SPF, DKIM & DMARC einfach erklärt – mit Checkliste & Tools (2025)

Inhalt

• Kurzfassung
• Was ist was? (SPF, DKIM, DMARC)
• SPF richtig setzen (TXT, 10-Lookups, Include-Strategie)
• DKIM richtig setzen (Selector, Schlüssel, Rotation)
• DMARC-Policy wählen (none → quarantine → reject)
• 10-Punkte-Checkliste
• Praktische Tools
• Häufige Fehler & Lösungen
• Interne Links & nächste Schritte
• FAQ

Kurzfassung

SPF sagt, welche Server für deine Domain senden dürfen. DKIM signiert jede Mail kryptografisch. DMARC setzt die Regeln und prüft die Alignment (SPF/DKIM zu From-Domain). Starte mit p=none, überwache Reports, erhöhe auf quarantine/reject.

Was ist was? (SPF, DKIM, DMARC)

SPF richtig setzen (TXT, 10-Lookups, Include-Strategie)

SPF definiert erlaubte Absender. Nutze einen einzigen, konsolidierten TXT-Record. Beispiel (Google Workspace + transaktionaler Versand):

Host:    @
Type:    TXT
Value:   v=spf1 include:_spf.google.com include:sendgrid.net ~all

• Nur ein SPF-TXT pro Domain (mehrere führen zu Fehlern).
• ~all (Softfail) zum Start; -all (Hardfail) erst nach sauberem Monitoring.
• Lookup-Limit: Max. 10 Includes/Redirects. Reduziere via Konsolidierung oder „SPF-Flattening“.
• Test: „SPF=pass“ in Mail-Headern, From-Domain im Alignment beachten (siehe DMARC).

DKIM richtig setzen (Selector, Schlüssel, Rotation)

DKIM signiert Mails. Anbieter liefern dir entweder TXT– oder CNAME-Records. Typisches Schema:

Host:    selector1._domainkey
Type:    TXT (oder CNAME je nach Anbieter)
Value:   v=DKIM1; k=rsa; p=MIIBIjANBgkqh... (öffentlicher Schlüssel)

• Selector-Namen (z. B. selector1, s1) pro Dienst notieren.
• Schlüsselrotation mind. jährlich; alten Selector erst löschen, wenn kein Dienst ihn mehr nutzt.
• Prüfe im Header: DKIM=pass und Domain-Alignment zur From-Domain (siehe DMARC).

DMARC-Policy wählen (none → quarantine → reject)

DMARC steuert, was bei fehlendem/nicht passenden SPF/DKIM passiert – und sendet Reports. Empfohlener Einstieg:

Host:   _dmarc
Type:   TXT
Value:  v=DMARC1; p=none; rua=mailto:dmarc@domain.tld; ruf=mailto:dmarc-forensic@domain.tld; pct=100; adkim=s; aspf=s; fo=1

• p=none: nur beobachten (Aggregate-Reports). Danach p=quarantine → p=reject.
• adkim/aspf=s (strict Alignment) erhöht Schutz, erfordert saubere Konfiguration.
• rua/ruf: Report-Mails (Aggregate/Forensic) an funktionsfähige Postfächer schicken.
• pct: Prozentuale Anwendung der Policy – bei Umstellung nützlich (z. B. erst 50 %).

10-Punkte-Checkliste

1. Alle sendenden Systeme identifizieren (z. B. Microsoft/Google, Shop, Newsletter, CRM).
2. SPF als ein TXT-Record konsolidieren, Lookups zählen (≤10).
3. DKIM für jeden Dienst aktivieren und Selector dokumentieren.
4. DMARC mit p=none starten, Reports empfangen & auswerten.
5. Fehlkonfigurationen beheben (falsche Hosts, doppelte SPF, alte Selector).
6. Alignment prüfen: From-Domain vs. SPF-MailFrom / DKIM-d=Domain.
7. Policy schrittweise verschärfen: none → quarantine → reject.
8. Subdomain-Policy (sp=) bei Bedarf setzen.
9. Schlüsselrotation & Onboarding-Prozess dokumentieren.
10. Regelmäßig testen (neue Dienste/Wechsel beachten).

Praktische Tools

• DNS-Checker & Header-Analyzer (SPF/DKIM/DMARC-Status prüfen)
• DMARC-Report-Viewer (Aggregate-XML auswerten)
• Google Postmaster Tools / Microsoft SNDS (Zustellbarkeit & Reputation)

Häufige Fehler & Lösungen

Interne Links & nächste Schritte

• Shopify E-Mail-Authentifizierung: CNAME, SPF & DKIM richtig setzen (Schritt-für-Schritt inkl. Hetzner).
• Webentwicklung – performante Stacks inkl. Tracking & Consent.
• Alle Leistungen – inkl. SEO & Local SEO.
• Kostenlose Kurzberatung – wir prüfen SPF/DKIM/DMARC & Zustellbarkeit.

FAQ

Was bedeutet Alignment bei DMARC?
Die From-Domain muss mit der Domain aus SPF (MailFrom/Return-Path) oder DKIM (d=) übereinstimmen (relaxed/strict).

Welche Policy soll ich wählen?
Starte mit p=none. Nach 2–4 Wochen Reports auswerten, dann auf quarantine und später reject erhöhen.

Kann ich mehrere Absender-Dienste kombinieren?
Ja. Achte auf SPF-Lookup-Limit, aktiviere DKIM für jeden Dienst und behalte cleane Alignment-Pfad.