Deliverability-Audit

Die meisten Versender erfahren erst von einem Zustellbarkeitsproblem, wenn eine Kampagne, die sonst funktioniert, plötzlich verstummt: Die Öffnungsraten fallen ohne erkennbaren Grund, die Antworten versiegen, und in den Logs steht nichts, was offensichtlich kaputt wäre. Genau das ist das Wesen der Zustellbarkeit. Sie versagt nicht mit einem Knall, sondern als langsames Abrutschen, das sich erst zeigt, wenn der Schaden bereits Wochen alt ist. Ein Audit existiert, um dieses Abrutschen sichtbar zu machen, bevor es eine Kampagne kostet.

Bevor irgendetwas anderes Sinn ergibt, muss eine Unterscheidung sitzen, weil fast jedes Missverständnis über Zustellbarkeit aus ihrer Verwechslung entsteht. Zustellung heißt, dass ein empfangender Server Ihre Nachricht angenommen hat. Zustellbarkeit heißt, dass diese Nachricht im Posteingang gelandet ist statt im Spam oder im Werbe-Tab. Fast jeder legitime Versender besteht die Zustellung; die Lücke sitzt in der Zustellbarkeit, und sie ist still, weil keine Abweisung sie meldet.

Warum ist Zustellung nicht dasselbe wie Zustellbarkeit?

Eine angenommene Nachricht ist eine zugestellte Nachricht, und damit hört für die meisten Versandberichte die Geschichte auf. Aber der empfangende Server entscheidet nach der Annahme, wo die Nachricht landet, und diese zweite Entscheidung erscheint in keinem Standardbericht. Eine Zustellrate von 99 Prozent kann eine Posteingangsrate von 70 Prozent verdecken, und die Differenz zwischen den beiden Zahlen ist genau der Teil des Programms, der still Wert verliert. Ein Audit misst die zweite Zahl und lässt die erste beiseite, denn diese war fast nie das Problem.

Der Grund, warum diese Lücke so lange unbemerkt bleibt, liegt in den Werkzeugen, mit denen die meisten Teams ihren Versand betrachten. Ein Kampagnenbericht zeigt zugestellte Nachrichten, Öffnungen und Klicks, und alle drei sehen gesund aus, während die Mail im Werbe-Tab oder im Spam liegt. Eine Öffnung aus dem Spam-Ordner zählt immer noch als Öffnung; ein Empfänger, der die Nachricht nie sieht, erscheint schlicht als jemand, der diesmal nicht reagiert hat. So verkleidet sich ein Platzierungsproblem als ein Engagement-Problem, und das Team optimiert die Betreffzeile, während die eigentliche Ursache eine Schicht tiefer liegt. Ein Audit existiert, um diese Verkleidung abzunehmen und zu zeigen, ob die Mail überhaupt gesehen werden konnte.

Welche fünf Schichten liest ein Deliverability-Audit?

Zustellbarkeit versagt nicht an einem einzigen Ort, deshalb betrachtet ein ernsthaftes Audit fünf Schichten, die sich gegenseitig beeinflussen, statt einer einzelnen Sache. Das prüfen wir.

Was prüfen wir in jeder Schicht?

Jede Schicht hat ihre eigenen Befunde, und das Audit behandelt sie nicht als gleichwertig. Die Authentifizierung ist die billigste zu reparierende und oft die folgenreichste: ein SPF, das die Grenze von zehn Lookups überschreitet, ein DMARC, der seit Jahren auf p=none steht und nichts verdient, ein DKIM, der sich nicht mit der sichtbaren Absenderdomain ausrichtet. Die Reputation wird aus den Daten der Provider gelesen, nicht geraten: Postmaster Tools für Gmail, SNDS für Microsoft, und für den DACH-Raum die Toleranzen von GMX, Web.de und T-Online, die strenger sind und ein eigenes Verhalten zeigen. Die Listenqualität ist der am besten kontrollierbare Faktor und zugleich der am meisten vernachlässigte: Der Befund mit der größten Wirkung ist oft, aufzuhören, an jene zu schreiben, die seit Monaten nicht öffnen, weit mehr als irgendeine technische Anpassung.

