E-Mail-Zustellbarkeit: So landen Ihre Mails nicht im Spam (SPF, DKIM, DMARC)
Damit geschäftliche E-Mails zuverlässig ankommen, müssen empfangende Mailserver erkennen können, dass Ihre Nachrichten wirklich von Ihrer Domain stammen. SPF, DKIM und DMARC helfen dabei, Ihre Domain vor Missbrauch zu schützen und die Zustellbarkeit Ihrer E-Mails zu verbessern.
E-Mail-Zustellbarkeit ist heute deutlich anspruchsvoller als früher. Große Mailanbieter wie Google, Microsoft, Yahoo und andere prüfen eingehende Nachrichten sehr streng. Dabei geht es nicht nur darum, ob eine E-Mail technisch versendet wurde, sondern auch darum, ob der Absender vertrauenswürdig ist, ob die Domain korrekt authentifiziert wurde und ob die Nachricht nicht nach Spam, Phishing oder Spoofing aussieht.
Gerade für Unternehmen ist das wichtig: Wenn Angebote, Rechnungen, Support-Antworten, Kontaktformular-Nachrichten oder Bestellbestätigungen im Spam landen, wirkt das unprofessionell und kann direkt Umsatz kosten. Die wichtigsten technischen Grundlagen für eine saubere E-Mail-Authentifizierung sind SPF, DKIM und DMARC.
SPF, DKIM und DMARC verbessern die technische Vertrauenswürdigkeit Ihrer E-Mails. Sie garantieren jedoch nicht allein, dass jede Nachricht im Posteingang landet. Inhalt, Versandverhalten, Empfängerreaktionen, Blacklists, Reputation und Beschwerderaten spielen ebenfalls eine Rolle.
Warum landen E-Mails im Spam?
Eine E-Mail kann aus vielen Gründen im Spam-Ordner landen oder sogar komplett abgelehnt werden. Häufige Ursachen sind fehlende oder fehlerhafte DNS-Einträge, ein schlecht konfigurierter Mailserver, verdächtige Inhalte, zu viele Beschwerden von Empfängern oder der Versand über nicht autorisierte Systeme.
Besonders kritisch ist, wenn ein Mailserver nicht überprüfen kann, ob eine Nachricht wirklich von der angegebenen Domain stammt. Spammer und Betrüger versuchen oft, fremde Domains als Absender zu missbrauchen. Genau hier setzen SPF, DKIM und DMARC an.
Die drei wichtigsten Schutzmechanismen im Überblick
1. SPF
Sender Policy Framework legt fest, welche Server E-Mails im Namen Ihrer Domain versenden dürfen. Empfangende Mailserver können so prüfen, ob der sendende Server autorisiert ist.
2. DKIM
DomainKeys Identified Mail versieht ausgehende E-Mails mit einer digitalen Signatur. Dadurch kann geprüft werden, ob die Nachricht unverändert und tatsächlich autorisiert versendet wurde.
3. DMARC
Domain-based Message Authentication, Reporting and Conformance legt fest, wie empfangende Server mit Nachrichten umgehen sollen, die SPF oder DKIM nicht bestehen.
SPF: Wer darf für Ihre Domain senden?
SPF ist ein DNS-TXT-Eintrag, der festlegt, welche Server E-Mails im Namen Ihrer Domain versenden dürfen. Wenn Ihre Domain beispielsweise über CURIAWEB E-Mails versendet, muss der CURIAWEB-Mailserver im SPF-Eintrag erlaubt sein. Wenn zusätzlich externe Dienste wie Newsletter-Systeme, CRM-Tools oder Buchhaltungssoftware E-Mails mit Ihrer Domain versenden, müssen auch diese Dienste korrekt berücksichtigt werden.
Ein SPF-Eintrag beantwortet aus Sicht des empfangenden Mailservers die Frage: „Darf dieser Server E-Mails für diese Domain versenden?“ Wenn die Antwort nein lautet oder der SPF-Eintrag fehlerhaft ist, kann die Nachricht als verdächtig eingestuft werden.
Pro Domain sollte in der Regel nur ein SPF-Eintrag existieren. Mehrere separate SPF-TXT-Einträge für dieselbe Domain können zu Fehlern führen. Wenn mehrere Versanddienste verwendet werden, müssen diese in einem gemeinsamen SPF-Eintrag kombiniert werden.
DKIM: Die digitale Signatur Ihrer E-Mail
DKIM ergänzt SPF um eine digitale Signatur. Der sendende Mailserver versieht ausgehende Nachrichten mit einer kryptografischen Signatur. Der öffentliche Schlüssel zur Prüfung dieser Signatur wird als DNS-Eintrag veröffentlicht. Der empfangende Mailserver kann damit prüfen, ob die E-Mail seit dem Versand verändert wurde und ob die Signatur zur Domain passt.
