SPF, DKIM, DMARC – warum Ihre Mails im Spam landen

Drei kurze DNS-Einträge entscheiden darüber, ob Ihre Mails als legitim eingestuft werden oder im Spam-Ordner verschwinden. Hier erklären wir, was die drei Techniken machen.

Drei kurze DNS-Einträge entscheiden darüber, ob Ihre Mails als legitim eingestuft werden oder im Spam-Ordner verschwinden. Hier erklären wir, was die drei Techniken machen und wie Sie sie für Ihre Domain richtig setzen.

SPF – Wer darf für Sie versenden?

Der Sender Policy Framework-Eintrag listet die Server, die berechtigt sind, in Ihrem Namen Mails zu versenden. Empfänger können prüfen: Kommt die Mail von einem dieser Server?

Ein typischer Eintrag für eine Domain, die über einen Provider versendet:

v=spf1 include:_spf.example-provider.de -all

Das -all am Ende bedeutet: alles andere ist nicht erlaubt. Wichtiger als die genaue Syntax: nur ein SPF-Eintrag pro Domain – sonst wird er ungültig.

DKIM – Ist die Mail unverändert?

DomainKeys Identified Mail signiert ausgehende Mails kryptografisch. Empfänger prüfen die Signatur gegen einen öffentlichen Schlüssel im DNS. Stimmt sie nicht, wurde die Mail unterwegs manipuliert oder ist schlicht gefälscht.

Den Schlüssel bekommen Sie vom Mail-Provider oder Ihrem eigenen Mail-Server. Im DNS landet er als TXT-Record unter einem Selektor:

default._domainkey.ihre-domain.de  TXT  "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3..."

DMARC – Was soll passieren, wenn etwas nicht stimmt?

Domain-based Message Authentication, Reporting and Conformance verbindet SPF und DKIM. Sie sagen dem Empfänger: "Wenn weder SPF noch DKIM passen, lehne die Mail ab."

_dmarc.ihre-domain.de  TXT  "v=DMARC1; p=quarantine; rua=mailto:dmarc@ihre-domain.de"

p=none – nur beobachten (Einstieg)
p=quarantine – in den Spam-Ordner
p=reject – komplett ablehnen

rua legt fest, wohin Berichte gehen. Wer mehrere Tage lang die Berichte liest, weiß ziemlich genau, wer versucht, im eigenen Namen Mails zu versenden.

Realitäts-Check

Viele Unternehmen haben SPF, manche zusätzlich DKIM, kaum jemand DMARC. Dabei sorgt erst das Zusammenspiel aller drei dafür, dass Phishing-Mails in Ihrem Namen wirklich abgewiesen werden. Und: Google und Yahoo verlangen seit 2024 für Massenversender alle drei – wer sie nicht hat, landet zuverlässig im Spam.

Empfehlung

Starten Sie mit p=none und beobachten Sie zwei Wochen die Reports. Wenn alles passt, gehen Sie auf quarantine und nach weiteren zwei Wochen auf reject. Tools wie dmarc.postmarkapp.com helfen bei der Auswertung.

Wer sich da nicht alleine durchwühlen will: ein typischer Auftrag für uns – einmal richtig aufsetzen, dauerhaft Ruhe.