Die vierte Schicht, Inhalt und Engagement, wird am häufigsten missverstanden, weil sie sich nach Kosmetik anhört und es nicht ist. Es geht nicht um die Wortwahl der Betreffzeile, sondern um strukturelle Signale: das Verhältnis von Text zu Links, ob die Abmeldung tatsächlich funktioniert, ob die Segmentierung aktive von inaktiven Empfängern trennt, und ob die Antwortadresse echt ist oder eine noreply-Sackgasse, die das stärkste positive Signal verschenkt. Gmail und die DACH-Provider lesen das aggregierte Verhalten Ihrer Empfänger als das ehrlichste verfügbare Reputationssignal, weil es am schwersten zu fälschen ist. Eine Liste, die zur Hälfte aus Adressen besteht, die seit einem Jahr nicht öffnen, zieht die Platzierung der ganzen Domain nach unten, auch für die Hälfte, die sehr wohl liest.

Die fünfte Schicht, die Infrastruktur, ist die, die fast kein Audit öffnet, und genau dort sitzen die Befunde, die kein Inhalts-Tuning je behebt. Geteilte Reputation zwischen transaktionaler und Marketing-Mail auf derselben IP, ein fehlender oder falscher PTR-Eintrag, eine TLS-Konfiguration, die moderne Empfänger zurückweisen, Verbindungslimit-Deferrals von GMX oder T-Online, weil ein Stream zu aggressiv zustellt — all das lebt unter der Anwendung, in der Architektur der IPs und Domains und in der Konfiguration des MTA. Wir lesen diese Schicht, weil ein Versender, der seinen eigenen PowerMTA oder KumoMTA betreibt, hier Hebel hat, die einem ESP-Kunden verborgen bleiben, und weil ein Problem auf dieser Ebene jede Korrektur darüber zunichtemacht.

# Bleibt das SPF unter der Grenze von 10 Lookups, oder reißt es still?
$ dig +short TXT example.de | grep spf1
"v=spf1 include:_spf.google.com include:sendgrid.net include:mktomail.com ~all"
# 11 Lookups über die Includes \u2014 über der Grenze, das SPF gibt permerror zurück

# Setzt das DMARC durch, oder steht es auf p=none ohne Weg nach vorn?
$ dig +short TXT _dmarc.example.de
"v=DMARC1; p=none; rua=mailto:[email protected]"
# p=none: meldet nur \u2014 die Ausrichtungsfehler werden gesehen, nicht bekämpft

Was hat sich zwischen 2024 und 2026 unter der Mail verändert?

Die Regeln, gegen die Zustellbarkeit gemessen wird, haben sich in einem kurzen Zeitraum stark verschoben. Gmail und Yahoo begannen im Februar 2024 mit der Durchsetzung ihrer Anforderungen an Massenversender, Microsoft folgte im Mai 2025. In der Praxis heißt das: Authentifizierung mit SPF und DKIM, eine veröffentlichte DMARC-Richtlinie, eine Ein-Klick-Abmeldung nach RFC 8058 und eine Beschwerderate unter 0,30 Prozent. Die Grenze von 5.000 Nachrichten pro Tag, ab der diese Regeln greifen, wird pro Provider gezählt, sodass auch ein rein transaktionaler Versender hineinrutscht, der nie an Marketing gedacht hat. Die meisten Versandprogramme wurden gegen die alten Regeln gebaut, und ein Audit misst, wie weit Ihres von den neuen entfernt ist.

