Sie schreiben eine tolle E-Mail. Die Botschaft ist auf den Punkt gebracht und wird zur richtigen Zeit an die richtigen Personen gesendet.
Aber es landet trotzdem im Spam – oder wird überhaupt nicht angezeigt.
Wenn Sie Kaltakquise betreiben, ist das ein Killer. Sie bekommen keine zweite Chance, wenn Ihre erste Kontaktaufnahme nie gesehen wird.
Das Problem liegt normalerweise nicht am Text. Es liegt auch nicht an Ihrer Liste. Es liegt daran, dass die Posteingangsanbieter nicht darauf vertrauen, woher die E-Mail kommt.
Hier kommt die E-Mail-Authentifizierung ins Spiel.
Protokolle wie SPF, DKIM und DMARC beweisen, dass Ihre E-Mails von einem verifizierten, legitimen Absender stammen. Sie stärken die Reputation Ihrer Domain und schützen sie vor Spoofing und Missbrauch.
Ohne sie sind Ihre Cold-E-Mails unsichtbar. Mit ihnen haben Sie die Chance, in Ihrem Posteingang zu landen – und echte Antworten zu erhalten.
Deshalb sind Sie hier. Nicht nur, um die Datensätze einzurichten, sondern um wirklich zu verstehen, wie E-Mail-Authentifizierung funktioniert – und wie man sie richtig einsetzt.
Genau dafür ist dieser Leitfaden gedacht.
Sie erhalten:
- Eine klare Aufschlüsselung von SPF, DKIM und DMARC – und wie sie zusammenarbeiten
- Schritt-für-Schritt-Einrichtungsanleitung mit Tools zur Validierung Ihrer Datensätze
- Korrekturen für die häufigsten Probleme, die die Zustellbarkeit beeinträchtigen.
Beginnen wir mit den Grundlagen und bauen darauf auf.
Warum muss ich meine E-Mail authentifizieren?
E-Mail-Authentifizierung ist nicht nur ein technisches Kontrollkästchen – sie ist ein unverzichtbarer Schutz in der heutigen digitalen Landschaft. Täglich werden Millionen betrügerischer E-Mails versendet, die versuchen, sich als seriöse Marken auszugeben. Dies führt zu Phishing-Angriffen, der Verbreitung von Malware und Markenschäden.
Ohne ordnungsgemäße Authentifizierung ist Ihre Domain anfällig für Spoofing. Angreifer können dann E-Mails versenden, die scheinbar von Ihrem Unternehmen stammen. Und ohne Vertrauen kommen selbst Ihre besten E-Mails nicht an. Große E-Mail-Anbieter wie Gmail, Yahoo und Microsoft betrachten Authentifizierung mittlerweile als Mindestanforderung und nicht als optionale Funktion.
Zu den Vorteilen der E-Mail-Authentifizierung gehören:
- Verbesserte Zustellbarkeit: Authentifizierte E-Mails landen deutlich häufiger im Posteingang als im Spam-Ordner
- Markenschutz: Verhindern Sie, dass Betrüger Ihre Domain imitieren und das Vertrauen Ihrer Kunden schädigen
- Reduziertes Risiko: Minimieren Sie die Wahrscheinlichkeit, dass Ihre Domain aufgrund von Spoofing-Angriffen auf die Sperrliste gesetzt wird
- Einblick in das E-Mail-Ökosystem: Erhalten Sie Berichte über alle E-Mails, die über Ihre Domäne gesendet werden, einschließlich nicht autorisierter E-Mails
- Zukunftssicher: Da die E-Mail-Sicherheitsstandards verschärft werden, werden authentifizierte Domänen werden wir die Zustellbarkeit aufrechterhalten, während nicht authentifizierte Personen leiden
Die Entwicklung der E-Mail-Authentifizierung
Um zu verstehen, warum E-Mail-Authentifizierung heute so wichtig ist, ist es hilfreich zu sehen, wie sie sich im Laufe der Jahre entwickelt hat. So ist es gekommen:
Jahr | Milestone | Beschreibung |
1982 | Einführung von SMTP | SMTP (RFC 821) startet E-Mails ohne Möglichkeit, den Absender zu überprüfen – jeder kann jede beliebige Identität beanspruchen. |
2003 | SPF vorgeschlagen | Mit SPF (später RFC 4408) können Domänen autorisierte Mailserver im DNS auflisten und den Empfängern so eine grundlegende Überprüfung der Legitimität ermöglichen. |
