Leistung · E-Mail-Authentifizierung
E-Mail-Authentifizierung, bis zur Durchsetzung geführt.
E-Mail-Authentifizierung richtig gemacht: SPF, DKIM und DMARC mit Ausrichtung, MTA-STS und BIMI-Bereitschaft, vom Monitoring bis zur DMARC-Durchsetzung geführt, ohne legitime Mail zu blockieren. Werkzeug-agnostisch, auf Infrastruktur-Ebene betrieben.
E-Mail-Authentifizierung ist die Gruppe der in DNS veröffentlichten Standards — SPF, DKIM und DMARC, mit MTA-STS und BIMI daneben — die es einem Postfach-Anbieter erlauben zu prüfen, dass eine Nachricht wirklich von der Domain stammt, die sie behauptet. Es richtig zu machen ist eine Abfolge und kein einzelner Eintrag: SPF innerhalb seiner Grenze von zehn Lookups veröffentlichen, mit einem 2048-Bit-DKIM-Schlüssel signieren, DMARC auf p=none veröffentlichen, um Berichte zu sammeln, diese Berichte lesen, um jeden legitimen Absender zu finden, jeden auf der sichtbaren From-Domain ausrichten und erst dann DMARC auf quarantine und reject verschärfen. 2026 ist es der Eintrittspreis: Gmail, Yahoo und Microsoft weisen Massen-Mail, die die Authentifizierung nicht besteht, auf SMTP-Ebene ab, also ist das Ziel, die Durchsetzung zu erreichen, ohne eine einzige legitime Nachricht zu verlieren.
Das Wichtigste in Kürze
- → SPF, DKIM und DMARC erfüllen verschiedene Aufgaben und wirken nur zusammen; das Stück, das die meisten Setups übersehen, ist die Ausrichtung, bei der die From-Domain zur SPF- oder DKIM-Domain passen muss, damit DMARC besteht.
- → Ein DMARC-Eintrag auf p=none erfüllt den Buchstaben der Anforderung und schützt nichts — echter Schutz beginnt erst bei quarantine und reject.
- → Die Reihenfolge ist die Methode: Erreichen Sie die Durchsetzung erst, nachdem jeder legitime Absender ausgerichtet ist, sonst weist das Verschärfen der Richtlinie Ihre eigenen Rechnungen und Quittungen ab.
- → SPF ist auf zehn DNS-Lookups begrenzt; überschreiten Sie sie, gibt SPF einen permerror zurück, der DMARC scheitern lassen kann, also schlägt ein verwalteter Include innerhalb der Grenze das brüchige Flattening.
- → Seit Februar 2024 (Gmail, Yahoo) und Mai 2025 (Microsoft) wird Massen-Mail, die die Authentifizierung nicht besteht, auf SMTP-Ebene abgewiesen statt in den Spam geschoben — kaputte Einträge weisen jetzt echte Mail ab.
Die Authentifizierung ist der Teil der Zustellbarkeit mit der klarsten richtigen Antwort und den meisten Wegen, sie auf subtile Weise falsch zu machen. Die Standards selbst sind festgelegt und gut dokumentiert. Was Absender stolpern lässt, ist, dass jeder einen Fehlermodus hat, der die Mail eine Weile noch in den Posteingang zurückgibt, sodass ein kaputtes Setup gesund aussehen kann, bis ein Provider verschärft und die Abweisungen beginnen. Die Authentifizierung richtig zu machen hängt weniger daran, zu wissen, was SPF, DKIM und DMARC sind, als daran zu beweisen, dass alle drei auf der Domain übereinstimmen, die ein Empfänger tatsächlich sieht.