Die Beschwerderate verdient eine eigene Anmerkung, weil sie am häufigsten falsch gelesen wird. Eine Rate unter der Schwelle von 0,30 Prozent bedeutet nicht, dass alles in Ordnung ist; sie bedeutet nur, dass Sie nicht von vornherein hart abgewiesen werden. Gmail behandelt intern bereits 0,10 Prozent als Zielwert, und der Weg von der einen Zahl zur anderen ist genau der stille Bereich, in dem engagierte Empfänger Ihre Mail im Werbe-Tab statt im Posteingang finden. Ein Audit liest die Beschwerderate deshalb nicht als bestanden oder durchgefallen, sondern als Abstand zu dem Punkt, an dem die Platzierung zu kippen beginnt, lange bevor eine Abweisung im Log erscheint.

Die Kosten des Nichthandelns lassen sich beziffern, und das gehört in jedes ehrliche Audit. Wenn ein Programm bei einer globalen Posteingangsrate von rund 83,5 Prozent liegt, wie sie die Branchenmessung für 2025 ausweist, dann erreicht etwa jede sechste legitime Nachricht den Posteingang nie. Für ein Geschäft, das auf E-Mail aufbaut, ist diese Lücke der Unterschied zwischen verdientem und angenommenem Umsatz, und sie wächst still weiter, solange die Ursachen unberührt bleiben. Ein Audit verwandelt diese abstrakte Lücke in eine geordnete Liste von Korrekturen mit jeweils geschätzter Wirkung, damit die Entscheidung, was zuerst zu tun ist, auf Zahlen beruht und nicht auf dem Bauchgefühl.

Was sehen Gmail, Yahoo, Microsoft und die lokalen Provider wirklich an?

Jeder große Provider gewichtet die Signale anders, und ein Audit, das nur eine Note vergibt, verfehlt das Bild. Gmail stützt sich stark auf Engagement und auf die Domain-Reputation aus den Postmaster Tools; Microsoft liest die IP-Reputation über SNDS und ist bei neuen IPs konservativer; Yahoo straft Beschwerden hart. Im DACH-Raum kommen GMX, Web.de und T-Online hinzu, die eigene, strengere Schwellen anlegen und legitime Versender bei einem plötzlichen Volumensprung zurückhalten. Ein Audit gibt Ihnen deshalb eine Lesart pro Provider statt eines einzigen Urteils, denn die Lösung, die Gmail hilft, ist nicht zwingend die, die T-Online überzeugt. Diese Lesart pro Provider ist genau das, was den größten Teil des Werts ausmacht.

Im DACH-Raum verdient dieses Verhalten besondere Aufmerksamkeit, weil GMX, Web.de und T-Online zusammen einen großen Teil der privaten Postfächer in Deutschland, Österreich und der Schweiz halten und sich anders verhalten als die globalen Anbieter. Sie sind bei einem plötzlichen Volumensprung von einer neuen IP konservativer, sie achten stärker auf eine saubere, einwilligungsbasierte Liste, wie sie das UWG ohnehin verlangt, und sie quittieren ein zu aggressives Zustellverhalten schneller mit temporären Verzögerungen. Ein Audit, das nur gegen Gmail prüft, übersieht damit genau die Provider, bei denen ein erheblicher Teil Ihrer deutschsprachigen Empfänger liegt. Wir lesen die Reputation deshalb auch dort, wo die englischsprachige Standardanleitung schweigt.

Wie läuft das Audit ab?

Der Ablauf ist bewusst unspektakulär, weil die Disziplin der Punkt ist. Wir beginnen mit Lesezugriff auf Ihr DNS, Ihre MTA- oder ESP-Logs und Postmaster Tools oder SNDS, falls vorhanden \u2014 nichts, was Ihre Sicherheit berührt. Von dort lesen wir die fünf Schichten von der Infrastruktur-Basis aufwärts, denn ein Befund weiter oben hält nicht, solange eine Schicht darunter noch falsch ist. Jeder Befund wird der Schicht zugeordnet, zu der er gehört, und nach seinen Platzierungskosten geordnet, nicht nach der Reihenfolge, in der wir ihn gefunden haben. Das Ergebnis ist ein schriftlicher Bericht, der nach diesen fünf Schichten gegliedert ist, sodass jeder Befund bereits an die Schicht und an die Reihenfolge gebunden ankommt, in der er behandelt werden sollte. Diese gemeinsame Lesart zwischen dem, der das Budget freigibt, und dem, der die Änderung umsetzt, ist oft der größte Teil des Werts: Ein Zustellbarkeitsproblem hält sich meist weniger aus Mangel an einer möglichen Korrektur, als weil das Team sich nicht einigen kann, welche der fünf plausiblen Ursachen es zuerst angehen soll.