2007 | DKIM eingeführt | DKIM (RFC 4871) bietet kryptografische Signaturen, die sicherstellen, dass E-Mails nicht manipuliert werden und sie einer überprüfbaren Quelle zuordnen. |
2012 | DMARC-Debüts | DMARC (RFC 7489) baut auf SPF und DKIM auf und ermöglicht Domänenbesitzern, Regeln festzulegen, beispielsweise die Ablehnung von Fälschungen, während den Empfängern gleichzeitig klare Marschbefehle gegeben werden. |
2018 | BIMI entsteht | BIMI kombiniert verifizierte Logos mit DMARC-geschützten E-Mails und belohnt Absender, die ihre Domänen mit einem vertrauenswürdigen visuellen Stempel sperren. |
2020 | Gmail verschärft DMARC | Gmail verlangt von Massenversendern nun DMARC-Konformität und blockiert E-Mails, die den Anforderungen nicht entsprechen, vollständig. |
2025 | Aktuellen Zustand | SPF, DKIM, DMARC und BIMI bilden ein engmaschiges System – die meisten Anbieter weisen mittlerweile alles zurück, was nicht übereinstimmt, und die Absender spüren den Druck, sich daran zu halten. |
Mit der Weiterentwicklung der Standards werden die Anforderungen der Posteingangsanbieter immer strenger. Wenn Ihre Domain nicht authentifiziert ist, sind Ihre E-Mails nicht nur gefährdet, sondern auch unsichtbar.
Primäre E-Mail-Authentifizierungsprotokolle
SPF (Sender Policy Framework)
Mit SPF können Domäneninhaber festlegen, welche Mailserver berechtigt sind, im Namen ihrer Domäne E-Mails zu versenden. Dazu wird ein DNS-TXT-Eintrag erstellt, der alle zugelassenen Sende-IPs auflistet.
Wenn ein E-Mail-Server eine Nachricht empfängt, prüft er den SPF-Eintrag der Absenderdomäne, um sicherzustellen, dass der sendende Server autorisiert ist. Stammt die E-Mail von einem nicht aufgeführten Server, schlägt die SPF-Validierung fehl.
Hier ist ein Beispiel für einen SPF-E-Mail-Authentifizierungsdatensatz:
v=spf1 ip4:192.168.1.1 include:_spf.google.com include:amazonses.com -all |
Dieser Datensatz berechtigt:
- Die spezifische IP-Adresse 192.168.1.1
- Alle von den Mailservern von Google autorisierten IPs
- Alle von Amazon SES autorisierten IPs
- Das „-all“ bedeutet, dass alle anderen Server ausfallen sollten Beglaubigung
So richten Sie SPF ein:
- Identifizieren Sie alle Dienste, die in Ihrem Namen E-Mails senden (interne Mailserver, Marketingtools, CRM usw.)
- Erstellen Sie Ihren SPF-Eintrag als TXT-Eintrag im DNS Ihrer Domain
- Validieren Sie Ihr Setup mit Tools wie MXToolbox oder Mail-Tester
Zu den häufigen SPF-Problemen, auf die Sie achten sollten, gehören das Überschreiten des Limits von 10 DNS-Lookups (verursacht durch zu viele „include:“-Anweisungen), fehlende IPs von legitimen Absendern und das versehentliche Erstellen mehrerer SPF-Einträge, was gegen den Standard verstößt.
DKIM (DomainKeys Identifizierte E-Mail)
Während SPF den sendenden Server überprüft, stellt DKIM sicher, dass der eigentliche E-Mail-Inhalt während der Übertragung nicht manipuliert wurde. Dies funktioniert durch das Hinzufügen einer digitalen Signatur zum Header jeder E-Mail.
DKIM verwendet kryptografische Schlüsselpaare:
- Ein privater Schlüssel, der auf Ihrem sendenden Server verbleibt, um ausgehende E-Mails zu signieren
- Ein in Ihrem DNS veröffentlichter öffentlicher Schlüssel, den empfangende Server verwenden, um die Stempel, Unterschrift
Wenn ein E-Mail-Anbieter eine Nachricht mit einer DKIM-Signatur empfängt, ruft er den öffentlichen Schlüssel aus Ihrem DNS ab und überprüft damit die Signatur. Ist die Signatur gültig, besteht die E-Mail die DKIM-Authentifizierung.