Der Einsatz änderte sich, als die größten Provider aufhörten, die Authentifizierung als Empfehlung zu behandeln. Eine Domain, die 5.000 oder mehr Nachrichten pro Tag an Gmail, Yahoo oder Microsoft sendet, braucht jetzt SPF, DKIM und DMARC, und Mail, die scheitert, wird auf SMTP-Ebene abgewiesen, statt in den Spam geschoben zu werden. Kaputte Authentifizierung bedeutet keinen leisen Rückgang der Platzierung mehr; sie bedeutet Rechnungen, Quittungen und Passwort-Resets, die mit einem Abweisungscode verschwinden. Das ist der Unterschied zwischen einer Best Practice und einer Abhängigkeit.
Was beweist jeder Authentifizierungseintrag?
Jeder der Einträge beweist etwas anderes, und das ist der Grund, warum kein einzelner genügt. Diese Tabelle fasst zusammen, was jeder leistet und wo er am häufigsten still bricht.
| Eintrag | Was er beweist | Wo er bricht |
|---|---|---|
| SPF | Welche Server für Ihre Domain senden dürfen — eine DNS-Liste aus IPs und Includes. | Bricht jenseits von zehn DNS-Lookups, oder wenn eine echte Versandquelle nie in den Eintrag aufgenommen wurde. |
| DKIM | Eine kryptografische Signatur, die die Nachricht an Ihre Domain bindet, geprüft gegen einen öffentlichen Schlüssel in DNS. | Ein 1024-Bit-Schlüssel, wo 2048 erwartet wird, oder ein Selektor, der auf einen längst rotierten Schlüssel zeigt. |
| DMARC | Was ein Empfänger tun soll, wenn weder SPF noch DKIM mit der sichtbaren From-Domain ausgerichtet ist, plus eine Bitte um Berichte. | Auf p=none belassen, sodass es beobachtet, aber nie schützt — oder auf reject gesetzt, bevor die echten Absender ausgerichtet sind. |
| Ausrichtung | Die From-Header-Domain muss zur SPF- oder DKIM-Domain passen, damit DMARC besteht. | Wo die meisten „wir haben alle drei“-Setups still scheitern: die Prüfungen bestehen auf der falschen Domain. |
| MTA-STS / TLS-RPT | Eine Richtlinie, die TLS für eingehende Mail an Ihre Domain erzwingt, mit einem Berichtskanal für Fehler. | Auf den meisten Domains abwesend, was die Zustellung für Downgrades offen lässt und Ihnen keine Sicht gibt, wenn TLS bricht. |
Warum genügt ein Eintrag nie?
SPF, DKIM und DMARC erfüllen verschiedene Aufgaben und schließen einander nicht ein. SPF sagt, welche Server senden dürfen; DKIM signiert die Nachricht, damit sie unterwegs nicht verändert werden kann; DMARC bindet beide an die sichtbare From-Adresse und sagt den Empfängern, was bei einem Fehler zu tun ist. Das Stück, das die meisten übersehen, ist die Ausrichtung: DMARC besteht nur, wenn SPF oder DKIM auf einer Domain validiert, die zum From-Header passt. Ein Setup mit allen drei Einträgen kann DMARC trotzdem nicht bestehen, wenn keiner ausgerichtet ist, und genau hier scheitert die Mail von Absendern, die sicher sind, dass sie authentifiziert sind.
Der Grund, warum dieser Fehler so lange unbemerkt bleibt, liegt in den Fehlermodi der einzelnen Einträge. Ein SPF, das die Zehn-Lookup-Grenze überschreitet, gibt einen permerror zurück, doch viele Empfänger behandeln einen permerror eine Weile nachsichtig, sodass die Mail weiter ankommt, bis einer von ihnen verschärft. Ein DKIM-Schlüssel, der auf 1024 Bit stehen blieb, validiert bei den meisten Providern noch, bis Yahoo ihn als zu schwach zurückweist. Ein DMARC auf p=none meldet jede Ausrichtungslücke in seinen Berichten, doch weil p=none nie abweist, sieht niemand einen Grund, die Berichte zu lesen. Jeder einzelne Eintrag kann also gleichzeitig technisch vorhanden und praktisch wirkungslos sein, ein Zustand, der in keinem Standard-Dashboard rot aufleuchtet und sich erst in den Abweisungen zeigt, wenn einer der großen Provider seine bisherige Toleranz zurückzieht. Nur das Zusammenspiel der drei, auf der richtigen Domain ausgerichtet und bis zur Durchsetzung geführt, ergibt den Schutz, den die Provider 2026 verlangen.