DKIM ist besonders wertvoll, weil es nicht nur den sendenden Server betrachtet, sondern die Nachricht selbst signiert. Das verbessert die technische Vertrauenswürdigkeit Ihrer E-Mails und ist bei modernen Mailanbietern ein wichtiger Bestandteil der Authentifizierung.
DMARC: Regeln für fehlgeschlagene Prüfungen
DMARC baut auf SPF und DKIM auf. Es legt fest, was empfangende Mailserver tun sollen, wenn eine E-Mail die Authentifizierungsprüfung nicht besteht oder nicht zur sichtbaren Absenderdomain passt. DMARC kann außerdem Berichte ermöglichen, mit denen Sie sehen können, welche Systeme E-Mails im Namen Ihrer Domain versenden.
DMARC kann mit unterschiedlichen Richtlinien betrieben werden:
| DMARC-Policy | Bedeutung | Typischer Einsatz |
|---|---|---|
p=none |
Nur überwachen, keine direkte Ablehnung erzwingen | Startphase und Analyse |
p=quarantine |
Fehlerhafte Nachrichten sollen eher in Spam oder Quarantäne landen | Fortgeschrittene Schutzphase |
p=reject |
Fehlerhafte Nachrichten sollen abgelehnt werden | Strenge Schutzphase nach sauberer Einrichtung |
Empfehlung
Starten Sie bei DMARC vorsichtig, besonders wenn Sie mehrere Versanddienste verwenden. Eine zu strenge DMARC-Policy kann legitime E-Mails blockieren, wenn SPF oder DKIM noch nicht vollständig korrekt eingerichtet sind.
E-Mail-Zustellbarkeit in cPanel prüfen
cPanel bietet mit E-Mail-Zustellbarkeit eine praktische Funktion, um die wichtigsten Authentifizierungsdaten Ihrer Domain zu prüfen. cPanel zeigt an, ob Probleme bestehen, welche Einträge empfohlen werden und ob SPF, DKIM oder DMARC installiert werden können.
Schritt-für-Schritt: SPF, DKIM und DMARC in cPanel prüfen
- Melden Sie sich in Ihrem cPanel-Konto an.
- Öffnen Sie im Bereich E-Mail die Funktion E-Mail-Zustellbarkeit oder Email Deliverability.
- Suchen Sie die gewünschte Domain in der Liste.
- Wenn cPanel Probleme meldet, klicken Sie auf Verwalten oder Manage.
- Prüfen Sie die vorgeschlagenen Einträge für SPF, DKIM und DMARC.
- Wenn cPanel die DNS-Zone verwaltet, können Sie die vorgeschlagenen Datensätze meist direkt installieren.
- Wenn die DNS-Zone extern verwaltet wird, kopieren Sie die vorgeschlagenen Werte und setzen Sie diese beim externen DNS-Anbieter.
- Warten Sie die DNS-Aktualisierung ab und prüfen Sie die Domain anschließend erneut.
Wenn Ihre Domain externe Nameserver verwendet, kann cPanel die DNS-Einträge möglicherweise nicht automatisch setzen. In diesem Fall müssen SPF, DKIM und DMARC dort hinterlegt werden, wo die autoritative DNS-Zone Ihrer Domain verwaltet wird.
Externe Versanddienste korrekt einbinden
Viele Unternehmen versenden E-Mails nicht nur über das normale Hosting-Postfach. Häufig kommen zusätzliche Dienste zum Einsatz, zum Beispiel Newsletter-Tools, CRM-Systeme, Support-Software, Buchhaltungssysteme, Shop-Systeme oder Terminbuchungsplattformen.
Typische externe Dienste sind beispielsweise:
- Newsletter-Tools wie Mailchimp oder Brevo,
- CRM- und Sales-Systeme,
- Helpdesk- oder Ticketsysteme,
- Shop- und Rechnungssoftware,
- Microsoft 365 oder Google Workspace,
- Transaktionsmail-Anbieter für automatische Systemmails.
Wenn solche Dienste E-Mails mit Ihrer Domain als Absender versenden, müssen sie korrekt in SPF, DKIM und gegebenenfalls DMARC berücksichtigt werden. Andernfalls kann es passieren, dass genau diese legitimen Nachrichten als nicht autorisiert gelten.
Fügen Sie externe Versanddienste niemals blind hinzu. Verwenden Sie immer die offiziellen DNS-Vorgaben des jeweiligen Anbieters und prüfen Sie, ob SPF-Einträge kombiniert werden müssen oder ob DKIM über eigene CNAME- oder TXT-Einträge eingerichtet wird.
Typische Fehler bei SPF, DKIM und DMARC
1. Mehrere SPF-Einträge für dieselbe Domain
Mehrere SPF-Einträge sind ein häufiger Fehler. Statt mehrere TXT-Einträge mit v=spf1 anzulegen, müssen alle berechtigten Versandquellen in einem einzigen SPF-Eintrag zusammengeführt werden.