So richten Sie DKIM ein:
- Generieren Sie ein öffentliches/privates Schlüsselpaar (die meisten ESPs erledigen dies für Sie)
- Fügen Sie den öffentlichen Schlüssel mithilfe des angegebenen Selektors als TXT-Eintrag zu Ihrem DNS hinzu
- Konfigurieren Sie Ihren Mailserver so, dass ausgehende E-Mails mit dem privaten Schlüssel signiert werden
- Testen Sie Ihre Implementierung, indem Sie Test-E-Mails senden und überprüfen Überschriften
Zu den üblichen DKIM-Problemen zählen eine falsche Domänenausrichtung (wenn die „Von“-Domäne nicht mit der DKIM-Signaturdomäne übereinstimmt), abgelaufene oder schwache Schlüssel (2048-Bit-Schlüssel werden mittlerweile empfohlen) und Konflikte bei der Verwendung mehrerer ESPs mit ihren eigenen DKIM-Implementierungen.
DMARC (Domänenbasierte Nachrichtenauthentifizierung, Berichterstattung und Konformität)
DMARC baut auf SPF und DKIM auf und fügt eine Richtlinienebene hinzu, die den empfangenden Servern mitteilt, was mit E-Mails geschehen soll, deren Authentifizierung fehlschlägt. Es bietet außerdem einen Berichtsmechanismus, mit dem Sie Ihr E-Mail-Ökosystem überwachen können.
Zu den DMARC-Richtlinien gehören:
- p = keine: Überwachungsmodus – Daten sammeln, aber bei Fehlern keine Maßnahmen ergreifen
- p = Quarantäne: Fehlgeschlagene E-Mails in Spam-/Junk-Ordner senden
- p = ablehnen: Fehlgeschlagene E-Mails blockieren uneingeschränkt
DMARC führt das Konzept der „Ausrichtung“ ein, das erfordert, dass die Domäne im From-Header mit der Domäne übereinstimmt, die für die SPF- und/oder DKIM-Authentifizierung verwendet wird.
So richten Sie die DMARC-E-Mail-Authentifizierung ein:
1. Beginnen Sie mit einer Überwachungsrichtlinie, indem Sie einen DNS-TXT-Eintrag wie den folgenden erstellen:
v=DMARC1; p=none; rua=mailto:re*****@********in.com” data-original-string=”KTbJK3JHaCTa7EXxDwmxdw==a03nWOigryk9at6UMJG9Oidc90XqLXjIakxh6qYn9WtZWjfnsbmugDD7pPjay7ExWdlVH69WCstdcG5iz55Lpljodk9qmHZ/4efgTfjfzK0V4BEvFKCe966MTlFxfXKW3Wigbquo2RZtjyXK7in+riiBCMZv1kKZdziUe+IBdCDpR0XCrCjm0YJ0S1Z19q1lfpIgXqht5CzXISZXmACrEvpbu90qJ5KeJJSH9qdDIJGYQWk1KMiEi3hRp0nYi5wxnNgn90okcKfuhI7JdC5l9RD2bpeDkJTgLMb/73KetRSoF4Rm1FoED5kp8hUBavuozd422KjDLCW7V3FHAlVUAkuAw==” title=”This contact has been encoded by Anti-Spam by CleanTalk. Click to decode. To finish the decoding make sure that JavaScript is enabled in your browser.; pct=100 |
2. Analysieren Sie die Berichte, die Sie erhalten, um Ihr E-Mail-Ökosystem zu verstehen
3. Verstärken Sie Ihre Richtlinie schrittweise, während Sie Authentifizierungsprobleme beheben
4. Erwägen Sie Tools wie DMARCian, Stempelden Valimail zur Unterstützung der Interpretation von DMARC-Berichten
Zu den üblichen DMARC-Herausforderungen zählen Ausrichtungsfehler (wenn SPF/DKIM erfolgreich sind, die Domänen jedoch nicht ausgerichtet sind), das Nichterhalten von Berichten aufgrund falscher Konfiguration und Schwierigkeiten bei der Interpretation des XML-Berichtsformats.
Erweiterte E-Mail-Authentifizierungsprotokolle
BIMI (Markenindikatoren zur Nachrichtenidentifikation)
Mit BIMI können Sie Ihr Logo direkt im Posteingang Ihrer Abonnenten anzeigen, wenn E-Mails die Authentifizierung bestehen. Neben der verbesserten Markenbekanntheit dient BIMI als visueller Vertrauensindikator, der Empfängern hilft, legitime E-Mails schnell zu erkennen.