Was prüft der empfangende Server tatsächlich?
Wenn eine Nachricht eintrifft, läuft der empfangende Server eine kurze Kette von Prüfungen ab, bevor er über die Platzierung entscheidet. Er liest den SPF-Eintrag, um zu sehen, ob die sendende IP autorisiert ist; er prüft die DKIM-Signatur gegen den öffentlichen Schlüssel in Ihrem DNS; und dann fragt er die entscheidende Frage, die DMARC stellt: Stimmt die Domain, die SPF oder DKIM bestanden hat, mit der Domain im sichtbaren From überein? Diese letzte Prüfung, die Ausrichtung, ist die, an der die meisten Setups scheitern, denn ein ESP kann perfekt mit seiner eigenen Domain signieren, während Ihr From eine andere zeigt \u2014 die Prüfung besteht, die Ausrichtung scheitert, und DMARC wird abgewiesen.
# SPF: ist es innerhalb der 10-Lookup-Grenze?
$ dig +short TXT beispiel.de | grep spf1
"v=spf1 include:_spf.google.com include:sendgrid.net include:mktomail.com ~all"
# 11 Lookups über die Includes \u2014 über der Grenze, SPF gibt permerror zurück
# DKIM: ist der Selektor lebend und der Schlüssel 2048-Bit?
$ dig +short TXT sel1._domainkey.beispiel.de
"v=DKIM1; k=rsa; p=MIIBIjANBgkq..." # 2048-Bit, löst auf
# DMARC: setzt es durch, oder steht es auf p=none?
$ dig +short TXT _dmarc.beispiel.de
"v=DMARC1; p=none; rua=mailto:[email protected]"
# p=none: nur Überwachung \u2014 ein Fälscher besteht weiter als Ihre Domainp=none, beobachtend, aber nichts schützend. Zwei der drei brauchen Arbeit, und nichts davon zeigt sich in einem Öffnungsraten-Bericht \u2014 nur in Abfragen wie diesen, gelesen, wie ein empfangender Server sie liest.Wie bewegt sich DMARC von der Überwachung zur Durchsetzung?
DMARC auf p=none ist eine Kamera, die aufzeichnet, aber keine Tür schließt. Sie sammelt Berichte, die jede Quelle benennen, die als Ihre Domain sendet, und genau diese Berichte sind das Werkzeug, das die Durchsetzung sicher macht. Der Weg von p=none zu reject verläuft in Stufen: zuerst quarantine für einen kleinen Prozentsatz der Mail, dann ein wachsender Anteil, während die Berichte bestätigen, dass keine legitime Quelle fällt, und erst dann reject für hundert Prozent. Was diesen Weg sicher macht, ist die Geduld, jeden legitimen Absender zu finden und auszurichten, bevor die Richtlinie sich verschärft. Übereilt, blockiert er Ihre eigenen Rechnungen; in der richtigen Reihenfolge, ist er ein Nicht-Ereignis für Ihre Mail und eine Mauer für jeden Fälscher.
Was ändert sich für den DACH-Raum und die lokalen Provider?