2. Externe Maildienste fehlen im SPF-Eintrag
Wenn ein Newsletter-Tool oder CRM E-Mails mit Ihrer Domain versendet, aber nicht im SPF-Eintrag berücksichtigt ist, kann die Authentifizierung fehlschlagen.
3. DKIM nicht aktiviert
Ohne DKIM fehlt eine wichtige Signaturprüfung. Viele empfangende Mailserver bewerten signierte Nachrichten vertrauenswürdiger als unsignierte Nachrichten.
4. DMARC zu streng eingerichtet
Eine direkte Policy wie p=reject kann problematisch sein, wenn noch nicht alle legitimen Versandquellen korrekt authentifiziert sind. Beginnen Sie in komplexen Setups eher mit Überwachung und verschärfen Sie die Policy erst nach Prüfung.
5. DNS wird an der falschen Stelle geändert
Wenn Ihre Domain externe Nameserver verwendet, bringen Änderungen im cPanel-Zonen-Editor möglicherweise nichts. Entscheidend ist immer die autoritative DNS-Zone.
6. Absenderdomain und Versanddienst passen nicht zusammen
Wenn die sichtbare Absenderadresse, der technische Versandweg und die authentifizierte Domain nicht zusammenpassen, kann DMARC fehlschlagen. Achten Sie daher auf eine saubere Domain-Ausrichtung.
Wie prüfen Sie Ihre E-Mail-Zustellbarkeit?
Nach Änderungen an SPF, DKIM oder DMARC sollten Sie die Konfiguration prüfen. Nutzen Sie dafür zuerst die Funktion E-Mail-Zustellbarkeit in cPanel. Zusätzlich können externe Testdienste hilfreich sein, die eine Testmail analysieren und Hinweise zu DNS, Authentifizierung, Spamfaktoren und Reputation geben.
Beachten Sie jedoch: Externe Testtools liefern immer nur eine Momentaufnahme. Eine gute Bewertung in einem Tool bedeutet nicht automatisch, dass jede E-Mail bei jedem Empfänger im Posteingang landet. Umgekehrt bedeutet eine Warnung nicht immer, dass Ihre komplette E-Mail-Konfiguration defekt ist. Entscheidend ist die fachliche Bewertung der Ergebnisse.
Gute technische Zustellbarkeit ist nur ein Teil der Lösung
Neben SPF, DKIM und DMARC gibt es weitere Faktoren, die beeinflussen, ob E-Mails im Posteingang landen:
- saubere Empfängerlisten,
- keine gekauften oder ungeprüften Adresslisten,
- realistische Versandmengen,
- geringe Beschwerderaten,
- klare Absenderidentität,
- seriöser Betreff und Inhalt,
- funktionierende Antwortadresse,
- korrekte Abmeldemöglichkeit bei Newslettern,
- keine verdächtigen Anhänge oder Links.
Die DNS-Authentifizierung ist daher die technische Basis. Gute E-Mail-Praxis bleibt trotzdem notwendig.
Häufige Fragen zu SPF, DKIM und DMARC
Muss jede Domain SPF, DKIM und DMARC haben?
Für Domains, die E-Mails versenden, ist eine korrekte Authentifizierung dringend zu empfehlen. Auch Domains, die nicht aktiv senden, können durch DMARC besser gegen Missbrauch geschützt werden.
Kann cPanel SPF, DKIM und DMARC automatisch setzen?
Ja, wenn die DNS-Zone über den cPanel-Server verwaltet wird. Wenn die Domain externe Nameserver verwendet, müssen die Einträge beim externen DNS-Anbieter gesetzt werden.
Warum zeigt cPanel weiterhin Probleme an?
Mögliche Gründe sind DNS-Propagation, externe Nameserver, falsch kopierte Einträge, mehrere SPF-Einträge oder fehlende DKIM-/DMARC-Datensätze.
Was passiert, wenn ich externe Dienste wie Mailchimp verwende?
Diese Dienste müssen korrekt authentifiziert werden. Verwenden Sie die DNS-Vorgaben des jeweiligen Dienstes und kombinieren Sie SPF-Einträge korrekt.
Kann CURIAWEB meine E-Mail-Zustellbarkeit prüfen?
Ja, der CURIAWEB-Support kann die technischen DNS-Grundlagen prüfen. Für externe Dienste werden oft deren konkrete DNS-Vorgaben benötigt.
Neue Domain registrieren
Eine saubere E-Mail-Zustellbarkeit beginnt mit einer professionell verwalteten Domain. Bei CURIAWEB können Sie Ihre Wunschdomain direkt online prüfen, registrieren und anschließend für Website und E-Mail verwenden.