So implementieren Sie die BIMI-E-Mail-Authentifizierung:
- Setzen Sie eine starke Authentifizierung ein (SPF, DKIM und DMARC mit p=quarantine oder p=reject)
- Erstellen Sie eine SVG-Version Ihres Logos, die den BIMI-Anforderungen entspricht
- Erhalten Sie ein Verified Mark Certificate (VMC) von einem autorisierten Anbieter
- Fügen Sie einen BIMI-DNS-Eintrag hinzu, der auf Ihr Logo verweist Datei
MTA-STS und TLS-RPT
Diese Protokolle sichern die Transportschicht von E-Mails:
- MTA-STS (Mail Transfer Agent Strict Transport Security) erzwingt TLS-Verschlüsselung für die E-Mail-Zustellung zwischen Servern
- TLS-RPT (TLS Reporting) bietet Einblicke in TLS Ausfälle
Angesichts zunehmender Bedenken hinsichtlich des Datenschutzes tragen diese Protokolle dazu bei, dass E-Mail-Inhalte während der Übertragung verschlüsselt bleiben. Große Anbieter wie Gmail warnen Nutzer mittlerweile, wenn E-Mails über unverschlüsselte Verbindungen eingehen.
So richten Sie MTA-STS ein:
1. Erstellen Sie einen DNS-Eintrag:
mta-sts.IhreDomäne.com. IN TXT „v=STSv1; id=20230601000000Z;“ |
Der „ID“-Wert sollte immer aktualisiert werden, wenn Sie Ihre Richtlinie ändern (normalerweise ein Zeitstempel).
Erstellen Sie einen HTTPS-Webserver unter mta-sts.yourdomain.com, der eine Richtliniendatei unter /.well-known/mta-sts.txt mit folgendem Inhalt bereitstellt:
Version: STSv1 Modus: Testen mx: mail.ihredomain.com mx: backup-mail.ihredomain.com max_age: 86400 |
2. Erhöhen Sie den Schutz schrittweise, indem Sie den Modus von „Testen“ (nur überwachen) auf „Erzwingen“ (TLS erforderlich) ändern, sobald Sie bestätigt haben, dass er ordnungsgemäß funktioniert.
So richten Sie TLS-RPT ein:
1. Erstellen Sie einen DNS-TXT-Eintrag:
_smtp._tls.yourdomain.com. IN TXT “v=TLSRPTv1; rua=mailto:tl*********@********in.com” data-original-string=”ba4uAkb4V7lTI6kIMMl1Og==a03Yx2qeltiGLVV4Ewu5r32bIS+BpemlNXaUoTkaCHYUZg=” title=”This contact has been encoded by Anti-Spam by CleanTalk. Click to decode. To finish the decoding make sure that JavaScript is enabled in your browser.” |
2. Richten Sie die Berichts-E-Mail-Adresse ein, um täglich aggregierte Berichte im JSON-Format zu erhalten.
3. Erwägen Sie die Verwendung eines Drittanbieterdienstes wie Report URI oder Postmark, um die Berichte zu analysieren.
Diese Implementierungen schaffen eine sichere Umgebung, in der:
- MTA-STS legt eine Richtlinie fest, die verschlüsselte Verbindungen erfordert
- TLS-RPT bietet Einblick in Fehler, damit Sie diese beheben können
- Gemeinsam sorgen sie für eine verschlüsselte E-Mail-Übertragung End-to-End
Neue Standards
ARC (Authenticated Received Chain):
- Was es tut: Bewahrt Authentifizierungsergebnisse durch Weiterleitungsdienste
- Wie stellt man das ein:
- Konfigurieren Sie Ihren Mailserver zur Validierung eingehender ARC-Header
- Implementieren Sie für ausgehende Mailserver, die Nachrichten weiterleiten, die ARC-Signierung
- Verwenden Sie Bibliotheken wie OpenARC oder pyARC für Implementierung
IPRV (IP-Reputationsvalidierung):
- Was es tut: Nutzt Reputationsdaten für eine verbesserte Filterung
- Wie stellt man das ein:
- Registrieren Sie sich bei einem Reputationsanbieter wie Return Path oder Validity
- Fügen Sie die bereitgestellten DNS-Einträge zu Ihrer Domäne hinzu
- Behalten Sie gute Sendepraktiken bei, um einen positiven Ruf aufzubauen Ergebnis
VBR (Vouch By Reference):
- Was es tut: Ermöglicht Dritten, die Legitimität des Absenders zu bestätigen
- Wie stellt man das ein:
1. Arbeiten Sie mit einer Zertifizierungsstelle wie ReturnPath zusammen
2. Fügen Sie ihren VBR-Eintrag zu Ihrem DNS hinzu:
_vouch.yourdomain.com IN TXT „v=VBR;a=Doppelpunkt;l=~;t=http://certifier.example.com/“ |
3. Fügen Sie VBR-Header in Ihre ausgehenden E-Mails ein
Ältere Standards wie Sender ID und ADSP wurden größtenteils durch umfassendere Frameworks ersetzt.
