Wissen · Subdomains

SPF, DKIM und DMARC: E-Mail-Authentifizierung ohne Angst

Drei DNS-Records, die deine Domain vor Spoofing schützen – wie sie zusammenspielen und was im DMARC-Report steht.

Wenn deine Domain E-Mails versendet (egal ob über Outlook, Mailserver oder Newsletter-Tool), brauchst du heute drei DNS-Einträge, sonst landen deine Mails reihenweise im Spam: SPF, DKIM und DMARC. Sie greifen ineinander wie Zahnräder – einer ohne den anderen ist nur die halbe Miete.

SPF: Wer darf für meine Domain senden?

SPF (Sender Policy Framework) ist ein TXT-Record im DNS, der die IP-Adressen oder Hostnamen auflistet, die berechtigt sind, E-Mails mit deiner Domain als Absender zu verschicken. Beispiel:

v=spf1 include:_spf.google.com ip4:85.215.116.185 ~all

Übersetzt: „Google darf senden, mein eigener Mailserver darf senden, alle anderen markieren ihre Mail als verdächtig (~all = SoftFail)." Ein -all wäre HardFail – dann verwerfen empfangende Server die Mail komplett.

Achtung: Pro Domain darf es nur einen SPF-Record geben. Wenn du mehrere Mail-Anbieter nutzt, musst du sie in einem TXT-Record kombinieren.

DKIM: Hat jemand die Mail unterwegs verändert?

DKIM (DomainKeys Identified Mail) signiert jede ausgehende E-Mail kryptografisch. Der öffentliche Schlüssel liegt als TXT-Record im DNS, der private Schlüssel auf deinem Mailserver. Empfänger holen sich den öffentlichen Schlüssel und prüfen die Signatur.

Vorteil gegenüber SPF: Wenn eine Mail über mehrere Server weitergeleitet wird (Mailing-Liste!), bleibt die DKIM-Signatur intakt – SPF dagegen würde scheitern, weil der weiterleitende Server nicht im SPF-Record steht.

DKIM richtet man meist im Mail-Anbieter-Backend ein (Google Workspace, Microsoft 365, Mailcow). Der Anbieter generiert den Key und gibt dir den DNS-Record zum Eintragen.

DMARC: Was tun, wenn SPF oder DKIM fehlschlagen?

DMARC (Domain-based Message Authentication, Reporting and Conformance) ist die Anweisung, was empfangende Mailserver mit nicht-authentifizierten Mails machen sollen, plus ein Reporting-Mechanismus. Beispiel:

_dmarc.beispiel.de TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@beispiel.de; aspf=s; adkim=s"

Übersetzt: „Wenn SPF oder DKIM fehlschlagen, in Spam-Ordner verschieben (p=quarantine). Reports an dmarc@beispiel.de schicken. Strikte Übereinstimmung von Domain in From-Header und Authentifizierung."

DMARC-Policies in der Praxis

  • p=none – nur Reports sammeln, nichts blockieren. Start-Modus für die ersten 4 Wochen.
  • p=quarantine – verdächtige Mails in Spam. Nach 4 Wochen Beobachtung umstellen.
  • p=reject – verdächtige Mails komplett ablehnen. Endziel, wenn alles sauber konfiguriert ist.

Was steht im DMARC-Report?

Empfangende Server (Google, Microsoft, Yahoo) schicken täglich XML-Reports an die rua=-Adresse. Sie listen auf, von welchen IPs Mails mit deiner Absender-Domain rausgegangen sind und ob SPF/DKIM bestanden haben. Tools wie dmarcian, Postmark DMARC oder Mailhardener visualisieren das.

Praxistipp: Erst SPF und DKIM in Betrieb nehmen, dann DMARC mit p=none einführen, dann nach 4 Wochen auf quarantine, nach weiteren 4 auf reject. Wer direkt mit reject startet, blockiert oft die eigene Marketing-Automation oder vergessenen Drittanbieter.

Weitere Artikel

/subdomain-vs-verzeichnis

Subdomain vs. Verzeichnis: Was ist besser für SEO?

blog.example.com oder example.com/blog? Vor- und Nachteile beider Strukturen aus SEO-Sicht – inkl. Praxis-Empfehlung.

Artikel

/was-ist-eine-subdomain

Was ist eine Subdomain? Aufbau und Funktion erklärt

Aufbau einer Domain (TLD, SLD, Sub), wie Subdomains technisch funktionieren und wofür sie sich eignen.

Artikel

/subdomain-einrichten

Subdomain einrichten: DNS, A-Records und Wildcards

Schritt-für-Schritt von der DNS-Konfiguration bis zur funktionierenden Subdomain – mit Wildcard-Beispiel.

Artikel