Im deutschsprachigen Raum genügt es nicht, gegen Gmail und Microsoft auszurichten. GMX, Web.de und T-Online halten zusammen einen großen Teil der privaten Postfächer in Deutschland, Österreich und der Schweiz, und sie sind bei der Authentifizierung streng: Eine fehlende Ausrichtung oder ein Versand von einer unautorisierten IP quittieren sie schneller mit temporären Verzögerungen als die globalen Anbieter. Hinzu kommt die rechtliche Schicht, die anderswo lockerer gehandhabt wird. Die DSGVO verlangt eine dokumentierte Rechtsgrundlage für jede Adresse auf Ihrer Liste, und das UWG zieht bei der Einwilligung in Werbe-Mail eine engere Grenze, als das englischsprachige Standard-Playbook voraussetzt. Beides wirkt direkt auf die Beschwerderate, und eine steigende Beschwerderate zieht die Reputation bei genau den Providern nach unten, die im DACH-Raum am strengsten sind. Wir richten die Authentifizierung deshalb gegen diese strengeren Toleranzen aus und behandeln die Einwilligung der Liste als Teil der Zustellbarkeit.
Was ändert sich bei hohem Volumen und über mehrere Marken?
Bei Maßstab und über mehrere Marken hinweg wird die Authentifizierung zu einer Frage der Isolation. Jede Marke braucht ihre eigene ausgerichtete Authentifizierung, damit das Reputationsproblem einer Marke nicht die anderen erreicht, und ein Multi-Marken-Portfolio ist genau dort, wo diese Trennung gern still zusammenbricht: ein gemeinsamer SPF-Include, der die Zehn-Lookup-Grenze über alle Domains sprengt, ein DKIM-Selektor, der von einer Marke auf die Schlüssel einer anderen zeigt, eine einzige DMARC-Richtlinie, die für unterschiedliche Versandprofile zu grob ist. Wir verfolgen die Ausrichtung pro Marke und pro Stream, sodass jede Domain ihre eigene saubere Authentifizierungsgeschichte trägt und keine das Problem einer anderen erbt.
Wo hören die Werkzeuge auf, und wo fangen wir an?
Die DMARC-Plattformen leisten echte Arbeit: Sie aggregieren die XML-Berichte zu lesbaren Dashboards, hosten Ihre Einträge und warnen, wenn sich etwas ändert. Was keine von ihnen tut, ist das Urteil, das zwischen einem Eintrag auf p=none und einer sicheren Durchsetzung steht. Ein Dashboard kann zwanzig Quellen anzeigen, die als Ihre Domain senden; es kann Ihnen nicht sagen, welche davon legitim und falsch konfiguriert sind und welche ein Fälscher ist, und es kann nicht entscheiden, wann es sicher ist zu verschärfen. Diese Beurteilung übernimmt ein Mensch, der dasselbe Muster bei vielen Absendern gesehen hat. Wir arbeiten mit dem Werkzeug, das Sie bereits bezahlen, empfehlen eines, wenn Sie keines haben, oder arbeiten direkt gegen Ihr DNS \u2014 das Werkzeug ist optional, der Operator, der es liest, ist es nicht.
Wie messen wir den Fortschritt bis zur Durchsetzung?
Der Fortschritt wird an einer einzigen Linie gemessen: dem Anteil Ihrer Mail, der bei der DMARC-Auswertung ausgerichtet besteht, gelesen aus den aggregierten Berichten. Zu Beginn liegt diese Zahl oft niedriger, als ein Absender erwartet, weil eine vergessene Quelle still unausgerichtet sendet. Mit jeder ausgerichteten Quelle steigt die Linie, und wenn sie nahe hundert Prozent erreicht und dort stabil bleibt, ist es sicher, die Richtlinie zu verschärfen. Wir berichten diese Zahl Monat für Monat, neben der Liste der Quellen, die noch Arbeit brauchen, damit die Entscheidung, wann auf reject zu wechseln ist, auf Daten beruht und nicht auf einem Bauchgefühl. So wird die Durchsetzung von einem Risiko zu einem geplanten Schritt.
FAQ
Häufige Fragen zur E-Mail-Authentifizierung
Reicht SPF, DKIM oder DMARC allein?