Relevante Artikeln: E-Mail-Rückläufer: Beheben Sie das Problem, bevor Sie auf die schwarze Liste gesetzt werden
Häufig gestellte Fragen
Kann ich mehrere ESPs unter einer Domäne verwenden?
Ja, aber Sie müssen sicherstellen, dass Ihr SPF-Eintrag alle autorisierten IP-Adressen enthält und Ihre DKIM-Konfiguration mehrere Selektoren unterstützt. Viele Organisationen verwenden für jeden ESP eine eigene Subdomäne, um die Verwaltung zu vereinfachen.
Was passiert, wenn SPF und DKIM erfolgreich sind, DMARC jedoch fehlschlägt?
Dies deutet in der Regel auf ein Ausrichtungsproblem hin. DMARC erfordert, dass entweder die SPF- oder die DKIM-Domäne mit der sichtbaren Absenderadresse übereinstimmt. Überprüfen Sie, ob Ihre Organisationsdomäne (die für Empfänger sichtbare) mit der für die Authentifizierung verwendeten Domäne übereinstimmt.
Wie oft sollte ich DKIM-Schlüssel rotieren?
Es empfiehlt sich, DKIM-Schlüssel jährlich oder nach jedem Sicherheitsvorfall zu rotieren. Viele ESPs erledigen dies automatisch. Wenn Sie jedoch Ihre eigenen Mailserver verwalten, implementieren Sie einen Zeitplan für die Schlüsselrotation und stellen Sie sicher, dass sowohl alte als auch neue Schlüssel während der Übergangszeiten erhalten bleiben.
Benötigen Subdomains separate Datensätze?
Standardmäßig übernehmen Subdomänen nicht die Authentifizierungsrichtlinien der übergeordneten Domäne. Für umfassenden Schutz können Sie Folgendes tun:
- Erstellen Sie separate SPF/DKIM/DMARC-Einträge für jede Subdomäne oder
- Verwenden Sie das Tag „sp=“ in Ihrem DMARC-Eintrag, um Richtlinien auf alle anzuwenden Sub-Domains
Fazit
E-Mail-Authentifizierung ist 2026 nicht mehr optional, sondern Ihre Eintrittskarte in den Posteingang. Mit der Implementierung von SPF, DKIM und DMARC befolgen Sie nicht nur bewährte Methoden, sondern schützen aktiv Ihre Marke, verbessern die Zustellbarkeit und schaffen Vertrauen mit jeder Nachricht, die Sie versenden.
Beginnen Sie mit einem schrittweisen Ansatz:
- Implementieren Sie SPF, um Ihre sendenden Server zu autorisieren
- Fügen Sie DKIM hinzu, um Ihre Nachrichten digital zu signieren
- Setzen Sie DMARC im Überwachungsmodus ein, um Informationen zu sammeln
- Verstärken Sie Ihre DMARC-Richtlinie schrittweise, während Sie Probleme beheben
- Erwägen Sie erweiterte Protokolle wie BIMI für zusätzliche Vorteile
Denken Sie daran: E-Mail-Authentifizierung ist ein Weg, kein Ziel. Regelmäßige Überwachung, Tests und Updates stellen sicher, dass Ihr Authentifizierungs-Framework auch dann effektiv bleibt, wenn sich Ihr E-Mail-Programm weiterentwickelt und neue Standards entstehen.
Indem Sie heute die Kontrolle über Ihre E-Mail-Authentifizierung übernehmen, stellen Sie sicher, dass Ihre Nachrichten morgen ihre beabsichtigten Empfänger erreichen – und das ist gut für Ihr Unternehmen, Ihre Kunden und Ihre Marke.