Das, was bei Ihnen ankommt, ist kein Datenauszug, sondern ein Fahrplan. Jeder Befund trägt sein Warum und sein Wie: was kaputt ist, warum es die Platzierung kostet, welche konkrete Änderung es behebt und in welcher Reihenfolge sie gegenüber den anderen Befunden steht. Ein kaputter Authentifizierungseintrag in Schicht eins steht vor einer Inhaltsanpassung in Schicht vier, weil eine Korrektur am Inhalt nichts bewirkt, solange die Authentifizierung versagt. Diese Ordnung ist der Teil, den ein automatisches Werkzeug nicht liefert: Es kann zwanzig Dinge melden, aber es sagt nicht, welches der zwanzig diese Woche tatsächlich den Umsatz bewegt. Genau diese Priorisierung nach Wirkung ist das, wofür ein Mensch bezahlt wird, der dasselbe Muster bei vielen Versendern gesehen hat.

Wir arbeiten dabei unabhängig, und das ist im DACH-Markt kein Detail. Weil wir weder einen ESP noch IP-Raum weiterverkaufen, hat der Bericht keinen kommerziellen Grund, Sie zu einer bestimmten Plattform oder einem bestimmten Anbieter zu drängen. Wenn die ehrliche Antwort lautet, dass Ihr bestehendes Setup mit zwei DNS-Änderungen wieder zustellt, sagen wir das, statt eine Migration zu verkaufen. Diese Neutralität ist genau das, was ein Hersteller-Vertrieb nicht bieten kann, dessen Aufgabe es ist, sein Produkt zu verkaufen, ob es das richtige für Sie ist oder nicht.

Einmaliges Audit oder laufende Überwachung?

Ein Audit ist eine Momentaufnahme, und das ist der richtige Anfang: Es nennt den genauen Stand und ordnet die Arbeit. Aber Zustellbarkeit ist ein laufender Durchschnitt, der sich jede Woche bewegt, ob jemand hinsieht oder nicht, sodass das, was ein Audit findet, still zurückkehren kann. Wer das Ergebnis halten will, geht von der Diagnose zur fortlaufenden Überwachung über, in der dieselben fünf Schichten Woche für Woche gelesen werden. Das eine ersetzt das andere nicht; das Audit ist die Karte, die Überwachung ist das Halten des Kurses. Wir sagen offen, welcher der beiden Schritte zu Ihrem Programm passt, statt den teureren zu verkaufen, wenn der einfachere reicht.

Wann ein Audit fällig ist, lässt sich an Auslösern festmachen statt an einem festen Kalender. Ein neuer ESP, eine neu in Betrieb genommene Versanddomain, ein spürbarer Einbruch der Öffnungsraten oder ein Anstieg der Abweisungen sind allesamt Momente, in denen sich die Zustellbarkeit verschoben haben kann, ohne dass es in einem Kampagnenbericht auftaucht. Auch ein Wachstum des Volumens über die Schwelle von 5.000 Nachrichten pro Tag und Provider ist ein solcher Auslöser, weil ab diesem Punkt die Anforderungen für Massenversender greifen, die für ein kleineres Programm noch optional waren. Wer zwischen diesen Ereignissen einmal im Jahr prüft, fängt das langsame Abrutschen, bevor ein Kunde es als Erster bemerkt — was, gemessen am stillen Charakter dieses Problems, fast immer der teurere Weg ist, es zu entdecken.