Nein. Die drei erfüllen verschiedene Aufgaben und wirken nur zusammen. SPF sagt, welche Server senden dürfen; DKIM signiert die Nachricht, damit sie unterwegs nicht verändert werden kann; DMARC bindet beide an die sichtbare From-Adresse und sagt den Empfängern, was bei einem Fehler zu tun ist. Was die Leute übersehen, ist die Ausrichtung: DMARC besteht nur, wenn SPF oder DKIM auf einer Domain validiert, die zum From-Header passt. Ein Setup mit allen drei Einträgen kann DMARC trotzdem nicht bestehen, wenn keiner ausgerichtet ist — weshalb Mail weiter abgewiesen wird bei Absendern, die sicher sind, dass sie authentifiziert sind.
Wir haben einen DMARC-Eintrag veröffentlicht. Sind wir konform?
Einen Eintrag auf p=none zu veröffentlichen erfüllt den Buchstaben der Anforderung und schützt nichts. Er sagt den Empfängern, sie sollen überwachen und berichten, nicht handeln, also kann ein Fälscher weiter Mail als Ihre Domain durchbringen. Echter Schutz beginnt, wenn die Richtlinie auf quarantine und dann reject wechselt — und dieser Wechsel ist der schwere Teil, denn ihn zu vollziehen, bevor jeder legitime Absender ausgerichtet ist, weist Ihre eigene Mail ab. Konformität im Sinn, der den Providern wichtig ist, und Schutz im Sinn, der Ihrer Marke wichtig ist, leben beide bei der Durchsetzung, nicht bei p=none.
Brauchen wir ein DMARC-SaaS-Werkzeug, oder können Sie das übernehmen?
Beide Wege funktionieren, und wir sind agnostisch dabei. Die DMARC-Plattformen — PowerDMARC, Valimail, dmarcian, EasyDMARC, Red Sift und andere — leisten echte Arbeit beim Aggregieren der XML-Berichte und beim Hosten der Einträge. Was keine von ihnen für Sie tut, ist das Urteil: jede legitime Quelle aus den Berichtsdaten zu identifizieren, die falsch konfigurierten an der Quelle zu beheben und zu entscheiden, wann es sicher ist zu verschärfen. Wir können Ihre Authentifizierung mit dem Werkzeug betreiben, das Sie bereits bezahlen, eines empfehlen, wenn Sie keines haben, oder direkt gegen Ihr DNS arbeiten. Das Werkzeug ist optional; der Operator, der es liest, nicht.
Blockiert der Wechsel zu p=reject unsere legitime Mail?
Das tut er, wenn Sie wechseln, bevor die legitimen Absender ausgerichtet sind — genau deshalb tun wir das nicht. Die ganze Methode besteht darin, reject zu erreichen, ohne dass eine einzige echte Nachricht verloren geht. Wir nutzen die Monitoring-Phase, um jeden Dienst zu finden, der als Ihre Domain sendet, vom offensichtlichen ESP bis zum Abrechnungssystem, an das sich niemand erinnerte, richten jeden aus und verschärfen die Richtlinie erst dann in Stufen. In dieser Reihenfolge ist die Durchsetzung ein Nicht-Ereignis für Ihre echte Mail und eine Mauer für jeden, der Sie fälscht.
Was ist die SPF-Grenze von zehn Lookups, und wie beheben Sie sie?
Die SPF-Auswertung ist auf zehn DNS-Lookups gedeckelt; überschreiten Sie sie, gibt SPF einen permanenten Fehler zurück, der die DMARC-Ausrichtung scheitern lassen und Ihre Mail fallen lassen kann. Jeder Dritt-Include zehrt an diesem Budget, also stoßen Absender mit vielen Diensten schnell an die Decke. Die brüchige Lösung ist SPF-Flattening — Includes in rohe IPs aufzulösen — das in dem Moment bricht, in dem ein Provider seine Versand-IPs ändert, und legitime Mail ohne Vorwarnung blockieren kann. Die dauerhafte Lösung ist ein verwalteter Include, der innerhalb der Grenze bleibt und sich aktualisiert, wenn Provider sich ändern, der Ansatz, den die besseren Werkzeuge und unsere eigenen Setups nutzen.
