Warum E-Mails Authentifizierung brauchen
E-Mail wurde ohne Schutz gegen Fälschungen entworfen — jeder kann theoretisch in deinem Namen schreiben. Damit Empfänger echte von gefälschten Nachrichten unterscheiden können, gibt es drei DNS-basierte Standards: SPF, DKIM und DMARC. Fehlen sie, landen deine Mails schnell im Spam oder werden ganz abgewiesen.
SPF — wer darf in meinem Namen senden?
Der Sender Policy Framework-Eintrag ist ein TXT-Record in deinem DNS, der festlegt, welche Server für deine Domain Mails verschicken dürfen. Der empfangende Server prüft, ob die sendende IP auf dieser Liste steht. Steht sie nicht drauf, ist das ein Warnsignal.
DKIM — die digitale Signatur
DomainKeys Identified Mail versieht jede Mail mit einer kryptografischen Signatur. Der passende öffentliche Schlüssel liegt in deinem DNS. Der Empfänger prüft damit, ob die Nachricht unterwegs unverändert blieb und wirklich von deiner Domain stammt.
DMARC — die Richtlinie obendrauf
DMARC verbindet SPF und DKIM mit einer klaren Anweisung: Was soll passieren, wenn die Prüfungen fehlschlagen? Du legst fest, ob solche Mails normal zugestellt, in den Spam verschoben oder ganz abgelehnt werden. Zusätzlich bekommst du Berichte darüber, wer in deinem Namen sendet — sehr nützlich, um Missbrauch zu erkennen.
Die richtige Reihenfolge
Richte zuerst SPF und DKIM ein und prüfe, dass beide sauber durchlaufen. Erst danach aktivierst du DMARC — anfangs mit einer milden Richtlinie, die nur beobachtet, später strenger. So sperrst du dich nicht versehentlich selbst aus.
Warum Mails trotzdem im Spam landen
Selbst mit korrekt eingerichtetem SPF, DKIM und DMARC ist die Zustellung nicht garantiert. Empfänger-Server bewerten zusätzlich die Reputation der sendenden IP, den Inhalt der Mail und das bisherige Sendeverhalten. Neue Server-IPs gelten anfangs als unbekannt und werden vorsichtiger behandelt. Vermeide außerdem typische Spam-Auslöser: reine Bild-Mails, dubiose Links oder irreführende Betreffzeilen. Authentifizierung ist die Grundlage — aber nicht der einzige Faktor.
Häufige Fragen
Reicht einer der drei Einträge allein?
Nein, sie ergänzen sich. SPF und DKIM prüfen Herkunft und Unversehrtheit, DMARC verbindet beide mit einer klaren Richtlinie und liefert Berichte.
Was bedeutet eine strenge DMARC-Richtlinie?
Sie weist Empfänger an, Mails abzulehnen oder als Spam zu behandeln, die SPF und DKIM nicht bestehen. Starte mild und verschärfe erst, wenn alles sauber läuft.
Wo trage ich die Einträge ein?
Als TXT-Einträge in der DNS-Zone deiner Domain. Bei gehostetem E-Mail-Hosting ist das oft schon vorbereitet.
E-Mail-Hosting, das sich darum kümmert
Wer sich nicht selbst mit DNS-Einträgen herumschlagen will: Beim E-Mail-Hosting von Nytrix ab 1,99 €/mtl sind die Authentifizierungs-Standards sauber vorbereitet — in Minuten startklar und in der EU gehostet.