adresse. Eine Liste mit sauberer Einwilligung hält die Beschwerderate niedrig, die genau die Größe ist, die über Konformität entscheidet, also ist die Rechtslage im DACH-Raum kein getrennter Punkt, sondern Teil derselben Arbeit.
Wie bleiben wir konform, sobald wir es sind?
Konformität ist ein Zustand, den man hält, kein Kästchen, das man abhakt. Ein neues Versandwerkzeug, eine DNS-Änderung, eine nach einer müden Kampagne steigende Beschwerderate oder ein Provider, der eine Regel verschärft, kann sie jeweils still brechen, und Sie erfahren es durch eine Abweisung statt durch eine Warnung. Konform zu bleiben ist die laufende Überwachung, Hygiene und providerweise Beobachtung, die unser Managed-Deliverability-Dienst betreibt. Das kostenlose 25-Punkte-Audit stellt fest, wo Sie heute stehen; Sie dort zu halten ist die Arbeit im Dauerbetrieb.
Sind Sie konform mit den Regeln, die nun über die Zustellung entscheiden?
Das kostenlose 25-Punkte-Audit liest Ihre Authentifizierung, Ausrichtung, Abmelde-Header und Beschwerderate bei jedem Provider und sagt Ihnen ehrlich, wo Sie heute stehen.