Welche DKIM-Schlüssellänge brauchen wir?
Nutzen Sie 2048 Bit. Viele Bestände signieren noch mit 1024-Bit-Schlüsseln, die vor Jahren konfiguriert wurden und zwar validieren, aber nicht mehr dem entsprechen, was Provider erwarten; Yahoo behandelt 1024 Bit als die Untergrenze, unter der es die Signatur nicht annimmt. Die Rotation auf 2048 ist unkompliziert, aber eine Stelle, an der unachtsame Rotation das Signieren bricht — ein neuer Schlüssel veröffentlicht, ohne den Selektor zu aktualisieren, oder ein alter Selektor in einem Stream belassen, der still unsigniert sendet. Wir rotieren Schlüssel mit den Selektoren und Streams zusammen geprüft, damit nichts unsigniert durchrutscht.
Wir senden über unseren eigenen MTA und einen ESP. Wie funktioniert die Authentifizierung über beide?
Jeder Pfad braucht seine eigene vollständige, ausgerichtete Authentifizierung, und die Naht zwischen beiden ist ein häufiger Fehlerpunkt. Ihr ESP signiert mit seinem DKIM und erwartet, dass Sie seinen SPF-Include veröffentlichen; Ihr eigener MTA signiert und sendet eigenständig. Wenn die From-Domain, die SPF-Includes und die DKIM-Selektoren über beide nicht ausgerichtet sind, besteht ein Stream, während der andere scheitert, und eine einzige DMARC-Richtlinie muss beide abdecken. Wir prüfen die beiden zusammen und stellen sicher, dass sie nicht um dieselbe Domain-Reputation konkurrieren, während einer von ihnen still die Ausrichtung verfehlt.
Was ändert sich für den DACH-Raum und die lokalen Provider?
GMX, Web.de und T-Online halten zusammen einen großen Teil der privaten Postfächer im deutschsprachigen Raum, und sie sind bei der Authentifizierung streng: Eine fehlende Ausrichtung oder ein Versand von einer unautorisierten IP führt schneller zu temporären Verzögerungen als bei den globalen Anbietern. Hinzu kommt die rechtliche Schicht: Die DSGVO verlangt eine dokumentierte Rechtsgrundlage für jede Adresse, und das UWG zieht bei der Einwilligung in Werbe-Mail eine engere Grenze — was direkt auf die Beschwerderate und damit auf die Reputation wirkt. Wir richten die Authentifizierung deshalb gegen die strengeren DACH-Toleranzen aus, nicht nur gegen das englischsprachige Standard-Playbook.
Wie lange dauert es, die Durchsetzung zu erreichen?
Es hängt fast vollständig davon ab, wie viele Dienste als Ihre Domain senden und wie sauber ihr Setup ist. Ein einfacher Bestand mit einem oder zwei Absendern kann reject in ein paar Wochen erreichen; ein weitläufiger mit Dutzenden Dritt-Werkzeugen dauert länger, weil jeder in den Berichtsdaten gefunden und ausgerichtet werden muss, bevor die Richtlinie sich verschärft. Die Monitoring-Phase bestimmt das Tempo, und sie zu überstürzen ist der Weg, auf dem Absender ihre eigenen Rechnungen und Quittungen blockieren. Wir bewegen uns so schnell, wie die Daten es sicher erlauben, und nicht schneller.
Besteht Ihre Mail die Authentifizierung dort, wo es zählt?
Das kostenlose 25-Punkte-Audit liest Ihre SPF-, DKIM- und DMARC-Einträge so, wie ein empfangender Server sie liest, und nennt Ihnen genau, was zwischen Ihnen und einer sicheren Durchsetzung steht.